在相当多的环境中,我认为思科硬件被视为“设置并忘记它”。 许多pipe理员甚至不考虑更新IOS。 如果你看看像Packstorm或Bugtraq这样的地方,有几个月你会看到大量以IOS为中心的攻击。 如果有人没有兴趣将路由器/交换机保持在最新状态,尤其是在新的零日启动时,真正面临的风险是什么?
更新:我们都很聪明,知道可能会造成什么样的理论问题,但是我的经验是,这些networking在相当长的一段时间内都是有效的,即使内部员工愿意的话也可以利用这一点。
有没有人遇到过希望进入的思科设备的攻击?
这取决于你的部署有多大,以及你是否愿意运行未经testing的代码。 例如,许多大公司将拥有自己的内部networking架构团队,他们需要确认所有必需的function/configuration在推出新的代码版本/
另一方面,如果您的整个networking由十台设备组成,并且您是唯一的networkingpipe理员,则新版本与您部署的版本之间的窗口可能会受限于下载图像的速度。
一些经验丰富的经validation明,
尝试在特定硬件型号的所有实例上运行相同版本的代码。 这简化了库存pipe理; 无需检查给定的安全build议适用于哪些设备。 它适用于一切或没有。
如果您有与思科的当前支持合同,请要求您的SE为您执行错误清理。 指定您需要的function以及您正在运行的硬件平台,并让他们去完成适合您的发行版的工作。
直接面向互联网的设备,或者从互联网可路由的设备绝不应该保留运行具有已知漏洞的代码。 严重的是,不要这样做。
你提到的Packstorm和Bugtraq已经回答你的问题了。 与任何更新一样,您可能会遇到以下情况:
我会回答另一个问题; 为什么不? 这将是一个非常草率的事情。
我们有一个政策,
主要错误修复与真正的攻击危险 – 我们在我们的参考设备testing48小时的代码,然后推出生产尽快。 小的错误修复风险有限 – 他们进行双周汇总testing,并按计划在每月推出。 如果不是更长的话,其他任何东西都会被汇总并推出季度。
基本上都是关于风险pipe理。 如果您的网站不是那种受到很多攻击的网站,而且您的企业可能经常使用DDOS或黑客,那么在已知的稳定版本中使用它可能是有意义的。 如果你是一个容易的目标(而且我们是),那么你需要把更多的时间和注意力投入到它,并以它应有的尊重和耐心来对待它。
希望这可以帮助。