远程连接到网络资源已经成为现代企业很多员工的工作需要。无论这种连接是通过VPN、远程桌面还是安全壳(SSH)进行的,这种连接将不可避免地穿过装载着路由器、交换机和防火墙的网络,而这些设备中有很多都很容易受到攻击。
安全行业的企业和管理人员都意识到了这个问题,攻击者也意识到这些设备中存在漏洞,任何具有基本网络知识的怀有恶意的人员都可以成功地攻击路由器、交换机和防火墙来窃取企业信息甚至中断通信。
在本文中,我们将探讨为什么这些设备容易受到攻击,现在有多少恶意网络攻击是瞄准路由器、交换机和防火墙的以及企业应该采取什么措施来保护其网络。
攻击思科路由器或交换机
从其核心来看,路由和交换的过程无非是在网络中移动数据包。鉴于这个过程的基本性,路由器和交换机通常被认为是简单的传递设备。然而,需要注意的是,一旦某人获得对路由器或交换机的任何类型的管理访问权限,他们将有可能造成严重的破坏。
首先,让我们看看路由器或交换机可能被攻击的方式之一。在路由和交换市场占据最多市场份额的是思科公司。虽然惠普和Brocade在2层网络交换机市场已经取得了令人瞩目的进步,但思科仍被网络行业内的很多人视为黄金标准。然而,也正因为思科产品被广泛部署,它们不可幸免地成为攻击者最喜欢的目标。
例如,在Backtrack 5 Linux发行版中,有专门用于思科设备的一整套工具集,这个发行版还配备了很多安全功能和软件来帮助安全管理员进行渗透测试以及检查各种系统中的漏洞。虽然这些工具主要用于审计,但这些工具也经常被攻击者用来发现基本的漏洞,例如密码漏洞—这可以通过John the Ripper来发现。
幸运的是,现在企业安全专家已经可以开始使用BackTrack 5(第3版本)。如果你还没有安装Backtrack,那么请尽快安装。然后,开始检查有漏洞的网络设备(当然,在你得到企业允许后),定位到以下目录:
/pentest/cisco/cisco-global-exploiter
运行名为cge.pl的Perl文件,这个文件没有任何选项。根据运行的版本的不同,屏幕上最多会出现14个不同的选项,每个选项都会引用一个试图利用不同漏洞的脚本。这能够帮助企业更有效地测试路由器面向外部的接口,企业应该经常进行测试。假设测试的路由器有一个外部IP地址200.1.1.1,输入以下命令:
./cge.pl 200.1.1.1 2
这将运行针对外部接口(利用选项二)的漏洞利用,思科IOS路由器拒绝服务漏洞。如果该路由器存在漏洞,在标准输出中将会显示一个消息:漏洞成功被利用。目标服务器已经宕机……
现在,思科漏洞利用非常多,这些漏洞整齐地打包在一个平台内,如果落入坏人手中,会带来严重后果。上面的例子仅仅是很多现有漏洞利用之一。因此,如果这项工作还不是你最优先的工作,请运行这个操作,并认真记下结果;在不久的将来,你将需要它们用来修复。
BGP重定向的风险
利用联网设备的另一个潜在危险就是数据丢失。虽然有几种不同的攻击方式,被称为边界网关协议(BGP)重定向的攻击方法已经越来越令人头痛。
首先,BGP被认为是互联网的核心协议。BGP用于网关主机,它交换路由信息和独特的标识符—自治系统号码(ASN),这个号码由互联网编号分配机构(IANA)或者区域互联网注册管理机构(RIRs)分配。当数据包穿过ISP的网关时,网关可以通过检查数据包表头中的ASN来识别单个数据包来自哪个ISP。
很多时候,攻击者会发布他们知道的属于另一个自治系统内企业的路由或者ASN。例如,如果一家银行属于AS1,而攻击者在AS2内操作BGP路由器,他只需要伪装其路由器作为AS1,很多传输到AS1的流量将会被重定向到AS2。这是一个相当简单的例子,但这个漏洞利用非常容易执行。
超越防火墙
在前文中,我们提到了网络攻击者获得路由器或交换机的管理访问权限的灾难性后果。而如果攻击者获得防火墙管理权限,后果将更加严重。对于任何企业网络而言,防火墙都是主要的防御机制,如果攻击者获取了关闭防火墙的权限或者甚至能够操纵它允许某些流量,结果可能是毁灭性的。
例如,假设子网200.1.1.1/24被视为恶意,安全管理员尽职尽责地配置了访问控制列表( ACL)来阻止所有入站和出站流量到该子网。如果攻击者成功获得防火墙管理访问权限,他们就可以对授权的网络流量“肆意妄为”,当然还可以制造各种恶意流量和系统请求。
人为因素
各种防火墙供应商会不定期地发布已知漏洞,而这些漏洞可能有或者没有修复补丁。例如,思科Security Advisories、Response和Notices网站提供了一个方便的数据库,让最终用户了解所有思科产品(包括防火墙)的最新安全问题。笔者发现思科通常会充分地披露已知漏洞,也会发布修复补丁。这在很大程度上是因为思科投资了大量资金来研究其产品的安全性。
总之,如果企业部署了思科基础设施,实在是没有理由不保持更新最新漏洞知识。很多企业没有专门的人员来监控最新发布的补丁或者漏洞,这在很大程度上是因为他们依赖于思科和其他供应商来即时让他们了解安全问题。不用说,这种做法存在严重问题,但这仍不失为系统管理员可选择的一种方法。因此,负责管理企业防火墙基础设施的人员必须尽一切努力来了解最新修复补丁、漏洞监控和其他可能产生的问题。
防止路由器、交换机和防火墙被攻击
那么,我们应该如何防止企业网络通过路由器、交换机或防火墙受到攻击呢?在前面的第一个例子中,定期的审计是个不错的方法。从Backtrack开始,利用该平台内丰富的工具。请确保在必要时进行更新,并确保出厂默认密码完全清除。大家都知道思科的默认用户名和默认密码都是cisco。
对于BGP漏洞:最有效的做法是在ISP级别解决问题。很多研究涉及利用自治系统之间的公钥基础设施(PKI),也是在ISP层面。而在网络层面,最好的做法当然是监视入站数据包的路由,并搜索其中的任何异常情况。例如,是否有数据包似乎是来自于你的ISP没有从其接收路由的自治系统?这可能需要系统管理员和ISP人员一致的对话。
另外,笔者很喜欢将企业路由器放在配置良好的防火墙后面的做法,但随后应该通过紧密执行的ACL来配置路由器,这样一来,负担就不完全在防火墙上。
在避免防火墙遭受攻击的最佳做法方面,企业应着重考虑在默认情况下阻止所有入站和出站流量,并鼓励最终用户解释为什么某些流量应通过防火墙。此外,严格控制谁拥有防火墙的带外管理访问权限,以及每个管理员允许从哪里访问管理功能。换句话说,某些人可能被授予防火墙访问管理权限,但从操作安全性来看,他们只能从LAN内访问管理资源,而不是从其居住地或者国外访问它们。最后,对你现有的防火墙基础设施进行监控、研究和保持最新更新、补丁和安全漏洞。
牢记上述建议,安全管理员必须谨慎配置路由器和交换机,不仅需要确保严格的控制,还需要保证其性能不会受到影响。如果不这样做,可能意味着你从幸存者沦为受害者。
