在很多环境中,我看到思科硬件被当作“设置后就忘掉”的东西。许多管理员根本不考虑更新 IOS。如果你查看 Packstorm 或 Bugtraq 等网站,有些月份你会看到大量攻击都集中在 IOS 上。如果有人不愿意让他们的路由器/交换机保持最新状态,尤其是在新的零日漏洞发布时,那么真正的风险是什么?
更新:我们都很聪明,知道理论上可能导致什么问题,但根据我的经验,这些网络已经存在很长一段时间了,尽管内部员工可以根据需要利用这一点。
有谁经历过针对思科设备的攻击并愿意参与其中吗?
答案1
这取决于您的部署规模,以及您愿意运行未经测试的代码的程度。例如,许多大公司都有自己的内部网络架构团队,他们需要在推出新代码版本之前确认所有必需的功能/配置是否按宣传的那样运行/
另一方面,如果您的整个网络由十台设备组成,并且您是唯一的网络管理员,那么新版本发布和您部署之间的时间窗口可能仅受限于您下载映像的速度。
以下是一些过去对我很有用的经验法则:
尝试在特定型号的硬件的所有实例上运行相同版本的代码。这简化了库存管理;无需检查给定的安全建议适用于哪些设备。它要么适用于所有设备,要么不适用于任何设备。
如果您与 Cisco 签订了当前支持合同,请让您的 SE 为您执行错误清除。指定您需要的功能和您正在运行的硬件平台,然后让他们为您找到适合您的版本。
直接面向互联网或可通过互联网路由的设备应该绝不让存在已知漏洞的代码继续运行。说真的,千万不要这么做。
答案2
您提到的 Packstorm 和 Bugtraq 已经回答了您的问题。与任何更新一样,您可能会接触到:
- 安全风险
- 可靠性问题
- 缺少新功能
- 其他
我会用另一个问题来回答:为什么不呢?这样做太草率了。
答案3
我们有一项政策;
重大错误修复存在真正的攻击危险 - 我们在参考设备中测试代码 48 小时,然后尽快投入生产。小错误修复风险有限 - 每两周进行一次汇总测试,每月按计划时间推出。其他任何内容都会按季度汇总并推出,甚至更长时间。
基本上,这都是关于风险管理的;如果您的网站不是那种受到大量攻击的网站,并且您的企业可以时不时地忍受 DDOS 或黑客攻击,那么坚持使用已知的稳定版本可能确实有意义。如果您是一个容易攻击的目标(我们就是这样),那么您需要投入更多的时间和精力,并以应有的尊重和耐心对待它。
希望这可以帮助。