网络设备应急响应指南

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络设备应急响应指南相关的知识,希望对你有一定的参考价值。

文章目录

0x01 网络设备应急响应

  • 由于网络设备缺乏数据存储,功能相对比较简单,因此成为攻击的最终目标的可能性较小。
  • 网络设备更可能的是作为攻击者在网络入侵的跳板
    下面的讨论将以Cisco路由器为例,但这些概念对其他大多数厂商的产品都是适用的。

0x02 检测分析

  • 首先要以获得最易失的数据来开始响应过程。
  • 易失性状态次序表明,内存中的信息最易失,而存贮在硬盘驱动器上或不易失的NVRAM中的信息则相对稳定。
  • 因此内存中对调查重要的任何信息,就必须在断电或改变运行中的路由器的状态之前进行保存。
    下面讨论的步骤对在攻击中受影响的路由器是非常重要的。
  • 从这些调查步骤中得出信息将允许您确定路由器是否与您所期望的不同,
  • 如果不同,则表明路由器受到了危及。
  • 根据特定安全事件的具体情况,可以选择忽略或改变这里所讨论的一些操作顺序。

一、建立一个路由器连接

  • 在进行任何操作之前,必须建立起到路由器的连接
  • 访问路由器最好的方法就是从控制台访问。
  • 如果直接连接路由器,那么被正在进行网络访问的攻击者察觉的可能性就较小。
  • 如果使用telnet连接路由器,那么使用嗅探器的攻击者就可能会看到你的流量并意识到调查正在进行。
  • 如果控制台访问不可用,拨号连接或一个象SSH的加密协议都是比telnet更好的选择。
  • 在建立起路由器的连接后,确保把整个会话记入日志

二、记录系统时间

首要步骤之一应该是记录系统时间。使用show clock命令可获得系统时间。

Router>show clock

三、确定已登录的人

接下来,是要确定是否有其他人登录到路由器。使用show usersystat命令可以得到结果。

Router>show users

四、确定路由器的正常运行时间

从上一次重新启动开始的系统在线时间也是很重要的。使用show version命令可以获得此信息。

Router>show version

五、确定监听套接字

  • 路由器提供了许多允许远程连接的服务。
  • 其中最著名的是telnet,但是还有其他一些服务。
  • 发现是否存在访问路由器的其他途径的方法之一是确定路由器上的哪个端口(套接字)正在监听
  • 要确定路由器上正在运行哪些服务,可用一个外部端口扫描程序检查配置文件。
  • 若发现路由器允许通过80端口的web服务器进行远程管理,而端口80通常允许穿过防火墙
  • 这应是攻击者到达和重新配置路由器最可能的途径。

六、存储路由器配置

  • Cisco路由器的配置信息都存储在NVRAM中,然而可以不修改存储在NVRAM中的配置文件而直接改变路由器的配置
  • 对配置的改变是在RAM中进行,只有执行管理性命令时才会将配置存储到NVRAM中。
  • 使用show run命令查看当前路由器所加载的配置。
  • Show startup-config可以查看NVRAM中存储的配置。

七、检查路由表

  • 操纵路由表是入侵路由器的首要原因。
  • 路由表可以通过两种方式操纵,通过命令行访问和通过恶意的路由器更新数据包
  • 可使用show ip route命令查看路由表。

八、检查接口配置

  • 每个路由器的接口配置信息都可以通过show ip interface命令查看。
  • 这个命令以易读的形式提供了大量的信息。

九、查看ARP缓存

  • 攻击者有时使用欺骗的IP或MAC地址绕过安全控制,
  • 例如访问控制列表(ACL),防火墙规则或转换器端口分配。
  • 因此在调查这类攻击时,ARP缓存可以有所帮助。
  • 可使用show ip arp命令查看ARP缓存。

0x03 突发安全事件处理

以下将着眼于对一些涉及到路由器突发安全事件类型的响应,包括如何识别确凿的证据。
我们把涉及到路由器的突发安全事件类型通过以下方式进行分类

  • 直接危害
  • 路由表操纵
  • 偷取信息
  • 拒绝服务

一、处理直接危害型安全事件

对路由器的直接危害是攻击者获得了对路由器的交互式的或特权级访问的任意安全事件。
直接危害为攻击者提供了对路由器的控制和对存储在路由器上数据的访问。

从直接危害型安全事件中恢复,

当从直接危害中恢复时,应在路由器离线的情况下采取所有的恢复步骤。
恢复应该与攻击相对陈。应采取的步骤范例包括以下这些:

  • 去除所有不必要的服务
  • 只允许通过加密协议进行远程访问
  • 不允许SNMP访问或只读访问
  • 不要使用SNMP密码作为其他任何访问的密码
  • 改变所有的密码
  • 配置ACL只允许信任主机连接
  • 把软件升级到最近更新的版本

二、处理路由器表操纵型安全事件

路由器可以使用多种协议更新它们的路由表,这些协议包括RIP、OSPF、EIGRP、IGRP、BGP等等。
涉及到路由表操纵的攻击,危及的是路由器的功能,而不是路由器本身。

调查路由表操纵型安全事件

  • 使用命令show ip route查看当前的路由表。
  • 如果任何路由不能通过常规测试,或者数据包看上去被路由到了远端网络,那么就需要进行仔细调查。
  • 如果在路由表中出现了不熟悉的静态路由,路由器就有可能遭受到了直接危害。

从路由表操纵型安全事件中恢复

从路由表攻击中恢复是简单的:

  • 移去有害的静态路由并重新启动路由器。
  • 然而防止未来发生的攻击就有些困难了。
  • 可以引入ACL限制路由器,使它只对已知良好的源地址进行更新。
  • 选择的路由协议应该允许认证,并应启用认证。

三、处理偷取信息型安全事件

  • 攻击者从路由器上收集到的典型信息包括密码路由选择拓扑结构信息。
  • 从数据偷取中恢复就是改变密码,避免密码重用并限制攻击者获得敏感信息的能力。
  • 最易导致此类事件发生的服务是SNMP服务,它启用时,使用了一个默认的公共字符串:public
  • 如果启用了这项服务,攻击者就可以获得大量敏感的网络信息。

四、处理拒绝服务型攻击

拒绝服务(DoS)攻击经常是针对路由器的。
如果攻击者能够强迫路由器停止转发数据包,那么这台路由器之后的所有主机都被有效禁用了。
DoS攻击分为几个基本的类别:

  • 破坏 指破坏路由器活动能力的攻击,例如删除配置信息或拔去电源
  • 资源消耗 指降低路由器活动能力的攻击,例如同时打开很多到路由器连接
  • 带宽消耗 指尝试耗尽路由器网络带宽容量的攻击

调查DoS攻击

  • 确定DoS攻击的类型应该比较容易的。
  • 如果路由器完全不工作,则可能是破坏型攻击。
  • 首先检查比较明显的问题。电源、电缆和配置。
  • 路由器不时的进行重新启动,可能是点对点攻击造成的,性能在均匀下降则可能是由于资源或带宽消耗攻击造成的。
  • 对路由器的数据包拥塞也可以引起性能下降。
  • 如果路由器打开了端口,过多的SYN或类似的数据包可以影响路由器的性能。
  • 另外,即使路由器没有打开端口,流量拥塞也可以影响路由器或占用带宽以使网络性能极大地下降。
  • 分布式拒绝服务攻击就是带宽攻击的例子。

从DoS攻击中恢复

DoS攻击队网络具有严重的影响,恢复过程通常包含以下措施的混合:

  • 去除监听服务
  • 把软件升级到最新的版本
  • 使用ACL限制对监听服务的访问
  • 用ACL限制恶意的流量
  • 使用专门的抗DoS攻击设备

0x04结束语

  • 网络设备可以在网络攻击中扮演很多角色,可以是攻击的跳板,攻击的目标,也可以是应急响应的工具。
  • 对网管而言,最重要的是理解网络设备各种各样的功能,利用这些功能,进行安全事件的检测、处理和恢复。

摘抄


看淡一点,看轻一点,世事也就轻一点。

人生如月,盈亏有间。

以一颗淡然的心,泰然处之。

人生之旅中,失意也好,顺势也罢,都应自然面对。

人生不要想太多,才不会活得太累,才能开心度过每一天。


以上是关于网络设备应急响应指南的主要内容,如果未能解决你的问题,请参考以下文章

应急响应和安全运营基础

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?

linux应急响应常用命令和思路

Linux应急响应:盖茨木马

网络安全处理应急响应的简单方法