今天闲极无聊,发现一事,于是无限放大进行想象,觉得中国的网络安全事业目前还没起步,特别记录下来以提醒自己。也想借此提醒各大老板,点钱之余,勿忘安全。
故事背景:
闲的没事,登上一台手里管理的服务器转悠,突发奇想,看看登录ISP所提供的网关是什么情况,于是就telnet,于是就telnet上去了,瞬间惊着我了。其实以前一直也没想过这方面的事情,比较信任ISP,认为既然人家是做ISP的,必然在网络安全上有所考量,可直接telnet登录上去了,确实出乎我的意料。
故事经过:
telnet xxx.xxx.2.177
Trying xxx.xxx.2.177...
Connected to xxx.xxx.2.177 (xxx.xxx.2.177).
Escape character is '^]'.
User Access Verification
Password:
Password:
Password:
% Bad passwords
Connection closed by foreign host.
故事告诉我们:
本着惩前毖后治病救人的态度,我对IP进行了马赛克处理。虽然密码没有验证通过,通过经验可以猜想,这可能是一台Cisco的设备。使用line vty 0 15, password xxxxxxx, login方式配置的。鉴于其做255.255.255.248划分,猜测其所有网关地址均为248网段的任意起始IP,经测试确实如此,登录2.185和2.193也均出现密码验证界面。
随后经测试,这台路由器可从世界任意角落登录,我甚至从amazon的云上都可以telnet到该路由器。也就是说,没有设置任何禁止ip段,也就是说,没有accesslist deny any any之类的东西。也就是说,我通过暴力,理论上是可以猜出该路由器密码的,也就是说,我如果通过云计算的强大能力,很快就能算出其密码。也就是说,我如果发送bad syn或bad ack去故意制造混乱勾引管理员登录,理论上我是可以嗅探到路由器密码的。也就是说,任何人都可以按我说的做,去故意造成破坏。
当然,这些都是猜想,我没有故意去这样做。也不想写程序去证实这样做的可能性有多大,但是,telnet的明文传输是无法否认的,并且这台路由器确实对全世界用户敞开了无限遐想的大门。
基于此,我就想像,这只是中国一家提供ISP服务的数据中心,但中国还有成百上千上万家数据中心,谁能保证大家都使用了ssh或ipsec,***之类的进行数据管理呢?即便大公司购买了***,防火墙设备,但在ISP提供给你的服务里就存在信息泄露的隐患,你买这些东西有什么用呢?既然你接入服务了,势必需要公网IP,我只要知道你的公网IP,算出你的网关,通过各种不可告人的小伎俩登录到你的网关删除全部路由信息,你就是有无数防火墙也白搭,因为我是在ISP搞破坏,与你的设备毫无关系。假设我把通向新浪的IP路由删除,这将是多么大的灾难。
因此,这件事告诉我们,选择一个安全的ISP是何等重要,重点并不在于他的接入速度是多少,而是他能对你的服务器和数据提供多大强度的保护。而国内的很多ISP,和网站,可能在这方面都不是很重视,老板们更重视的是几兆带宽多少钱。而一旦你的服务器无法访问了,你将付出几十倍于此的代价。而事实上,让你付出这种代价,大概只需要几个小时或几块钱的软件而已。其实找一个会配置ssh或***的人,比ccna多花不了多少钱。
不过说到这,我又痛心疾首了,老板们为了最大限度榨取剩余价值,总是拿IE当NP用,拿NP当NA用,然后让NA端茶递水洗衣叠被。以为这样自己可以多挣钱,殊不知,你给人多少钱,人家给你干多少活这种道理。你给IE发NP的工资,自然人家只做NP的工作,你想让人家干IE人家也不会干。
所以,老板们,赚钱之余稍微抽空关注一下员工和你的网络安全,没事可以高枕无忧,一旦出事,就够你们喝一壶的。
顺便说一下,最近蹭听了一下CCSP的课程,只听了一节,便理解了OpenBSD那帮人为何如此鄙视花钱买***和防火墙的人了。因为几十万设备可以做的事,免费的操作系统一样可以完成,而且不会做的比专业设备差。假如你拿OpenBSD做一个网关路由系统,那你最次也得通过ssh登录,而不是telnet。并且要说明一点,Cisco的IOS可是基于BSD进行二次开发的,最早实现TCP/IP协议的也是BSD系统。所以,BSD系统在网络应用和安全上有着无以伦比的天生优势。我是BSD的忠实爱好者,尽管我用了将近15年左右的Linux,但这并不妨碍我转投了BSD阵营,因为他真的很好很安全。
结尾,不知道我对该ISP的猜测是否正确,最后我是发信给他们请他们关注一下这个事情,衷心的希望这只是一个个案。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
