晚上好,我是老楊。
思科知名度高,待遇也好,很多網工心生向往,也有很多人考過思科認證的相關證書,對思科的印象還是不錯吧?
而且,作為美國著名的網絡裝置廠商,思科是全球路由器巨頭,很多企業使用的關鍵路由器都離不開思科系列産品。
畢竟好用,還有知名度,用起來,工作高效便捷不說,客戶也更有信任感,何樂而不為?
但是在上個月,思科官方發現旗下路由器産品出現嚴重技術漏洞,引發了不小的關注。
具體發生了啥,今兒和你說道說道。
今日文章閱讀福利:《 cisco路由器配置(實戰篇) 》
私信老楊,發送暗号“思科”,即可擷取此份思科官方教材資源,進一步提升你的技術視野。
01 思科又出漏洞?這可不是第一次了
1月11日,思科發現其SMB(中小型企業)路由器中存在兩個嚴重的漏洞(CVE-2023-20025和CVE-2023-20026),可導緻未認證攻擊者完全控制目标裝置,以root權限運作指令。
但由于這些路由器生命周期已結束,思科表示不會釋出新軟體解決這些路由器上的漏洞。
思科RV系列中小企業路由器的所有軟體版本,皆受到CVE-2023-20025、CVE-2023-20026兩漏洞的影響。
CVE-2023-20025是RV系列路由器(RV016、RV042、RV042G和RV082)上網頁管理界面的漏洞,可讓未經身份驗證的遠端攻擊者,繞過裝置上的身份驗證。
造成該漏洞的原因是系統未适當地對使用者輸入進行驗證,攻擊者可以通過網頁管理界面,發送經過設計的HTTP請求利用該漏洞,以成功繞過身份驗證獲得底層作業系統的根通路權限。
另外CVE-2023-20026則是一個路由器遠端指令執行漏洞,該漏洞同樣發生在網頁管理界面,可允許經過身份驗證的遠端攻擊者,在受影響的裝置上執行任意指令。
由于系統對傳輸http封包中的使用者輸入驗證不當,是以可能允許攻擊者獲得根權限,并且通路未經授權的資料,但攻擊者要利用該漏洞,需要先獲得裝置上有效的管理憑證。
思科在公告中指出:“因為已過産品生命周期,思科沒有也不會釋出解決此漏洞的軟體更新。此漏洞沒有解決方法。”
目前,管理者隻能停用遠端管理,并且封鎖對接口口443和60443的通路來緩解漏洞,實行這些緩解措施後,管理者仍然可以透過LAN接口通路路由器。
相關研究人員指出,盡管這些路由器已經停産,但這些裝置現有的安裝基數仍然很大。
過時的裝置仍在商業環境中長期使用的情況并不少見,而更換裝置才是充分保護企業業務的最佳方案。
要知道,這不是第一次發生這種事情。
去年9月,思科RV系列路由器被發現存在零日安全漏洞,但思科明确拒絕修複漏洞,建議使用者買最新的産品。
據報道,當時涉及安全問題的是思科面向中小企業推出的VPN路由器,涉及RV110W、RV130、RV130W 和 RV215W系列,出現的漏洞編号為CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O),與密碼驗證算法錯誤有關,使得攻擊者可以應用專門準備的憑據連接配接到VPN路由器。
根據思科所說,這個漏洞可以讓攻擊者繞過身份驗證,并獲得IPSec VPN通路權限,甚至可以達到網絡管理者同樣的權限,具體要取決于應用的憑據。
對思科來說,發現安全漏洞但明确不予修複的例子也不是一次兩次了,這次涉及的RV系列路由器前年8月就被發現過漏洞,思科當時也是不打算修複,去年6月份又發現了另外的漏洞,思科的态度依然是不管,隻建議使用者更新到最新産品。
換新裝置,才是解決漏洞的究極出路。當然,也有一些同行出了不同的聲音:
“如果思科提前放棄軟體支援,到 2025 年的硬體支援有什麼意義?”
“舉個例子,門鎖很容易受到攻擊,有人撬鎖的話,門鎖廠商都應該被罰款嗎?”
“對于安全産品,我希望至少 15 年内得到全面支援。由于思科對安全問題的漠視,我認為是時候放棄他們的産品了,應該去支援那些不會讓換新裝置以解決問題的企業。”
“有些2016年就停售,2022年初就徹底停止支援了。你買哪個産品能管你一輩子啊?”
“我從事網絡工作大約 20 年,還沒有聽說過任何供應商/産品在銷售結束後能提供 15 年的支援,最多也就5年左右。”
對此,你怎麼看?
02 思科路由器故障可咋整?
當然,雖然思科路由器的漏洞一直陸續出現,但并不是你路由器故障的主要原因。
這裡分享三個思科路由器的故障的場景,以及對應場景下的處理思路,歡迎收藏轉發給更多同行朋友們。
01不堪重負,路由器外網口關閉
1. 網絡環境
某機關使用的是Cisco路由器,租用電信30MB做本地接入和l0MB教育網雙線路上網,兩年來網絡運作穩定,路由器也沒有發生故障。
随着網絡使用者數量增加,原來電信30MB已不能滿足需要,于是決定租用電信100MB來解決帶寬問題。電信采用光纖接入到機關機房後,使用百兆光電轉換器經轉換後通過雙絞線接到路由器外網口上面,該路由器使用是千兆電口作為外網口,由于光電轉換器隻有100MB,該端口連接配接後速度顯示100MB。
2. 外網端口流量為零
經過幾天的運作,管理者發現每天當路由器外網口流量超過50Mbps/s後,該端口就會出現“Receive Errors” ,流量超大,錯誤資訊很多。
然後外網不能上了,Telnet到路由器上面,發現電信對應的外網口沒有流量,顯示狀态為UP,路由器上其他端口工作正常。第一反映是電信的那邊出現問題了,是電話通知電信那邊查檢一下,對方很快回應說沒有什麼問題,并詢問是否光電轉換器當機了。
于是管理者将光電轉換器重新開機後,故障依然。沒有辦法,隻好将路由器重新開機一下,故障排除。但是過了不到一個小時,故障又重制。
Telnet到路由器後将該外網口執行shutdown和undo shutdown後,故障排除。誰知,将所有有關病毒的安全政策應用到該端口,将tcp mss修改為2o48(廠商預設1460),故障依然出現。
3. 故障分析
管理者發現在故障發生時,CPU顯示23%,Memory為33%,不算太高,關鍵是其他接口都正常工作,看樣子問題還是出現在這個端口上面。可這個端口已用了兩年了,更新擴容以前沒有出現端口不能正常通訊的情況,端口硬體應該是有什麼問題。
通過網管軟體對端口關閉前的流量檢測,發現該端口關閉前有很大的流量通過(超過80Mbps/s) ,顯示端口的錯誤資訊也比較多。通過分析得知應該是網絡流量太大,使用率過高所緻。
流量超過80%後,造成端口不能正常。如果該端口能工作千兆模式下,100MB帶寬僅利用該端口10%,這樣端口可以輕松處理。
4. 解決方案
在找到症結後,推薦的解決方案是購買千兆光電轉換器代替原來的百兆裝置,而且價格也比較便宜。但為了保證網絡運作的穩定性,該機關決定直接購買一個千兆光口路由子產品,直接利用光纖進行通訊,減少網絡延時。
電信則通過端口限速來控制保證提供百兆帶寬。通過一段時間運作,發現該端口除了有少量錯誤資訊外,再沒有出現過端口無故關閉情況。
如果看完,你覺得想要深入學習交換機技術,又苦于無從下手,十分茫然,也歡迎私信老楊,咨詢學習規劃詳情。
02路由器為何發包失敗
在路由器的配置過程中,經常會碰到這樣的問題:網絡通信正常,路由器可以成功路由資料包到目标網絡,但是從路由器發的資料包卻傳送失敗,故障表現為路由器ping目标網絡失敗,下面就是一個典型的案例。
1. 現象描述
某機關的網絡配置完成後,管理者在測試網絡連通性時發現:從PC機(6.159.245.195) 向目标網絡(6.159.245.65/26)發送Ping時,路由器R1可以成功轉發資料包,然而從R1向目标網絡(6.159.245.65/26) 發送ping時,出現ping失敗。
2. 排錯過程
首先,跟蹤ping所經過的路徑。檢查R1的路由表,目标位址6.159.245.65可以與路由表中0.0.0.0/0相比對。檢查R2、R3、R4的路由表,均可以發現與目标位址比對的路由表項。
然後,跟蹤ICMP回應應答資料包所經過的路徑。為完成這一步驟,要明确回應資料包的源位址,PC發送ping時,回應應答資料包的目标位址就是6.159.245.195。而路由器R1發送ping時,回應應答資料包的目标位址就是71.170.0.146。
對照R4的路由表,發現與 6.159.245.195比對的路由表項,而未發現與目标位址71.170.0.146相比對的路由表項。
看來,ICMP的回應應答資料包在R4處理時被丢棄了,是以從R1向目标網絡R4(6.159.245.65/26) 發送ping時,出現pmg失敗。
3. 解決辦法
在路由器R4上增加一條指向71.170.0.144/30的靜态路由,下一跳的位址為71.170.0.214。完成後,在R1向R4發送ping時,發現一切正常了。
此類網絡故障盡管不會影響網絡的正常通信,排除的過程也很簡單,但網絡故障的分析與排除時,我們要考慮完整的通信過程。
03艱難的Cisco路由器IOS更新之旅
某學校從2003年開始建設校園網,近年來上網人數不斷增加,使原來的Cisco 2621已經遠遠不能滿足網絡的需求。而且最近要上0A辦公系統,需要增加一台VPN裝置,用于校外使用者對校内0A系統的通路。
出于經濟上的考慮,他們想通過更新閑置的Cisco 2621路由器來做VPN。不過,在更新IOS的過程中遇到一些問題。
1. 超級終端登入出現亂碼
從機房的倉庫裡拿出路由器,通電。通過Console口連上去,發現超級螢幕出現了一些亂碼。會不會是Consol口壞了?
分析認為Cisco裝置如果出現Console口壞了,一般會在超級終端螢幕上不斷輸出很多的亂碼。但是這回出現的卻是輸入Enter鍵後,才在螢幕上出現亂碼,可能是每秒傳輸速率不對。
管理者将預設值9600更換為l15200。路由器啟動成功。路由器啟動完後,用show run确實發現Console的速率為l15200。
2. 記憶體不夠更新失敗
要更新的這台Cisco2621路由器帶有VPN的功能。原來的IOS版本為C2600-i-mz.122-8.T4.bin。從網上得知 Cisco 2621隻有K8、K9系列的IOS才能支援VPN。
于是管理者從網上下載下傳新的IOS c2600-ik9o3s3-mz.123-22.bin,大小為15MB。
更新過程如下:
(1)配置路由器Interfast 0/0的IP位址,先用“copy flash:tftp”把原來的IOS備份出來,并通過“copy tftpd flash” 指令上傳。
(2)重新啟動路由器,發現如下的提示錯誤,大意是沒有足夠的記憶體運作IOS:
Error:memory requirements exceed available memory Memory required:0x0284A0BC
在Cisco官方網上查詢,發現c2600-ik9o3s3-mz.123-22.bin這個10s鏡像要求路由器的記憶體為 64MB,Flash為16MB。從上面的啟動資訊可以看出,這台路由器的記憶體為32MB,當然啟動不起來了。
後來在網上購買了一條l28MB的記憶體換上去,加大記憶體後,啟動路由器成功。
3. 在ROM模式下通過TFTP上傳IOS效驗失敗
由于路由器IOS更新失敗,是以想恢複原來的IOS。Cisco IOS更新失敗後,恢複IOS的方式有兩種:FTP和Xmodem。TFTP的傳輸速度快一些,Xmodem的傳輸速度比較慢。
在R0M模式下,用TFTP上傳IOS,過程如下:
(1)在interfast 0/0配置IP位址,配置完後用set指令檢視。預設情況下,在R0M模式下配置的IP位址是在interfast 0/0下的,所配置的IP位址應該要與TFTP伺服器在同一個網段内。
(2)用tftpdnld方式下載下傳,TFTP ServerMg開始時用Cisco的TFTP,但傳輸一半就逾時。
用3Cdaemon傳輸完後,發現如下的警告:
TFTP flash C0PY:Warning,ChecksSum comparison failed. 重新開機路由器,路由器無法啟動,提示IOS效驗錯誤。
原想可能是IOS下載下傳時出現錯誤,但是重新下載下傳了c2600-ipbase-mz.123-6c.bin還是不行,看來不是IOS的問題。後來更換了網線TFTP軟體還是不行。
4. 解決辦法
用Xmodem來傳。為了使傳輸速度快點,我們應該修改Xmodem的傳輸速度為ll5200。IOS通過Xmodem傳輸完後,重新開機路由器,路由器已經可啟動。
(1)在用TFTP上傳IOS時,如果提示效驗錯誤,就應該考慮采用Xmodem方式上傳。
(2)TFTP伺服器的IP的位址要和路由器的以太網口在一個網段上。
(3)在用Xmodem上傳IOS時,最好采用Windows自帶的超級終端。
(4)TFTP (Trivial File Transfer Protoco1)檔案傳輸協定最大就支援傳輸32MB的檔案。如果IOS大于32MB時,可以考慮采用第三方的TFTP軟體,如3Cdaemon。
整理:老楊丨10年資深網絡工程師,更多網工提升幹貨,請關注公衆号:網絡工程師俱樂部