晚上好,我是老杨。
思科知名度高,待遇也好,很多网工心生向往,也有很多人考过思科认证的相关证书,对思科的印象还是不错吧?
而且,作为美国著名的网络设备厂商,思科是全球路由器巨头,很多企业使用的关键路由器都离不开思科系列产品。
毕竟好用,还有知名度,用起来,工作高效便捷不说,客户也更有信任感,何乐而不为?
但是在上个月,思科官方发现旗下路由器产品出现严重技术漏洞,引发了不小的关注。
具体发生了啥,今儿和你说道说道。
今日文章阅读福利:《 cisco路由器配置(实战篇) 》
私信老杨,发送暗号“思科”,即可获取此份思科官方教材资源,进一步提升你的技术视野。
01 思科又出漏洞?这可不是第一次了
1月11日,思科发现其SMB(中小型企业)路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。
但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。
思科RV系列中小企业路由器的所有软件版本,皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响。
CVE-2023-20025是RV系列路由器(RV016、RV042、RV042G和RV082)上网页管理界面的漏洞,可让未经身份验证的远程攻击者,绕过装置上的身份验证。
造成该漏洞的原因是系统未适当地对用户输入进行验证,攻击者可以通过网页管理界面,发送经过设计的HTTP请求利用该漏洞,以成功绕过身份验证获得底层操作系统的根访问权限。
另外CVE-2023-20026则是一个路由器远程命令执行漏洞,该漏洞同样发生在网页管理界面,可允许经过身份验证的远程攻击者,在受影响的装置上执行任意命令。
由于系统对传输http封包中的用户输入验证不当,因此可能允许攻击者获得根权限,并且访问未经授权的数据,但攻击者要利用该漏洞,需要先获得设备上有效的管理凭证。
思科在公告中指出:“因为已过产品生命周期,思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。”
目前,管理员只能停用远程管理,并且封锁对接口口443和60443的访问来缓解漏洞,实行这些缓解措施后,管理员仍然可以透过LAN接口访问路由器。
相关研究人员指出,尽管这些路由器已经停产,但这些设备现有的安装基数仍然很大。
过时的设备仍在商业环境中长期使用的情况并不少见,而更换设备才是充分保护企业业务的最佳方案。
要知道,这不是第一次发生这种事情。
去年9月,思科RV系列路由器被发现存在零日安全漏洞,但思科明确拒绝修复漏洞,建议用户买最新的产品。
据报道,当时涉及安全问题的是思科面向中小企业推出的VPN路由器,涉及RV110W、RV130、RV130W 和 RV215W系列,出现的漏洞编号为CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O),与密码验证算法错误有关,使得攻击者可以应用专门准备的凭据连接到VPN路由器。
根据思科所说,这个漏洞可以让攻击者绕过身份验证,并获得IPSec VPN访问权限,甚至可以达到网络管理员同样的权限,具体要取决于应用的凭据。
对思科来说,发现安全漏洞但明确不予修复的例子也不是一次两次了,这次涉及的RV系列路由器前年8月就被发现过漏洞,思科当时也是不打算修复,去年6月份又发现了另外的漏洞,思科的态度依然是不管,只建议用户升级到最新产品。
换新设备,才是解决漏洞的究极出路。当然,也有一些同行出了不同的声音:
“如果思科提前放弃软件支持,到 2025 年的硬件支持有什么意义?”
“举个例子,门锁很容易受到攻击,有人撬锁的话,门锁厂商都应该被罚款吗?”
“对于安全产品,我希望至少 15 年内得到全面支持。由于思科对安全问题的漠视,我认为是时候放弃他们的产品了,应该去支持那些不会让换新设备以解决问题的企业。”
“有些2016年就停售,2022年初就彻底停止支持了。你买哪个产品能管你一辈子啊?”
“我从事网络工作大约 20 年,还没有听说过任何供应商/产品在销售结束后能提供 15 年的支持,最多也就5年左右。”
对此,你怎么看?
02 思科路由器故障可咋整?
当然,虽然思科路由器的漏洞一直陆续出现,但并不是你路由器故障的主要原因。
这里分享三个思科路由器的故障的场景,以及对应场景下的处理思路,欢迎收藏转发给更多同行朋友们。
01 不堪重负,路由器外网口关闭
1. 网络环境
某单位使用的是Cisco路由器,租用电信30MB做本地接入和l0MB教育网双线路上网,两年来网络运行稳定,路由器也没有发生故障。
随着网络用户数量增加,原来电信30MB已不能满足需要,于是决定租用电信100MB来解决带宽问题。电信采用光纤接入到单位机房后,使用百兆光电转换器经转换后通过双绞线接到路由器外网口上面,该路由器使用是千兆电口作为外网口,由于光电转换器只有100MB,该端口连接后速度显示100MB。
2. 外网端口流量为零
经过几天的运行,管理员发现每天当路由器外网口流量超过50Mbps/s后,该端口就会出现“Receive Errors” ,流量超大,错误信息很多。
然后外网不能上了,Telnet到路由器上面,发现电信对应的外网口没有流量,显示状态为UP,路由器上其他端口工作正常。第一反映是电信的那边出现问题了,是电话通知电信那边查检一下,对方很快回应说没有什么问题,并询问是否光电转换器死机了。
于是管理员将光电转换器重启后,故障依然。没有办法,只好将路由器重启一下,故障排除。但是过了不到一个小时,故障又重现。
Telnet到路由器后将该外网口执行shutdown和undo shutdown后,故障排除。谁知,将所有有关病毒的安全策略应用到该端口,将tcp mss修改为2o48(厂商默认1460),故障依然出现。
3. 故障分析
管理员发现在故障发生时,CPU显示23%,Memory为33%,不算太高,关键是其他接口都正常工作,看样子问题还是出现在这个端口上面。可这个端口已用了两年了,升级扩容以前没有出现端口不能正常通讯的情况,端口硬件应该是有什么问题。
通过网管软件对端口关闭前的流量检测,发现该端口关闭前有很大的流量通过(超过80Mbps/s) ,显示端口的错误信息也比较多。通过分析得知应该是网络流量太大,利用率过高所致。
流量超过80%后,造成端口不能正常。如果该端口能工作千兆模式下,100MB带宽仅利用该端口10%,这样端口可以轻松处理。
4. 解决方案
在找到症结后,推荐的解决方案是购买千兆光电转换器代替原来的百兆设备,而且价格也比较便宜。但为了保证网络运行的稳定性,该单位决定直接购买一个千兆光口路由模块,直接利用光纤进行通讯,减少网络延时。
电信则通过端口限速来控制保证提供百兆带宽。通过一段时间运行,发现该端口除了有少量错误信息外,再没有出现过端口无故关闭情况。
如果看完,你觉得想要深入学习交换机技术,又苦于无从下手,十分茫然,也欢迎私信老杨,咨询学习规划详情。
02 路由器为何发包失败
在路由器的配置过程中,经常会碰到这样的问题:网络通信正常,路由器可以成功路由数据包到目标网络,但是从路由器发的数据包却传送失败,故障表现为路由器ping目标网络失败,下面就是一个典型的案例。
1. 现象描述
某单位的网络配置完成后,管理员在测试网络连通性时发现:从PC机(6.159.245.195) 向目标网络(6.159.245.65/26)发送Ping时,路由器R1可以成功转发数据包,然而从R1向目标网络(6.159.245.65/26) 发送ping时,出现ping失败。
2. 排错过程
首先,跟踪ping所经过的路径。检查R1的路由表,目标地址6.159.245.65可以与路由表中0.0.0.0/0相匹配。检查R2、R3、R4的路由表,均可以发现与目标地址匹配的路由表项。
然后,跟踪ICMP回应应答数据包所经过的路径。为完成这一步骤,要明确回应数据包的源地址,PC发送ping时,回应应答数据包的目标地址就是6.159.245.195。而路由器R1发送ping时,回应应答数据包的目标地址就是71.170.0.146。
对照R4的路由表,发现与 6.159.245.195匹配的路由表项,而未发现与目标地址71.170.0.146相匹配的路由表项。
看来,ICMP的回应应答数据包在R4处理时被丢弃了,所以从R1向目标网络R4(6.159.245.65/26) 发送ping时,出现pmg失败。
3. 解决办法
在路由器R4上增加一条指向71.170.0.144/30的静态路由,下一跳的地址为71.170.0.214。完成后,在R1向R4发送ping时,发现一切正常了。
此类网络故障尽管不会影响网络的正常通信,排除的过程也很简单,但网络故障的分析与排除时,我们要考虑完整的通信过程。
03 艰难的Cisco路由器IOS升级之旅
某学校从2003年开始建设校园网,近年来上网人数不断增加,使原来的Cisco 2621已经远远不能满足网络的需求。而且最近要上0A办公系统,需要增加一台VPN设备,用于校外用户对校内0A系统的访问。
出于经济上的考虑,他们想通过升级闲置的Cisco 2621路由器来做VPN。不过,在升级IOS的过程中遇到一些问题。
1. 超级终端登录出现乱码
从机房的仓库里拿出路由器,通电。通过Console口连上去,发现超级屏幕出现了一些乱码。会不会是Consol口坏了?
分析认为Cisco设备如果出现Console口坏了,一般会在超级终端屏幕上不断输出很多的乱码。但是这回出现的却是输入回车键后,才在屏幕上出现乱码,可能是每秒传输速率不对。
管理员将默认值9600更换为l15200。路由器启动成功。路由器启动完后,用show run确实发现Console的速率为l15200。
2. 内存不够升级失败
要升级的这台Cisco2621路由器带有VPN的功能。原来的IOS版本为C2600-i-mz.122-8.T4.bin。从网上得知 Cisco 2621只有K8、K9系列的IOS才能支持VPN。
于是管理员从网上下载新的IOS c2600-ik9o3s3-mz.123-22.bin,大小为15MB。
升级过程如下:
(1)配置路由器Interfast 0/0的IP地址,先用“copy flash:tftp”把原来的IOS备份出来,并通过“copy tftpd flash” 命令上传。
(2)重新启动路由器,发现如下的提示错误,大意是没有足够的内存运行IOS:
Error:memory requirements exceed available memory Memory required:0x0284A0BC
在Cisco官方网上查询,发现c2600-ik9o3s3-mz.123-22.bin这个10s镜像要求路由器的内存为 64MB,Flash为16MB。从上面的启动信息可以看出,这台路由器的内存为32MB,当然启动不起来了。
后来在网上购买了一条l28MB的内存换上去,加大内存后,启动路由器成功。
3. 在ROM模式下通过TFTP上传IOS效验失败
由于路由器IOS升级失败,所以想恢复原来的IOS。Cisco IOS升级失败后,恢复IOS的方式有两种:FTP和Xmodem。TFTP的传输速度快一些,Xmodem的传输速度比较慢。
在R0M模式下,用TFTP上传IOS,过程如下:
(1)在interfast 0/0配置IP地址,配置完后用set命令查看。默认情况下,在R0M模式下配置的IP地址是在interfast 0/0下的,所配置的IP地址应该要与TFTP服务器在同一个网段内。
(2)用tftpdnld方式下载,TFTP ServerMg开始时用Cisco的TFTP,但传输一半就超时。
用3Cdaemon传输完后,发现如下的警告:
TFTP flash C0PY:Warning,ChecksSum comparison failed. 重启路由器,路由器无法启动,提示IOS效验错误。
原想可能是IOS下载时出现错误,但是重新下载了c2600-ipbase-mz.123-6c.bin还是不行,看来不是IOS的问题。后来更换了网线TFTP软件还是不行。
4. 解决办法
用Xmodem来传。为了使传输速度快点,我们应该修改Xmodem的传输速度为ll5200。IOS通过Xmodem传输完后,重启路由器,路由器已经可启动。
(1)在用TFTP上传IOS时,如果提示效验错误,就应该考虑采用Xmodem方式上传。
(2)TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。
(3)在用Xmodem上传IOS时,最好采用Windows自带的超级终端。
(4)TFTP (Trivial File Transfer Protoco1)文件传输协议最大就支持传输32MB的文件。如果IOS大于32MB时,可以考虑采用第三方的TFTP软件,如3Cdaemon。文章来源:https://www.toymoban.com/news/detail-412705.html
整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部文章来源地址https://www.toymoban.com/news/detail-412705.html
到了这里,关于思科路由器发现重大漏洞,解决方法是……的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!