遠程連接到網絡資源已經成為現代企業很多員工的工作需要。無論這種連接是通過VPN、遠程桌面還是安全殼(SSH)進行的，這種連接將不可避免地穿過裝載著路由器、交換機和防火墻的網絡，而這些設備中有很多都很容易受到攻擊。

安全行業的企業和管理人員都意識到了這個問題，攻擊者也意識到這些設備中存在漏洞，任何具有基本網絡知識的懷有惡意的人員都可以成功地攻擊路由器、交換機和防火墻來竊取企業信息甚至中斷通信。

在本文中，我們將探討為什么這些設備容易受到攻擊，現在有多少惡意網絡攻擊是瞄準路由器、交換機和防火墻的以及企業應該采取什么措施來保護其網絡。

攻擊思科路由器或交換機

從其核心來看，路由和交換的過程無非是在網絡中移動數據包。鑒于這個過程的基本性，路由器和交換機通常被認為是簡單的傳遞設備。然而，需要注意的是，一旦某人獲得對路由器或交換機的任何類型的管理訪問權限，他們將有可能造成嚴重的破壞。

首先，讓我們看看路由器或交換機可能被攻擊的方式之一。在路由和交換市場占據最多市場份額的是思科公司。雖然惠普和Brocade在2層網絡交換機市場已經取得了令人矚目的進步，但思科仍被網絡行業內的很多人視為黃金標準。然而，也正因為思科產品被廣泛部署，它們不可幸免地成為攻擊者最喜歡的目標。

例如，在Backtrack 5 Linux發行版中，有專門用于思科設備的一整套工具集，這個發行版還配備了很多安全功能和軟件來幫助安全管理員進行滲透測試以及檢查各種系統中的漏洞。雖然這些工具主要用于審計，但這些工具也經常被攻擊者用來發現基本的漏洞，例如密碼漏洞—這可以通過John the Ripper來發現。

幸運的是，現在企業安全專家已經可以開始使用BackTrack 5(第3版本)。如果你還沒有安裝Backtrack，那么請盡快安裝。然后，開始檢查有漏洞的網絡設備(當然，在你得到企業允許后)，定位到以下目錄：

/pentest/cisco/cisco-global-exploiter

運行名為cge.pl的Perl文件，這個文件沒有任何選項。根據運行的版本的不同，屏幕上最多會出現14個不同的選項，每個選項都會引用一個試圖利用不同漏洞的腳本。這能夠幫助企業更有效地測試路由器面向外部的接口，企業應該經常進行測試。假設測試的路由器有一個外部IP地址200.1.1.1，輸入以下命令：

./cge.pl 200.1.1.1 2

這將運行針對外部接口(利用選項二)的漏洞利用，思科IOS路由器拒絕服務漏洞。如果該路由器存在漏洞，在標準輸出中將會顯示一個消息：漏洞成功被利用。目標服務器已經宕機……

現在，思科漏洞利用非常多，這些漏洞整齊地打包在一個平臺內，如果落入壞人手中，會帶來嚴重后果。上面的例子僅僅是很多現有漏洞利用之一。因此，如果這項工作還不是你最優先的工作，請運行這個操作，并認真記下結果;在不久的將來，你將需要它們用來修復。

BGP重定向的風險

利用聯網設備的另一個潛在危險就是數據丟失。雖然有幾種不同的攻擊方式，被稱為邊界網關協議(BGP)重定向的攻擊方法已經越來越令人頭痛。

首先，BGP被認為是互聯網的核心協議。BGP用于網關主機，它交換路由信息和獨特的標識符—自治系統號碼(ASN)，這個號碼由互聯網編號分配機構(IANA)或者區域互聯網注冊管理機構(RIRs)分配。當數據包穿過ISP的網關時，網關可以通過檢查數據包表頭中的ASN來識別單個數據包來自哪個ISP。

很多時候，攻擊者會發布他們知道的屬于另一個自治系統內企業的路由或者ASN。例如，如果一家銀行屬于AS1，而攻擊者在AS2內操作BGP路由器，他只需要偽裝其路由器作為AS1，很多傳輸到AS1的流量將會被重定向到AS2。這是一個相當簡單的例子，但這個漏洞利用非常容易執行。

超越防火墻

在前文中，我們提到了網絡攻擊者獲得路由器或交換機的管理訪問權限的災難性后果。而如果攻擊者獲得防火墻管理權限，后果將更加嚴重。對于任何企業網絡而言，防火墻都是主要的防御機制，如果攻擊者獲取了關閉防火墻的權限或者甚至能夠操縱它允許某些流量，結果可能是毀滅性的。

例如，假設子網200.1.1.1/24被視為惡意，安全管理員盡職盡責地配置了訪問控制列表( ACL)來阻止所有入站和出站流量到該子網。如果攻擊者成功獲得防火墻管理訪問權限，他們就可以對授權的網絡流量“肆意妄為”，當然還可以制造各種惡意流量和系統請求。

人為因素

各種防火墻供應商會不定期地發布已知漏洞，而這些漏洞可能有或者沒有修復補丁。例如，思科Security Advisories、Response和Notices網站提供了一個方便的數據庫，讓最終用戶了解所有思科產品(包括防火墻)的最新安全問題。筆者發現思科通常會充分地披露已知漏洞，也會發布修復補丁。這在很大程度上是因為思科投資了大量資金來研究其產品的安全性。

總之，如果企業部署了思科基礎設施，實在是沒有理由不保持更新最新漏洞知識。很多企業沒有專門的人員來監控最新發布的補丁或者漏洞，這在很大程度上是因為他們依賴于思科和其他供應商來即時讓他們了解安全問題。不用說，這種做法存在嚴重問題，但這仍不失為系統管理員可選擇的一種方法。因此，負責管理企業防火墻基礎設施的人員必須盡一切努力來了解最新修復補丁、漏洞監控和其他可能產生的問題。

防止路由器、交換機和防火墻被攻擊

那么，我們應該如何防止企業網絡通過路由器、交換機或防火墻受到攻擊呢?在前面的第一個例子中，定期的審計是個不錯的方法。從Backtrack開始，利用該平臺內豐富的工具。請確保在必要時進行更新，并確保出廠默認密碼完全清除。大家都知道思科的默認用戶名和默認密碼都是cisco。

對于BGP漏洞：最有效的做法是在ISP級別解決問題。很多研究涉及利用自治系統之間的公鑰基礎設施(PKI)，也是在ISP層面。而在網絡層面，最好的做法當然是監視入站數據包的路由，并搜索其中的任何異常情況。例如，是否有數據包似乎是來自于你的ISP沒有從其接收路由的自治系統?這可能需要系統管理員和ISP人員一致的對話。

另外，筆者很喜歡將企業路由器放在配置良好的防火墻后面的做法，但隨后應該通過緊密執行的ACL來配置路由器，這樣一來，負擔就不完全在防火墻上。

在避免防火墻遭受攻擊的最佳做法方面，企業應著重考慮在默認情況下阻止所有入站和出站流量，并鼓勵最終用戶解釋為什么某些流量應通過防火墻。此外，嚴格控制誰擁有防火墻的帶外管理訪問權限，以及每個管理員允許從哪里訪問管理功能。換句話說，某些人可能被授予防火墻訪問管理權限，但從操作安全性來看，他們只能從LAN內訪問管理資源，而不是從其居住地或者國外訪問它們。最后，對你現有的防火墻基礎設施進行監控、研究和保持最新更新、補丁和安全漏洞。

牢記上述建議，安全管理員必須謹慎配置路由器和交換機，不僅需要確保嚴格的控制，還需要保證其性能不會受到影響。如果不這樣做，可能意味著你從幸存者淪為受害者。