19 de mai. de 2010

Como checar a integridade de seu IOS ?

Hoje em dia é relativamente fácil encontrar uma imagem de IOS para rodar num GNS3 da vida. Entretanto, coloco para vcs a seguinte questão:

Vc usaria uma imagem destas num Roteador em Produção ???

As chances de se adquirir um IOS "Troianizado" são reais e é preciso ter certeza de que o binário da imagem não foi alterado para usa-lo em um ambiente corporativo. Existe um comando que usa um hash (amostra) de 128 bits que serve como uma assinatura para o arquivo. Se um bit do binário for alterado, o valor do MD5 será totalmente diferente. Vamos ver um exemplo de sintaxe:

router# verify /md5 flash:c3745-a3jk9s-mz.123-4.T2.bin

O router irá calcular o valor do md5 do arquivo e exibir no terminal. Se vc baixar um IOS do cisco.com com sua senha de CCO, lhe será informado o valor do md5 correto e vc poderá comparar com o valor calculado localmente.

AVISO
: tentei testar isso no GNS3 mas não funciona, pois, se vc usar show version para verificar a origem da imagem carregada no simulador, vc terá:

System image file is "tftp://255.255.255.255/unknown"

E a memória FLASH do router emulado está vazia, como pode ser constatado com o comando show flash:

System CompactFlash directory:
No files in System CompactFlash
[0 bytes used, 16777216 available, 16777216 total]
16384K bytes of ATA System CompactFlash (Read/Write)

Assim, para testar a integridade de uma imagem gravada na Flash, só com um roteador de verdade. Vc pode direcionar o comando verify para um servidor TFTP e checar a integridade de arquivos armazenados remotamente.

Maiores informações:

2 comentários:

  1. Adilson, dá uma olhada neste link http://evilrouters.net/2010/05/12/iostrojan-who-really-owns-your-router/

    ResponderExcluir
  2. Muito interessante o paper Gustavo !

    Quando escrevi este Post estava preocupado em garantir a integridade da imagem do IOS e não me dei conta de que agora os Routers Cisco rodam TCL Script e que estes podem ser usados para escrever Malware.

    Isto merece um novo Post !

    ResponderExcluir