Во многих средах я вижу, что оборудование Cisco рассматривается как «установил и забыл». Многие админы даже не думают об обновлении IOS. Если вы посмотрите на такие места, как Packstorm или Bugtraq, через несколько месяцев вы увидите множество атак, сосредоточенных на IOS. Каковы реальные риски, если кто-то не заинтересован в обновлении своих маршрутизаторов / коммутаторов, особенно при запуске нового нулевого дня?
Обновление: мы все умны и знаем, какие теоретические проблемы могут быть вызваны, но по моему опыту, эти сети остаются на некоторое время, даже если внутренний сотрудник может использовать это, если они того пожелают.
Кто-нибудь испытывал атаку на оборудование Cisco, и хотел бы вмешаться?
У нас есть политика;
Основные исправления ошибок с реальной опасностью атаки - мы тестируем код в течение 48 часов на нашей эталонной установке, а затем отправляем в производственную среду как можно скорее. Мелкие исправления ошибок с ограниченным риском - они проходят двухнедельное сводное тестирование и ежемесячно отправляются в назначенное время. Все остальное складывается и выдвигается ежеквартально, если не дольше.
В основном все дело в управлении рисками; если ваш сайт не из тех, что подвергаются частым атакам, и ваш бизнес может постоянно подвергаться DDOS-атакам или взломам, тогда может иметь смысл придерживаться известной стабильной версии. Если вы легкая цель (а мы легкая), вам нужно уделять ей больше времени и внимания и относиться к ней с уважением и терпением, которых она заслуживает.
Надеюсь это поможет.
Ваше упоминание Packstorm и Bugtraq уже отвечает на ваш вопрос. Как и в случае любого обновления, вы можете столкнуться с:
Я бы ответил другим вопросом; почему нет? Это было бы очень небрежно.
Это зависит от размера вашего развертывания и от того, насколько вы готовы запускать непроверенный код. Например, многие крупные компании будут иметь свои собственные группы по сетевой архитектуре, которым необходимо будет подтвердить, что все необходимые функции / конфигурации работают, как рекламируется, перед развертыванием новой версии кода /
С другой стороны, если вся ваша сеть состоит из десяти устройств и вы являетесь единственным сетевым администратором, промежуток времени между выпуском новой версии и ее развертыванием может быть ограничен только тем, насколько быстро вы можете загрузить образ.
Некоторые эмпирические правила, которые хорошо служили мне в прошлом:
Попробуйте запустить одну и ту же версию кода на всех экземплярах конкретной модели оборудования. Это упрощает управление запасами; нет необходимости проверять, к каким устройствам относится данная рекомендация по безопасности. Это либо относится ко всему, либо ни к чему.
Если у вас есть текущий контракт на поддержку с Cisco, попросите своего SE выполнить для вас очистку ошибок. Укажите необходимые функции и используемую аппаратную платформу, а им предоставьте возможность самостоятельно найти версию, которая подходит именно вам.
Устройства с прямым выходом в Интернет или с возможностью маршрутизации из Интернета должны никогда оставить запущенный код с известными уязвимостями. Серьезно, просто не делай этого.