cisco路由器漏洞
当朋友们看到这个文章时想必是想要了解cisco路由器漏洞相关的知识,这里同时多从个角度为大家介绍路由器 cisco相应的内容。
本文内容目录一览:
- 1、如何分清Cisco 路由器ACL中的五个“防止”
- 2、老cisco 路由器2600对于现在的网络有什么缺憾,功能上、性能上有什么不足,漏洞什么的?
- 3、cisco路由器上的多少种保险进攻措施
- 4、路由器漏洞有哪些
- 5、增强路由器安全的十个小技巧
- 6、如何避免路由器攻击九大方法
如何分清Cisco 路由器ACL中的五个“防止”
1.防止Cisco 分组泄露,Cisco分组泄露脆弱点最初是JoeJ在Bugtraq上公开的,他与Cisco设备在1999端口(ident端口)上对TCP SYN请求的响应有关。下面就是针对这个脆弱点的方法:access-list 101 deny tcp anyanyeq 1999 log ! Block Ciscoident scan。
2.防止Cisco旗标攫取与查点,Cisco finger 及2001,4001,6001号虚拟终端端口都对攻击者提供不少信息,比如访问URL为那么所的结果可能大体是:User Access VerificationPassword: Password: % Bad passwords,另外Cisco Xremote 服务(9001端口),当攻击者用netcat连接该端口时,路由器也会发送回一个普通旗标。针对这些查点,采取的措施就是使用安全的Cisco 路由器ACL规则限制访问这些服务,比如:
access-list 101 deny tcp anyany 79
access-list 101 deny tcp anyany 9001
3.防止TFTP下载,几乎所有路由器都支持TFTP,攻击者发掘TFTP漏洞用以下载配置文件通常轻而易举,在配置文件里含有很多敏感信息,比如SNMP管理群名字及任意Cisco 路由器ACL。执行下面措施可去除TFTP脆弱点:access-list 101 deny udp anyany eq 69 log ! Block tftp access
4.防止RIP欺骗,支持RIP v1或RIP v2的路由器很容易被RIP攻击。针对这类攻击在边界路由器上禁止所有RIP分组(端口号为520的TCP/UDP分组),要求使用静态路由,禁止RIP。
5.保护防火墙,比如CheckPoint的Firewall-1在256,257,258TCP端口上监听,Microsoft的Proxy Server在1080和1745 TCP端口上监听,使用扫描程序发现这些防火墙就很容易了。为了防止来自因特网上的防火墙扫描,就需要在防火墙之前的路由器上使用Cisco 路由器ACL规则阻塞这些扫描:
access-list 101 deny tcp anyanyeq 256 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 257 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 258 log ! Block Firewall-1scan
access-list 101 deny tcp anyanyeq 1080 log ! Block Socks scan
access-list 101 deny tcp anyanyeq 1745 log ! Block Winsockscan
ICMP和UDP隧道攻击能够绕过防火墙,针对这种攻击可以对ICMP分组采用限制访问控制,比如下面Cisco 路由器ACL规则将因管理上的目的而禁止穿行不是来往于10.16.10.0子网的所有ICMP分组:
access-list 101 permit icmpany 10.16.10.0 0.255.255.255 8 ! echo
access-list 101 permit icmpany 10.16.10.0 0.255.255.255 0 ! echo-reply
access-list 102 deny ip anyany log ! deny and log all else
老cisco 路由器2600对于现在的网络有什么缺憾,功能上、性能上有什么不足,漏洞什么的?
在升级方面,可能没有插槽或接口不足够,来适应网络规模的扩大.
性能方面,可能就是包的转发速率在这里会成为瓶颈,毕竟语音视频类流量将会越来越多.另外,网络规模的增大.同时可能带来路由表,ACL等的增加,导致查找速度和处理速度降低,这也会成为转发速率的瓶颈.
还有一些新的功能可能不能很好的支持,例如MPLS.
具体更详细的,要看你的2600所在的网络topo中扮演什么样的角色,和在网络中的流量的类型等等
cisco路由器上的多少种保险进攻措施
1.对于D.O.S Attack的防范
D.O.S攻击(Deny Of Service)基于TCP协议上三次握手机制进行的攻击手段。TCP协议是面向用户的可靠传输协议,即:在实际传输数据之前,先由发起方(用户)发出一个请求,接受方(服务器)接到这个请求之后,向发起方发出一个确认请求,收到发起方进一步确认之后,才开始实际的数据传输。D.O.S Attack根据这一机制,由黑客通过软件的方法修改自己的源IP地址,向某一服务器发出请求。当服务器向该IP地址发出确认请求之后,由于这个地址是假冒的,所以永远都得不到第三次的请求确认,于是这个中断就被挂起。当黑客在短时间内发起成千上万个这样的请求之后,所有网络资源很快就会被耗尽。同时,所有正常的服务请求也没有资源可以做出应答,造成网络瘫痪。
在Cisco路由器上,通过几种方式进行侦测、避免:
一、启用service tcp-keepalive-in和schedule process-watchdog terminate。目的是:建立看门狗进程,检查已建立的tcp连接,如果发生不激活或者长时间挂起的情况,中断这样的连接。
二、当发现路由器上已经发生异常情况以后,no ip source-route,关闭对于源ip地址的路由检查,避免不必要的资源占用。(请注意,如果在正常情况下,就关闭源路由跟踪的话,容易受到IP电子欺诈。)同时,开启schedule interval xxx(毫秒)。这样就可以硬性指定,为同一个端口中断提供服务时必须间隔一段时间。保证在这个间隔内可以为其他请求提供服务,使网络不至于完全瘫痪。
2.反IP地址欺骗
很多网络攻击依赖于攻击者伪造或者“欺骗”IP数据包的源地址。如果能够在任何可行的地方组织欺骗是有很价值的。这里可以考虑使用访问控制列表的方法,做法有很多种,但是目的是简单的,丢弃那些明显不属于这个接口来源的IP数据包。还有一种可能更加有效的方法,就是用RPF检查。前提是必须是路由对称的情况下(就是A-B的路径必须也是B-A的路径),而且必须支持CEF转发以及相对应的IOS版本支持。它是通过ip verify unicast rpf来启用的,但是之前必须先启用ip cef。
3.关闭广域网上一些不必要的服务
在Cisco路由器上,有很多服务广域网上根本不必要,但是仍然默认开启,反而造成了安全漏洞,给黑客以可乘之机。所以建议予以手工关闭。
例如:利用访问控制列表(acl)只开启实际使用的tcp、udp端口。同时,执行no service tcp-small-servers, no service udp-small-servers。这些tcp、udp协议上小服务,平时不常使用,但是这些端口容易被人利用,所以应该关闭。 No ip finger,finger协议主要在unix下使用,类似于Cisco IOS中的show user,如果开启容易被黑客看到连接用户,进一步猜测弱密码,进行合法登陆。如果需要防范密码猜测的风险,在路由器上就应该首先把这个服务关闭。
在拨号线路上,一般都采用transport input none,关闭诸如telnet、rlogin等易受攻击的后台程序。
4.No ip direct-broadcast
Ping of death攻击据说最早源于俄罗斯,就是通过许多用户同时对同一目的进行ping,造成flood攻击的效果。但是在实战上效果并不明显。因为在flood的同时,攻击方也必须付出同样的资源。因此,有人对这种攻击手段进行了优化。攻击的目的端从某一特定的ip地址,转换成了类如192.10.6.255这样一个网段广播地址。使这个网段内所有的机器都对这样的请求做出应答,从而达到事半功倍的效果。
对应手段为:在路由器广域网接口no ip direct-broadcast,这样除了隔离255.255.255.255的全广播以外,对于类似192.10.6.255网段广播地址也予以隔离,可以大大减少了被flood攻击的风险,也能减少主干线路上不必要的流量。或者,在完成网络上的连通性测试(ping测试)之后,利用访问控制列表,关闭ICMP协议中的echo和echo reply。
当然,路由器毕竟不是专门的网络安全设备,它所能做的也仅仅能够减少一些基于网络层上的攻击所带来的负面影响,但绝不能完全免疫。而且,在实现上述功能的同时,也是以牺牲部分CPU与内存资源为代价的。此外,它对于一些诸如登陆攻击、所有基于应用层上的攻击手段等则完全无能为力。如果发生这样的问题,还是必须要借助防火墙等专门的安全设备和在系统上进行严格设置等手段配合进行。
路由器漏洞有哪些
1.最难修补的漏洞:厄运饼干漏洞
上榜理由:12年补不上,黑客可以为所欲为
Check Point近日发现了一个影响极大的路由漏洞,并命名为“厄运饼干(Misfortune Cookie)”。该漏洞影响了20余家路由厂商生产的至少1200万台路由,其中包括有TP-Link、D-Link等知名厂商。
通过厄运饼干漏洞,黑客能够监控一切通过与路由器进行连接的设备的所有数据,包括文件、电子邮件、登录信息等,在监控的同时还能在这些数据当中植入恶意软件。
厄运饼干是在一个提供Web服务器服务的RomPager组件上发现的,该组件是由Allegro Software公司研发的。Allegro Software公司回应称,厄运饼干漏洞是一个12年前的bug,并在9年前被修复,但Allegro的许多客户并没有更新漏洞补丁。
02class
2.影响最广的漏洞:UPnP协议漏洞
上榜理由:祸及1500个供应商、6900款产品、近5000万台设备
路由器和其他网络设备是导致用户个人设备极易受到攻击的根源,因为它们都普遍采用了即插即用(Universal Plug and Play,UPnP)技术,以便让网络更加便捷地识别外部设备并与之进行通讯。
但Rapid7的研究人员从即插即用技术标准中发现了三种相互独立的漏洞,超过1500个供应商和6900款产品都有一个以上这样的安全漏洞,导致全球4,000万到5,000万台设备极易受到攻击。这些设备的名单中包括数家全球知名网络设备生产商的产品,比如Belkin、D-Link以及思科旗下的Linksys和Netgear。
除非被修补,否则这些漏洞会让黑客轻易的访问到机密商业文件和密码,或者允许他们远程控制打印机和网络摄像头。
03class
3.最狡猾的漏洞:NAT-PMP协议漏洞
上榜理由:1200万路由器都是替罪羊
NAT-PMP(网络地址端口映射协议)是一个适用于网络设备的端口映射协议,允许外部用户访问文件共享服务,以及NAT协议下的其他内部服务。
RFC-6886即NAT-PMP的协议规范,特别指明NAT网关不能接受外网的地址映射请求,但一些厂商并没有遵守这个规定,导致出现NAT-PMP协议设计不当漏洞,将影响超过1200万台路由器设备。
漏洞将使黑客在路由器上运行恶意命令,会把你的系统变成黑客的反弹代理服务的工具,或者用你的路由IP托管恶意网站。
04class
4.最麻烦的漏洞:32764端口后门
上榜理由:路由器还在,管理员密码没了
法国软件工程EloiVanderbeken发现了可以重置管理员密码的后门——“TCP 32764”。利用该后门漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操作系统指令,进而取得设备的控制权。
Linksys、Netgear、Cisco和Diamond的多款路由器均存在该后门。
05class
5.最懂传播的漏洞:Linksys固件漏洞
上榜理由:被感染蠕虫,还帮蠕虫传播
因为路由器的固件版本存在漏洞,Cisco Linksys E4200、E3200、E3000、E2500、E2100L、E2000、E1550、E1500、E1200、E1000、E900等型号都存在被蠕虫The Moon感染的风险。
The Moon蠕虫内置了大约670个不同国家的家用网段,一旦路由器被该蠕虫感染,就会扫描其他IP地址。被感染的路由器还会在短时间内会作为http服务器,供其他被感染的路由器下载蠕虫代码。
06class
6.最自由的漏洞:TP-Link路由器漏洞
上榜理由:无需授权认证
国内漏洞平台乌云爆出了一个TP-Link路由器的漏洞(CNVD-2013-20783)。TP-Link部分型号的路由器存在某个无需授权认证的特定功能页面(start_art.html),攻击者访问页面之后可引导路由器自动从攻击者控制的TFTP服务器下载恶意程序,并以root权限执行。
攻击者利用这个漏洞可以在路由器上以root身份执行任意命令,从而可完全控制路由器。
目前已知受影响的路由器型号包括TL-WDR4300、TL-WR743ND (v1.2 v2.0)、TL-WR941N,其他型号也可能受到影响。
07class
7.最赶时髦的漏洞:华硕路由器AiCloud漏洞
上榜理由:搭上了“云端应用”热点
华硕路由器存在严重安全问题,可以被远程利用,并且完全控制路由器。漏洞存在AiCloud媒体服务器上,这是华硕推出的一款云端服务产品,在多款路由器上搭载了AiCloud的云端应用。
攻击者可以使用这些凭据来访问连接路由器上USB端口的存储设备,也可以访问其他计算机上的共享文件。该漏洞还允许远程写文件,并且可以建立以个VPN隧道,还可以通过路由器获取所有的网络流量。
08class
8.最会发挥的漏洞:小米路由器漏洞
上榜理由:可以执行管理平台没有的系统命令
小米路由器正式发售时,系统版本0.4.68爆出一个任意命令执行漏洞。当用户使用较弱的路由器管理密码或在线登录路由器管理平台时,攻击者可以通过访问特定页面让小米路由器执行任意系统命令,完全控制小米路由器。
家用路由器安全之道
当路由器被爆出各种漏洞后,路由器厂商通常会在其官网上发布固件(路由器的操作系统)的升级版本。但因为大部分普通用户在购买家用路由器后,都没有定期升级路由器固件版本的习惯,而路由器厂商也无法主动向用户推送固件升级包,安全软件也很少有可以给路由器打补丁的,这就导致路由器的安全漏洞被曝光后,很难得到及时的修复,因此存在巨大的安全隐患。
为了避免不必要的损失,建议家庭用户:
1.养成定期升级固件系统的习惯,最好是去路由器厂商官网升级固件,也可以选择一些可靠的第三方工具辅助升级固件系统。例如使用360路由器卫士检测和修复路由器后门漏洞,预防路由器被黑客劫持。
2.及时修改路由器的默认管理密码,尽量使用10位以上的复杂密码,最好是“大小写字母+数字+特殊符号”的组合。
3.WiFi以WPA/WPA2加密认证方式设置高强度密码,并关闭路由器的WPS/QSS功能,以免被他人蹭网后威胁整个家庭网络的安全。
增强路由器安全的十个小技巧
很多网络管理员还没有认识到他们的路由器能够成为攻击的热点,路由器操作系统同网络操作系统一样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师,也没有把这项功能当成一件必须要做的事情外包出去。因此,网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。
1.更新你的路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
2.修改默认的口令:据卡内基梅隆大学的'计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。
3.禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。
4.封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。
5.禁用来自互联网的telnet命令:在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。
6.禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。
7.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
8.包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。
9.审查安全记录:通过简单地利用一些时间审查你的记录文件,你会看到明显的攻击方式,甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。
10.不必要的服务:永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
如何避免路由器攻击九大方法
也就是说任何人都可以在其局域网上使用且仅能用于内部的IP地址。这些特定的IP地址是不允许用在公网上的。但在将路由器用于互联网上的通信时,它还使用另外一个不同的IP地址,即公网IP地址。路由器的管理员无法控制公网IP地址,它是由把路由器连接到互联网的ISP提供的。 这样一来,除非做到公网IP仅能被互联网上的计算机找到,而私有IP地址仅能被局域网上的计算机看到,这样才能够筑起一道屏障,否则黑客们便可能登录进路由器,进而危及到整个局域网的设备。 就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。 2. 修改默认口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。3. 禁用HTTP设置和SNMP(简单网络管理协议): 你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP,那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。 4. 封锁ICMP(互联网控制消息协议)ping请求: ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。 5. 禁用来自互联网的telnet命令: 在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。 6. 禁用IP定向广播: IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。 7. 禁用IP路由和IP重新定向: 重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。8. 包过滤: 包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。9. 禁用不必要的服务: 无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
关于cisco路由器漏洞和路由器 cisco的介绍到此就结束了,不知道你找到你需要的信息了吗 ?如果想了解更多这方面的信息,记得收藏关注本站。
