任何人都可以停止思科漏洞吗？

SNMP问题给出了IPS供应商测试最多的头痛。

通过大卫纽曼，乔尔斯奈德

有个足球雷竞技app |

在三个所选的漏洞中，涉及SNMP的一个涉及我们的IPS供应商最麻烦，尽管我们在某些设备上遇到了所有三个问题。

例如，通常会出现查询UDP.目的端口161.如果攻击者已向端口162（陷阱端口）向端口162发送完全良好的SNMP查询，则iOS的易受攻击版本将重新启动。由于某些设备上的重新启动时间运行到分钟内，即使以非常低的速率攻击也可能会保留易受攻击的路由器，交换机或接入点。

思科于2004年5月宣布并修补了漏洞。考虑到利润的年龄和高调，我们预计所有IPS系统都会在没有事件的情况下检测和阻止它。为了确保我们的植物工具正在触发有效的攻击，我们追踪了一个易受攻击的IOS版本，将其加载到Cisco路由器上，并继续反复崩溃。

只有TippingPoint 5000E在初始测试中发现了漏洞利用。其他五人都错过了它。在几个情况下，供应商要求我们进行流量捕获，所以他们可以编写签名。

即使是5000E也在初始测试期间错过了利用的一个高度不可能的变化。iOS在UDP端口162上侦听未经请求的消息，并在49152到59152的范围内的一个随机端口。TippingPoint设备块发送到其中任何一个端口的征集消息。

但是如果随机选择的端口正在使用中，iOS将在59153至65535的范围内侦听端口。最初，TippingPoint设备未在该第二高编号范围内提供给端口的挖掘漏洞。请注意，此漏洞发生的概率非常低。

TippingPoint写了一个新的签名，以涵盖这种远程可能性，但它在与良性TCP流量同时提供的频率下转发少数Cisco漏洞 - 即使在提供给端口162（推卸点被阻止的挖掘点）时也会提供效果。TippingPoint给了我们第二个更新的签名，但问题持续存在。TippingPoint无法在自己的测试中复制泄漏。

由于我们开始为所有其他供应商加热技术支持线，所以修补的签名速度快速和激情。有些供应商迅速开发出一种封闭签名，阻止了任何形式的利用。其他供应商对我们的测试作出反应，赶紧工作，写了如此含糊的签名，以便几乎担保虚假积极和否定。

对我们有趣的是签名写作过程有多糟糕。Demarc为其Snort的系统提供了签名，并借助信用，也为开源贡献了签名bleedingsnort.org.签名存储库。Demarc的第一次尝试只覆盖了端口162，但它很快添加了签名，以涵盖提供给高号码的漏洞。Demarc做得很好，即使它花了几点试图达到它，而Ambiron Trustwave的iPangel相比，另一个哼唱衍生物。

当iPangel最初错过了Cisco Exploit时，Ambiron TrustWave提供了一种签名，该签名阻止了我们在测试中使用的Cisco SNMP利用的特定变体，但签名可能会导致生产环境中的误报。iPangel签名检查发送到UDP目标端口162或49152-65535的任何SNMP流量。使设备能够通过我们的性能测试，但签名也会在任何合法的SNMP陷阱上生成误报。公司表示，自完成测试以来，它已编写更狭隘的签名。

我们还发现将IPS技术与UTM结合起来的缺点防火墙，一个艰难的设计来实现。Fortinet最初的Fortigate最初转发所有利用流量，不仅仅是思科SNMP攻击。这是因为FortiGate UTM框中的UDP学习问题，其中它将广播它尚未看到目的地MAC地址的所有流量。在这方面，FortiGate就像以太网桥一样，而不是安全设备。Fortinet纠正了新固件的行为，但是当我们攻击系统容量的16％时，IPS仍然转发了所有的利用。当我们使用高编号的目标端口时，它还以任何提供的速率转发Cisco利用。它采用另一个新的固件释放来关闭漏洞。

NFR在我们将工程师发送了一个有效的签名后，我们将其捕获了我们在第一次尝试时错过了漏洞利用时使用的漏洞利用流量。

顶层IPS 5500最初转发Cisco Exploit流量。在我们提供流量捕获后，顶层提供了一种模式匹配的签名，我们发现易于逃避。首先，它只检测到SNMP获取消息，而不是其他征集的消息类型，例如GetNext也会导致重启。其次，它只覆盖了Quericies恰好28字节，当实际上SNMP消息长度是变量的。第三，签名仅覆盖了发送到目标端口162的漏洞，而不是高编号端口。

顶层提供了附加签名以涵盖前两个问题。至于聆听高号码，公司不同意IPS需要阻止这些。公司工程师表示防火墙策略和/或路由器访问控制列表应该足以阻止此流量。

在我们看来，这是一个腐烂的论据。如果防火墙始终完全配置，并且如果主机始终完全修补，则需要基于签名的IPS将消失。因为我们正在测试IPS系统的能力，似乎大多数企业都旨在阻止SNMP，Witty和SQL Slammer在他们的外部防火墙上。更重要的是，机智和SQL砰的蠕虫蠕虫变得臭名昭着，因为人们没有防火墙并正确配置。

这些结果并不意味着IPS系统在增加企业网络的安全性时无用。What they do say, though, is that an IPS can only be one component in a defense-in-depth security strategy, and that it’s much better to eliminate the vulnerabilities in your network by patching software and firmware than it is to depend on the IPS to provide protection.

<以前：可用性测试的全部结果|下一个：IPS报道的缺陷>