【觸及RouterKit】

就如攻擊視窗系統(tǒng)人喜歡用NTRK，攻擊Linux的人則喜歡用rootkit，Router的世界也有這優(yōu)秀的Kit，讓人愛不釋手。

*密碼破解機

得到路由配置文件后，如果看見在特權(quán)模式的配置中可能會有：“enable password 7 14341B180F0B187875212766”這樣的加密字串。那么恭喜了，enable password命令的密碼加密機制已經(jīng)很古老,存在極大安全漏洞。通過一些簡單的工具就可以得到破解的特權(quán)密碼。

*RAT的豐厚禮物

RAT是系統(tǒng)管理網(wǎng)絡(luò)安全研究機構(gòu)(SANS)開發(fā)的免費路由審核工具(route audit tools)。這套工具能自動和立即的檢索路由配置的情況，并針對配置的問題給出極其詳盡的漏洞發(fā)現(xiàn)和推薦修改配置，并能尋址SNMP的漏洞給予安全建議。這種安全的配置文檔對于管理員和黑帽來說，都是非常珍貴的資料。

RAT是用Pearl語言編寫而成，因此在Windows需要安裝ActiveState Perl的環(huán)境。安裝過程十分簡單，對于路由的掃描結(jié)果以Html和ASCII文本格式給予用戶查看。下面是掃描的具體實例。

Exploit：

C:\>perl c:\rat\bin\rat –a –u username –w passwd –e enablepass {router_ip_addr}

snarfing router_ip_addr...done.

auditing router_ip_addr...done.

ncat_report: Guide file rscg.pdf not found in current directory. Searching...

Linking to guide found at c:\rat/rscg.pdf

ncat_report: writing {router_ip_addr}.ncat_fix.txt.

ncat_report: writing {router_ip_addr}.ncat_report.txt.

ncat_report: writing {router_ip_addr}.html.

ncat_report: writing rules.html (cisco-ios-benchmark.html).

ncat_report: writing all.ncat_fix.txt.

ncat_report: writing all.ncat_report.txt.

ncat_report: writing all.html.

(注：-a參數(shù)掃描所有漏洞選項，-u登錄帳戶，-w登陸密碼，-e特權(quán)模式密碼。掃描產(chǎn)生的漏洞檢測報告和安全建議則使用ncat_report寫入相關(guān)文件中。{router_ip_addr}是實際的路由IP地址)

可以說RAT 是IOS的安全配置檢測工具，提供了詳細(xì)的配置安全漏洞，并提供Fix Script for {router_ip_addr}的修補腳本，這樣周全的工具不僅是管理員的福音，也給入侵者帶來巨大好處。如果入侵者得到這樣一份周詳?shù)膱蟾?，情況會有多糟糕？

可惜的是，這樣優(yōu)秀的程序在對路由配置文件進行檢索時，所用的snarf程序是以telnet的方式對配置文件進行檢索，這樣的話，任何傳輸過程都將是明文的方式，而程序的文檔介紹中推薦使用的SSH協(xié)議本身也并不完善(可參閱【另類攻擊】部分的介紹)，這樣就為攻擊者提供了偷竊的途徑，從而獲得路由全面的明晰配置圖，這樣結(jié)果對于網(wǎng)管來說將是多么的不幸。因此我們需要謹(jǐn)慎的使用這個威力巨大的工具。

當(dāng)然，這個優(yōu)秀的免費工具帶給我們的另一個豐厚的禮物便是程序中自動裝入《路由安全配置指南》(RSCG)的PDF文檔，里面詳盡的Cisco安全路由配置文檔介紹了路由的管理和安全配置方式，給出薄弱的路由配置配置說明。這種實惠既便利了安全工作者對于理解，也成為了攻擊者利用漏洞的極佳參考。

*終極力量Solarwinds

Solarwinds公司出品Solarwinds.net的全面產(chǎn)品中包容了針對許多管理監(jiān)測Cisco設(shè)備的精美工具，良好的GUI、容易操作的截面、還有Perfect的Toolbar(比較起龐大而復(fù)雜的Ciscowork管理軟件，我偏向于Solarwinds提供的簡單配置工具，當(dāng)然Ciscowork如果被攻擊者運用，那么破壞的威力簡直可以搞拷一個大型網(wǎng)站的通信樞紐。至于Ciscowork的使用說明，因為篇幅問題，不在贅述)。

主要工具簡介：

SNMP Dictionary Attack

SNMP字典攻擊用于測試SNMP的社區(qū)字串的強度。在SNMP字典攻擊中，攻擊程序首先裝載社區(qū)字串習(xí)慣用語字典和字典編輯器編輯的字典，然后按照字典排序進行猜解。

SNMP Brute Force Attack

SNMP暴力破解程序?qū)宰帜负蛿?shù)字的組合形式遠(yuǎn)程對SNMP的只讀字串和讀寫字串進行窮舉破解，同時我們可以定義包括的字符和字串的估計長度，這樣有助于加快破解速度。

Router Security Check

路由安全檢查程序能嘗試的進入到路由器中并提示IOS是否需要升級，同時它也自動嘗試只讀和讀寫的SNMP社區(qū)字串。下面就是一個實際檢測的結(jié)果：

IP Address202.xx.xx.xxSystem Namecisco7507Contact--Test Contact—010xxxxxxLocationCisco Internetwork Operating System Software IOS (tm) RSP Software (RSP-AJSV-M), Version 12.0(7), RELEASE SOFTWARE (fc1)Copyright (c) 1986-1999 by cisco Systems, Inc.Compiled Wed 13-Oct-99 23:20 by phanguyeRead-Only Community StringsILMIxxxxRead-Write Community StringsILMIXxxx

注：從結(jié)果看，我們獲得了讀寫字串，這種利用方式在前面已經(jīng)論述過，不在重復(fù)。使用x隱含了真實的屬性資料。

Remote TCP Session Reset

可以遠(yuǎn)程顯示路由器上的所有TCP活動連接，更有意思的是，如果得知SNMP社區(qū)的讀寫字串，這個程序可以隨意切斷TCP的連接，這種惡作劇也常常讓人苦惱不堪。

Cisco Router Password Decryption

不言而喻，這個程序是用來破解特權(quán)模式下的密碼。至于如何取得密碼，請參閱【觸及RouterKit】的說明。

當(dāng)然，除了以上幾種工具外，Solarwinds來集合了實用的Config Editor/View，upload Config，Download Config，Running Vs Startup Configs，Proxy Ping， Advanced CPU Load，Router CPU Load路由配置管理工具，通過工具名字我們不難得出這些工具的用途。

Solarwinds牛刀小試

這里將使用Solarwinds的工具組合進行一次高層次的入侵演習(xí)。不過這里的先決條件是，你已經(jīng)通過各種漏洞探測針方式獲取了社區(qū)可讀寫的字串(粗魯?shù)淖龇ň涂衫猛ㄟ^Solarwinds SNMP暴力破解方式來獲取讀寫字串)。

首先，創(chuàng)建一個包含新密碼的文本文件：

enable password New*Password

注：這種設(shè)置甚至可以覆蓋enable secret 5加密設(shè)置，不清楚Cisco既然得知Password 7方式加密是非常容易破解的，為什么還要保留這個遺物。

接著，在文件中輸入修改登錄密碼的語句：

line vty 0 4password New*Passwordlogin

啟動Solarwinds自帶的TFTP服務(wù)器，把創(chuàng)建的文件放置到服務(wù)器的根目錄中。并在Config uploader實用工具中輸入路由地址，讀寫字串和TFTP服務(wù)器的地址，并在TFTP目錄中選擇剛才創(chuàng)建的文件，按“Copy config PC to Router/Switch”。大致過程如圖示：

通過這種隱蔽的方式，我們更改了路由器的登錄密碼和特權(quán)模式密碼。這種把戲經(jīng)常讓通過遠(yuǎn)程管理路由的網(wǎng)管大吃一驚，但重啟路由后我們設(shè)置的密碼就失效了。原因在于我們是在Running-conf模式下修改路由配置，而沒有保存到NVRAM中。當(dāng)然，許多過激的做法干脆使用修改的密碼登錄路由器，把配置文件寫(write)到NVRAM。強權(quán)控管路由設(shè)備。

【幾點安全建議】

綜述了這些觸目驚心的漏洞和威力無比工具的應(yīng)用，我們是否應(yīng)該行動起來，采取適當(dāng)?shù)拇胧﹣肀Ｗo自身利益呢？

*關(guān)于IOS的問題

1.通過no ip http server取消http服務(wù)，消除Http帶來的隱患。

2.限制SNMP訪問配置

access-list 10 permit 204.50.25.0 0.0.0.255snmp-server community readwrite RW 10 (通過ACL限制受信主機訪問)###########監(jiān)測非授權(quán)的SNMP訪問配置##########snmp-server enable traps (設(shè)置陷阱)snmp-server trap-authentication (如何認(rèn)證失敗，告訴路由發(fā)送陷阱。)snmp-server host 204.50.25.5 (陷阱消息接受工作站)(注：ciscoworks 工作站可以截獲這些信息。)

3.及時升級Cisco的IOS程序或者修補程序

4.推薦閱讀RAT中的RSCG文檔建議

5.利用安全工具對路由進行安全檢查。

【編輯推薦】

1. IOS觸發(fā)cisco交換機故障恢復(fù)方案匯總
2. Cisco防火墻服務(wù)模塊應(yīng)用檢查拒絕服務(wù)漏洞
3. Cisco華為和Intel交換機的對比賞析