2005年8月1日消息——上周,前Inte.net安全系统研究员迈克尔·林恩(Michael Lynn)在全美2005黑帽大会上做了个关于可靠过程(reliable process)的报告,可以用此可靠过程攻击运行着IOS(Internetworking Operating System)的思科路由器。
虽然林恩在报告中并未给出确切的攻击方法,但他还是透露了不少技术细节,以证明这种攻击确实可能发生,并且用事实提醒人们以前认为路由器和交换机不可攻击的看法是错误的。
最近,好几个站点都映像了林恩关于IOS攻击过程细节的报告。不仅如此,所有主要的网络邮件列表(像NANOG)和许多其它的博客站点(比如安全专家Bruce Schneier的Schnieer on Security博客),都热烈参与这一话题的讨论,谈到了责任、道德、可能的攻击和对攻击日期的推测。还建立了一个合法防御基金,来帮助林恩对付法律方面的斗争。
在对近期大事纷纷扰扰的争吵和辩论中,林恩报告中确切地指出可被攻击的漏洞,这已有先例——认识到这一点很重要。思科公司四月份为这个漏洞打了补丁,思科网站上也去掉了所有有漏洞的IOS版本。此外,只要电话打到了技术支持中心,不管是不是注册客户,思科公司都提供升级服务。
但是,很可能大多数Internet上运行着的路由器还没有安装最新的IOS补丁升级。另外,虽然新的IOS映像对报告中提到的攻击有了免疫力,但用和报告中相同的方法,还是可以攻击IOS上所有新发现的缓存溢出和堆栈溢出漏洞。考虑到思科的IOS软件已经被泄露而广为人知,我们就可以合理推断会发现新的漏洞,不久后,可能会出现蠕虫攻击新漏洞的现象。因为思科的路由器应用范围非常之广,所以,任意一个漏洞或攻击的广泛传播都降引起Internet上的巨大灾难。
在那许多轰轰烈烈讨论的论坛和站点中,我没有看到的一点是,网络管理员应该做些什么来减轻“数字珍珠港(Digital Pearl Harbor,林恩这样描述)”的危险。思科、ISS和许多网络专家都建议管理员升级所有的思科路由器,达到最新的IOS镜像。
虽然这个建议无懈可击,但升级路由器并不是一项简单的工作。除了会引起网络中断外,最新版的IOS镜像还可能带入新的bug,因为它并不仅仅只是解决这一个问题。最新的IOS镜像很可能会解决多个bug,并引入许多新的特性。升级意味着你将不得不面对以前没有干扰过你的新bug。
不幸的是,对于这个问题,没有最好的解决方法。不过,许多有经验的网络管理员,特别是那些在大的Internet服务供应商公司工作的网管人员,大都早已升级过了,并且制订了相应的实际策略。看到社区之间互相共享这些最好的策略,真是太棒了。
在IOS灾难爆发之前,为了完成升级,网络管理员应该做如下工作:
1. 尽可能快地为你管理范围内所有的思科路由器做个清单。
包括型号、IOS版本号、存储容量及路由器对于网络的重要性。另外,还有必要检测路由器是否可以再添加存储模块,因为许多比较旧的路由器只有16MB的内存,不支持升级到最新的IOS镜像。
2. 标记所有可以升级到最新版本的路由器。
应以最快的速度为内存不够但可以添加的路由器增加内存,不能接受新的IOS镜像升级的路由器应马上替换掉。基于以上两点,网络管理员可以标记管辖范围内所有可升级的路由器。
3. 为新的IOS镜像创建一个测试实验室。
如前所述,新的IOS镜像很可能会解决许多bug,并引入新的特性。同时,新的镜像也可能引入新的bug,所以,测试这些新镜像以确保它们可以在真实网络环境中良好运作是绝对重要的。
4. 以最快速度制订一个替换旧路由器的计划。
由于许多公司现在仍在运行旧的硬件,这一点在经济上让人很难接受。但是,至少应该制订一个计划,首先替换最为关键的路由器,然后通过合理的IT预算替换剩余部分。
5. 制订将路由器升级到最新IOS镜像的计划。
测试完毕后,首先升级最为关键的路由器。
在思科彻底解决问题之前,因为会发现新的漏洞,会制造新的攻击,很可能需要多次实时升级。网络管理员及IT社区,应该同心协力创建一个可重用的可靠过程,以便将来也可运用。