Ochrona routerów Cisco przed złośliwym kodem

W jaki sposób możemy zabezpieczyć nasze routery Cisco przed kodem typu Rootkit dla IOS, którego koncepcja została ujawniona na ostatniej konferencji EUSecWest?

Cisco oraz ludzie zajmujący się bezpieczeństwem, debatują nad możliwością ataku typu Rootkit dla Cisco IOS, którego możliwość istnienia udowodniono podczas konferencji. Zgodnie z wywiadem opublikowanym na stronie internetowej EUSecWest, autor prezentacji "Da IOS RootKit" Sebastian Muniz, zaprezentował oprogramowanie typu Rootkit, zawarte w binarnej modyfikacji obrazu IOS. Istnieje możliwość, że router Cisco może zostać skompromitowany poprzez instalację zmodyfikowanego obrazu IOS. W odpowiedzi na prezentację, Cisco opublikowało zestaw dobrych praktyk zarządzania urządzeniami opartymi o Cisco IOS.

Obecnie najlepszą metodą ochrony routera jest postępowanie zgodne z opublikowaną przez Cisco, odpowiedzią na prezentację EUSecWest. Dobrą praktyką jest weryfikacja sumy kontrolnej MD5 dla pobranego obrazu IOS, przechowywanie obrazu IOS na dobrze zabezpieczonym serwerze, ograniczenie dostępu do routera dla możliwie małej grupy administratorów, aktualizacja routera najnowszą wersją IOS, a także uważne śledzenie informacji w plikach dzienników urządzenia. Implementacja dobrych praktyk zarządzania ruterami przedstawionych przez Cisco, pozwoli upewnić się, że routery pracują z poprawnym i aktualnym obrazem IOS. Informacje Internet Storm Center z 23 maja br. wskazują także możliwość wykorzystania narzędzi Cisco Security Device Manager oraz Center for Internet Security Router Assessment Tool, jako użytecznych w podniesieniu zabezpieczeń oraz sprawdzeniu poprawności konfiguracji routera Cisco pod kątem bezpieczeństwa. Muniz wskazuje narzędzie CIR (określane nazwą Cisco Information Retrieval lub Cisco Incident Response) jako skuteczne w analizie Cisco IOS, umożliwiające sprawdzenie modyfikacji obrazu IOS, co pomoże w określeniu, czy dany router został zainfekowany. Dokumenty i prezentację technicznych podstaw CIR możemy znaleźć na stronie RecurityLabs.


TOP 200