安全隱患一則

今天閒極無聊，發現一事，因而無限放大進行想象，以爲中國的網絡安全事業目前還沒起步，特別記錄下來以提醒本身。也想借此提醒各大老闆，點錢之餘，勿忘安全。

故事背景：

閒的沒事，登上一臺手裏管理的服務器轉悠，突發奇想，看看登陸ISP所提供的網關是什麼狀況，因而就telnet，因而就telnet上去了，瞬間驚着我了。其實之前一直也沒想過這方面的事情，比較信任ISP，認爲既然人家是作ISP的，必然在網絡安全上有所考量，可直接telnet登陸上去了，確實出乎個人意料。

故事通過：

telnet xxx.xxx.2.177

Trying xxx.xxx.2.177...

Connected to xxx.xxx.2.177 (xxx.xxx.2.177).

Escape character is '^]'.

User Access Verification

Password:

Password:

Password:

% Bad passwords

Connection closed by foreign host.

故事告訴咱們：

本着懲前毖後治病救人的態度，我對IP進行了馬賽克處理。雖然密碼沒有驗證經過，經過經驗能夠猜測，這多是一臺Cisco的設備。使用line vty 0 15, password xxxxxxx, login方式配置的。鑑於其作255.255.255.248劃分，猜想其全部網關地址均爲248網段的任意起始IP，經測試確實如此，登陸2.185和2.193也均出現密碼驗證界面。

隨後經測試，這臺路由器可從世界任意角落登陸，我甚至從amazon的雲上均可以telnet到該路由器。也就是說，沒有設置任何禁止ip段，也就是說，沒有accesslist deny any any之類的東西。也就是說，我經過暴力，理論上是能夠猜出該路由器密碼的，也就是說，我若是經過雲計算的強大能力，很快就能算出其密碼。也就是說，我若是發送bad syn或bad ack去故意製造混亂勾引管理員登陸，理論上我是能夠嗅探到路由器密碼的。也就是說，任何人均可以按我說的作，去故意形成破壞。

固然，這些都是猜測，我沒有故意去這樣作。也不想寫程序去證明這樣作的可能性有多大，可是，telnet的明文傳輸是沒法否定的，而且這臺路由器確實對全世界用戶敞開了×××的大門。

基於此，我就想像，這只是中國一家提供ISP服務的數據中心，但中國還有成百上千上萬家數據中心，誰能保證你們都使用了ssh或ipsec,***之類的進行數據管理呢？即使大公司購買了***，防火牆設備，但在ISP提供給你的服務裏就存在信息泄露的隱患，你買這些東西有什麼用呢？既然你接入服務了，勢必須要公網IP，我只要知道你的公網IP，算出你的網關，經過各類不可告人的小伎倆登陸到你的網關刪除所有路由信息，你就是有無數防火牆也白搭，由於我是在ISP搞破壞，與你的設備毫無關係。假設我把通向新浪的IP路由刪除，這將是多麼大的災難。

所以，這件事告訴咱們，選擇一個安全的ISP是何等重要，重點並不在於他的接入速度是多少，而是他能對你的服務器和數據提供多大強度的保護。而國內的不少ISP，和網站，可能在這方面都不是很重視，老闆們更重視的是幾兆帶寬多少錢。而一旦你的服務器沒法訪問了，你將付出幾十倍於此的代價。而事實上，讓你付出這種代價，大概只須要幾個小時或幾塊錢的軟件而已。其實找一個會配置ssh或***的人，比ccna多花不了多少錢。

不過說到這，我又痛心疾首了，老闆們爲了最大限度榨取剩餘價值，老是拿IE當NP用，拿NP當NA用，而後讓NA端茶遞水洗衣疊被。覺得這樣本身能夠多掙錢，卻不知，你給人多少錢，人家給你幹多少活這種道理。你給IE發NP的工資，天然人家只作NP的工做，你想讓人家幹IE人家也不會幹。

因此，老闆們，賺錢之餘稍微抽空關注一下員工和你的網絡安全，沒事能夠高枕無憂，一旦出事，就夠大家喝一壺的。

順便說一下，最近蹭聽了一下CCSP的課程，只聽了一節，便理解了OpenBSD那幫人爲什麼如此鄙視花錢買×××和防火牆的人了。由於幾十萬設備能夠作的事，免費的操做系統同樣能夠完成，並且不會作的比專業設備差。假如你拿OpenBSD作一個網關路由系統，那你最次也得經過ssh登陸，而不是telnet。而且要說明一點，Cisco的IOS但是基於BSD進行二次開發的，最先實現TCP/IP協議的也是BSD系統。因此，BSD系統在網絡應用和安全上有着無以倫比的天生優點。我是BSD的忠實愛好者，儘管我用了將近15年左右的Linux，但這並不妨礙我轉投了BSD陣營，由於他真的很好很安全。

結尾，不知道我對該ISP的猜想是否正確，最後我是發信給他們請他們關注一下這個事情，衷心的但願這只是一個個案。