在相当多的环境中,我看到思科硬件被视为“一劳永逸”。许多管理员甚至都没有考虑更新 IOS。如果您查看像 Packstorm 或 Bugtraq 这样的地方,几个月后您会看到大量攻击都集中在 IOS。如果有人不想让他们的路由器/交换机保持最新状态,尤其是在新的零日启动时,真正的风险是什么?
更新:我们都很聪明,并且知道可能会导致什么理论问题,但根据我的经验,这些网络已经存在了很长一段时间,即使内部员工如果愿意也可以利用这一点。
有没有人经历过对 Cisco 设备的攻击而想插话?
AskOverflow.Dev
您提到的 Packstorm 和 Bugtraq 已经回答了您的问题。与任何更新一样,您可能会接触到:
我会回答另一个问题;为什么不?这将是一件非常草率的事情。
我们的政策是;
具有真正攻击危险的主要错误修复 - 我们在参考设备中测试代码 48 小时,然后尽快推出生产。风险有限的小错误修复——它们每两周进行一次汇总测试,并在预定的时间每月推出。其他任何东西都会被卷起来,每季度推出一次,如果不是更长的话。
基本上都是关于风险管理;如果您的网站不是那种会受到大量攻击的网站,并且您的企业可能会经常遭受 DDOS 或黑客攻击,那么坚持使用已知的稳定版本实际上可能是有意义的。如果您很容易成为目标(我们也是),那么您需要投入更多的时间和精力,并以应有的尊重和耐心对待它。
希望这可以帮助。
这取决于您的部署有多大,以及您是否愿意运行未经测试的代码。例如,许多大公司将拥有自己的内部网络架构团队,他们需要在推出新的代码版本之前确认所有必需的功能/配置的功能与宣传的一样/
另一方面,如果您的整个网络由十台设备组成,并且您是唯一的网络管理员,则发布新版本与您部署它之间的时间间隔可能仅受您下载映像的速度限制。
过去对我很有帮助的一些经验法则:
尝试在特定型号的硬件的所有实例上运行相同版本的代码。这简化了库存管理;无需检查给定安全建议适用于哪些设备。它要么适用于一切,要么什么都不适用。
如果您当前与思科签订了支持合同,请让您的 SE 为您执行错误清理。指定您需要的功能和您正在运行的硬件平台,并让它们来完成寻找适合您的版本的工作。
直接面向 Internet 或可从 Internet 路由的设备绝不应让其运行具有已知漏洞的代码。说真的,只是不要这样做。