Вы на самом деле поддерживаете IOS?

Question

Вы на самом деле поддерживаете IOS?

Во многих средах аппаратное обеспечение Cisco рассматривается как "установи и забудь". Многие администраторы даже не думают об обновлении IOS. Если вы посмотрите в таких местах, как Packstorm или Bugtraq, через несколько месяцев вы увидите множество атак, сосредоточенных на IOS. Каковы реальные риски, если кто-то не заинтересован в обновлении своих маршрутизаторов / коммутаторов, особенно когда начинается новый нулевой день?

Обновление: мы все умные и знаем, какие теоретические проблемы могут быть вызваны, но я знаю, что эти сети оставались в силе довольно долго, даже если внутренний сотрудник мог бы использовать это, если они того пожелают.

Кто-нибудь испытал атаку на оборудование Cisco, которое хотел бы присоединиться?

1

security cisco update ios patch

Источник

Terry 04 май '09 в 14:18

3 ответа

Решение

Ваше упоминание Packstorm и Bugtraq уже отвечает на ваш вопрос. Как и при любом обновлении, вы можете столкнуться с:

Риски безопасности
Проблемы с надежностью
Отсутствуют новые функции
Другой

Я бы ответил с другим вопросом; почему бы и нет? Это было бы очень неряшливо.

1

Источник

04 май '09 в 15:15

У нас есть политика;

Основные исправления ошибок с реальной опасностью атаки - мы тестируем код в течение 48 часов на нашей контрольной установке, а затем отправляемся в производство как можно скорее. Незначительные исправления ошибок с ограниченным риском - они проходят двухнедельную проверку и выпускаются ежемесячно в назначенное время. Все остальное сворачивается и выталкивается ежеквартально, если не дольше.

В основном это все об управлении рисками; если ваш сайт не является тем сайтом, который подвергается множеству атак, и ваш бизнес может жить с DDOS или взламывать время от времени, тогда может иметь смысл придерживаться известного стабильного выпуска. Если вы легкая цель (и мы это делаем), вам нужно уделить ей гораздо больше времени и внимания и относиться к ней с уважением и терпением, которых она заслуживает.

Надеюсь это поможет.

1

Источник

Chopper3 04 май '09 в 15:45

Другие вопросы по тегам security cisco update ios patch

Murali Suriar 04 май '09 в 18:21 2009-05-04 18:21 · Accepted Answer · 2009-05-04 18:21

Это зависит от того, насколько велико ваше развертывание и насколько вы готовы запускать непроверенный код. Например, многие крупные компании будут иметь свои собственные внутренние команды по сетевой архитектуре, которые должны будут подтвердить, что все необходимые функции / конфигурации функционируют так, как было объявлено, прежде чем внедрять новую версию кода /

С другой стороны, если вся ваша сеть состоит из десяти устройств и вы являетесь единственным сетевым администратором, интервал между выпуском новой версии и ее развертыванием может быть ограничен только скоростью загрузки изображения.

Некоторые практические правила, которые хорошо послужили мне в прошлом:

Попробуйте запустить одну и ту же версию кода на всех экземплярах конкретной модели оборудования. Это упрощает управление запасами; нет необходимости проверять, к каким устройствам относится данная рекомендация по безопасности. Это касается либо всего, либо ничего.
Если у вас есть текущий контракт на поддержку с Cisco, попросите вашего SE выполнить для вас проверку на наличие ошибок. Укажите функции, которые вам нужны, и аппаратную платформу, на которой вы работаете, и оставьте их для того, чтобы найти нужную версию.
Устройства, которые имеют прямое подключение к Интернету или маршрутизируются из Интернета, никогда не должны оставлять код с известными уязвимостями. Серьезно, просто не делай этого.