路由器、交换机及防火墙漏洞的发现和防止（一）

远程连接到网络资源已经成为现代企业很多员工的工作需要。无论这种连接是通过VPN、远程桌面还是安全壳（SSH）进行的，这种连接将不可避免地穿过装载着路由器、交换机和防火墙的网络，而这些设备中有很多都很容易受到攻击。

安全行业的企业和管理人员都意识到了这个问题，攻击者也意识到这些设备中存在漏洞，任何具有基本网络知识的怀有恶意的人员都可以成功地攻击路由器、交换机和防火墙来窃取企业信息甚至中断通信。

在本文中，我们将探讨为什么这些设备容易受到攻击，现在有多少恶意网络攻击是瞄准路由器、交换机和防火墙的以及企业应该采取什么措施来保护其网络。

攻击思科路由器或交换机

从其核心来看，路由和交换的过程无非是在网络中移动数据包。鉴于这个过程的基本性，路由器和交换机通常被认为是简单的传递设备。然而，需要注意的是，一旦某人获得对路由器或交换机的任何类型的管理访问权限，他们将有可能造成严重的破坏。

首先，让我们看看路由器或交换机可能被攻击的方式之一。在路由和交换市场占据最多市场份额的是思科公司。虽然惠普和Brocade在2层网络交换机市场已 经取得了令人瞩目的进步，但思科仍被网络行业内的很多人视为黄金标准。然而，也正因为思科产品被广泛部署，它们不可幸免地成为攻击者最喜欢的目标。

例如，在Backtrack 5 Linux发行版中，有专门用于思科设备的一整套工具集，这个发行版还配备了很多安全功能和软件来帮助安全管理员进行渗透测试以及检查各种系统中的漏洞。 虽然这些工具主要用于审计，但这些工具也经常被攻击者用来发现基本的漏洞，例如密码漏洞—这可以通过John the Ripper来发现。

幸运的是，现在企业安全专家已经可以开始使用BackTrack 5（第3版本）。如果你还没有安装Backtrack，那么请尽快安装。然后，开始检查有漏洞的网络设备（当然，在你得到企业允许后），定位到以下目录：

/pentest/cisco/cisco-global-exploiter

运行名为cge.pl的Perl文件，这个文件没有任何选项。根据运行的版本的不同，屏幕上最多会出现14个不同的选项，每个选项都会引用一个试图利用不 同漏洞的脚本。这能够帮助企业更有效地测试路由器面向外部的接口，企业应该经常进行测试。假设测试的路由器有一个外部IP地址200.1.1.1，输入以 下命令：

./cge.pl 200.1.1.1 2

这将运行针对外部接口（利用选项二）的漏洞利用，思科IOS路由器拒绝服务漏洞。如果该路由器存在漏洞，在标准输出中将会显示一个消息：漏洞成功被利用。目标服务器已经宕机……

现在，思科漏洞利用非常多，这些漏洞整齐地打包在一个平台内，如果落入坏人手中，会带来严重后果。上面的例子仅仅是很多现有漏洞利用之一。因此，如果这项工作还不是你最优先的工作，请运行这个操作，并认真记下结果；在不久的将来，你将需要它们用来修复。

BGP重定向的风险

利用联网设备的另一个潜在危险就是数据丢失。虽然有几种不同的攻击方式，被称为边界网关协议（BGP）重定向的攻击方法已经越来越令人头痛。

首先，BGP被认为是互联网的核心协议。BGP用于网关主机，它交换路由信息和独特的标识符—自治系统号码（ASN），这个号码由互联网编号分配机构 （IANA）或者区域互联网注册管理机构（RIRs）分配。当数据包穿过ISP的网关时，网关可以通过检查数据包表头中的ASN来识别单个数据包来自哪个 ISP。

很多时候，攻击者会发布他们知道的属于另一个自治系统内企业的路由或者ASN。例如，如果一家银行属于AS1，而攻击者在AS2内操作BGP路由器，他只 需要伪装其路由器作为AS1，很多传输到AS1的流量将会被重定向到AS2。这是一个相当简单的例子，但这个漏洞利用非常容易执行。