Vc usaria uma imagem destas num Roteador em Produção ???
As chances de se adquirir um IOS "Troianizado" são reais e é preciso ter certeza de que o binário da imagem não foi alterado para usa-lo em um ambiente corporativo. Existe um comando que usa um hash (amostra) de 128 bits que serve como uma assinatura para o arquivo. Se um bit do binário for alterado, o valor do MD5 será totalmente diferente. Vamos ver um exemplo de sintaxe:
router# verify /md5 flash:c3745-a3jk9s-mz.123-4.T2.bin
O router irá calcular o valor do md5 do arquivo e exibir no terminal. Se vc baixar um IOS do cisco.com com sua senha de CCO, lhe será informado o valor do md5 correto e vc poderá comparar com o valor calculado localmente.
AVISO: tentei testar isso no GNS3 mas não funciona, pois, se vc usar show version para verificar a origem da imagem carregada no simulador, vc terá:
System image file is "tftp://255.255.255.255/unknown"
E a memória FLASH do router emulado está vazia, como pode ser constatado com o comando show flash:
System CompactFlash directory:
No files in System CompactFlash
[0 bytes used, 16777216 available, 16777216 total]
16384K bytes of ATA System CompactFlash (Read/Write)
[0 bytes used, 16777216 available, 16777216 total]
16384K bytes of ATA System CompactFlash (Read/Write)
Assim, para testar a integridade de uma imagem gravada na Flash, só com um roteador de verdade. Vc pode direcionar o comando verify para um servidor TFTP e checar a integridade de arquivos armazenados remotamente.
Maiores informações:
Adilson, dá uma olhada neste link http://evilrouters.net/2010/05/12/iostrojan-who-really-owns-your-router/
ResponderExcluirMuito interessante o paper Gustavo !
ResponderExcluirQuando escrevi este Post estava preocupado em garantir a integridade da imagem do IOS e não me dei conta de que agora os Routers Cisco rodam TCL Script e que estes podem ser usados para escrever Malware.
Isto merece um novo Post !