目次

要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウエアバージョン及び修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順

脆弱性が存在する製品

脆弱性が存在しない製品

この脆弱性を利用するためには、このセクションで説明されているいずれかの機能に関連付けされた TACポート番号に対して TCP 3ウェイハンドシェイクを完了させている必要があります。

Cisco Unified Communications Manager Express

複数の Cisco Unified Communications Manager Expressサービスについて、以下のようなコンフィギュレーションに脆弱性が存在します:

certificate authority proxy function (CAPF) サーバ設定

次の例は脆弱なCAPFサーバの設定を示したものです:

capf-server
auth-mode null-string
cert-enroll-trustpoint root password 1 104D000A061843595F
trustpoint-label cme_cert
source-addr 10.0.0.1

CAPFサーバで使用されるデフォルトの TCPポートは 3804です。

CAPFサーバについてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmeauth.html

Telephony-service セキュリティパラメータ設定

Telephony-service において "device-security-mode"を用いてセキュリティパラメータが設定される場合、脆弱性が存在します。以下は telephony-service のセキュリティパラメータの脆弱な 3つの設定例を示したものです:

ephone 1
 device-security-mode encrypted

ephone 2
 device-security-mode authenticated

ephone 3
 device-security-mode none

使用される TCPポートは telephony-service 設定コマンドの"ip source-address <address> port <port-number>"によって定義されます。

Telephony-serviceのセキュリティパラメータについてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmeauth.html

グローバルでの telephony-service または call-manager-fallback コマンド設定

グローバルで "telephony-service" または "call-manager-fallback" コマンドが設定されていて、telephony-serviceコンフィギュレーションモードまたは call-manager-fallbackコンフィギュレーションモードに何らかのサブ コマンドが設定されている Cisco IOS コンフィギュレーションには脆弱性が存在します。次の例は脆弱な設定を示したものです:

telephony-service
 ip source-address 192.168.0.1 port 2011

or

call-manager-fallback
 ip source-address 192.168.0.1 port 2011

使用される TCPポートは "ip source-address <address> port <port-number>" コマンドにより定義されます。

telephony service と call-manager-fallback についてのより詳しい情報は Cisco Unified Communications Manager Express System Administrator Guide を参照して下さい。http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/cmesystm.html

SIP Gateway Signaling Support over TLS Transport

注: SIPが有効となっている機器をお持ちのお客様はこちらのドキュメントもご参照ください: "Cisco Security Advisory: Cisco IOS Session Initiation Protocol Denial of Service Vulnerability" http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.html

SIP Gateway Signaling Support over TLS Transport を設定しているデバイスには脆弱性が存在します。次の例は、脆弱なコンフィギュレーションを示したものです:

voice service voip 
 sip
  session transport tcp tls
  url sips

-- or --

dial-peer voice 3456 voip
 voice-class sip url sips
 session protocol sipv2
 session transport tcp tls

SIP Gateway Signaling Support over TLS Transportを正しく機能させるために、管理者は最初に次の設定を使用してトラストポイントを定義しなければなりません:

sip-ua
     crypto signaling default trustpoint example_trustpoint_name

SIP Gateway Signaling Support over TLS Transport 機能で使用されるデフォルトの TCPポートは 5061です。

SIP gateway signaling support over TLS transport についてのより詳しい情報は、Cisco IOS Software Release 12.4T feature guide を参照して下さい。http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/FeatTLS.html

Secure Signaling and Media Encryption

Skinny Call Control Protocol (SCCP) を使用した Media and Signaling Encryption (SRTP/TLS) on DSP Farm Conferencing 機能または Secure Signaling and Media Encryption for analog phones 機能を設定しているデバイスには脆弱性が存在します。

次の例は、異なる 3種類の脆弱なセキュア DSP farm の設定を示したものです。 完全な設定には証明書や SCCP 設定など他にいくつかの設定が必要となりますが、これらの部分は簡略にするために省略しています。

dspfarm profile 2 transcode security
 trustpoint 2851ClientMina
 codec g711ulaw
 codec g711alaw
 codec g729ar8
 codec g729abr8
 codec gsmfr
 codec g729r8
 codec g729br8
 maximum sessions 3
 associate application SCCP

dspfarm profile 3 conference security
 trustpoint sec2800-cfb
 codec g711ulaw
 codec g711alaw
 codec g729ar8
 codec g729abr8
 codec g729r8
 codec g729br8
 maximum sessions 2
 associate application SCCP

dspfarm profile 5 mtp security
 trustpoint 2851ClientMina
 codec g711alaw
 maximum sessions hardware 1
 associate application SCCP

Media and Signaling Encryption on DSP Farm Conferencing 機能で使用されるデフォルトの TCPポートは 2443です。

Media and Signaling Encryption on DSP Farm Conferencing 機能についてのより詳しい情報は次のリンク "Cisco IOS Software Release 12.4 Special and Early Deployments feature guide" を参照してくださいhttp://www.cisco.com/en/US/docs/ios/12_4t/12_4t15/itsdsp.html

以下は Secure Signaling and Media Encryption for analog phones に関連するセクションのうち、脆弱な設定を示したものです(完全な設定のためには、証明書や SCCPの設定、dial peer など他にいくつかの設定が必要となります):

! The following lines show SCCP Telephony Control Application 
! (STCAPP) security enabled at the system level:
stcapp ccm-group 1
stcapp security trustpoint analog
stcapp security mode encrypted
stcapp 

<-- output removed for brevity -->

dial-peer voice 5002 pots
service stcapp
! The following line shows the security mode configured on the 
! dial peer.
security mode authenticated
port 2/1 

Media and Signaling Encryption for analog phones で使用されるデフォルトの TCPポートは 2443です。

Media and Signaling Encryption for analog phones についてのより詳しい情報は次のリンク "Supplementary Services Features for FXS Ports on Cisco IOS Voice Gateways Configuration Guide, Release 12.4T" を参照してください。http://www.cisco.com/en/US/docs/ios/voice/fxs/configuration/guide/fsxsecur.html

Blocks Extensible Exchange Protocol

転送プロトコルとして Blocks Extensible Exchange Protocol (BEEP) を用いる設定または実行可能コマンドには脆弱性が存在します。以下の例は NETCONF over BEEP 機能の脆弱な設定を示したものです。SASL を使用した NETCONF over BEEP 機能にも脆弱性が存在します。

crypto key generate rsa general-keys 
crypto pki trustpoint my_trustpoint 
enrollment url http://10.2.3.3:80
subject-name CN=dns_name_of_host.com
revocation-check none 
 
crypto pki authenticate my_trustpoint 
crypto pki enroll my_trustpoint 

line vty 0 15 
netconf lock-time 60 
netconf max-sessions 16 

netconf beep initiator host1 23 user my_user password 
   my_password encrypt my_trustpoint 
reconnect-time 60 

netconf beep listener 23 sasl user1 encrypt my_trustpoint

使用されるTCPポートは "netconf beep initiator" および "netconf beep listener" 設定コマンドで定義されます。

NETCONF over BEEP 機能についてのより詳しい情報は "Cisco IOS Software Release 12.4T feature guide" を参照して下さい。http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htnetbe.html

BEEP の実行可能コマンドである "bingd" および "bingng" により、この脆弱性を引き起こされる可能性があります。 以下はこれらのコマンドが実行される例を示したものです:

bingng device 192.168.0.1 23
bingd device 23

Network Admission Control HTTP Authentication Proxy

Network Admission Control HTTP Authentication Proxy が設定されたデバイスには脆弱性が存在します。脆弱性のあるデバイスでは、認証プロキシのルールが存在しインターフェイスに適用されている必要があります。

次の設定は認証プロキシのルールを作成します。

ip admission name example-ap-rule-name proxy http

次の設定はインターフェイスに(前の設定で作成された)認証プロキシのルールを適用します。

interface GigabitEthernet 0/0
 ip admission example-ap-rule-name

Network Admission Control HTTP Authentication Proxyで使用されるデフォルトの TCPポートは 80 です。

Network Admission Control HTTP Authentication Proxyについてのより詳しい情報は次のリンクの "Cisco IOS Security Configuration Guide, Release 12.4" を参照してください。 http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_net_admssn_ctrl_ps6350_TSD_Products_Configuration_Guide_Chapter.html

EAPoUDP, Dot1x, および MAC Authentication Bypass における Per-user URL Redirect

URLリダイレクト機能が設定されているデバイスには脆弱性が存在します。 URLリダイレクトは EAP over UDP (EAPoUDP)、Dot1x および MAC Authentication Bypass (MAB) の認証メカニズムでサポートされています。 URLリダイレクトの設定はサーバー上、もしくはローカルで定義されたプロファイルまたはポリシーの一部として存在することができます。どちらの設定であっても脆弱性は存在します。 次の設定のいずれかをもつデバイスには脆弱性が存在します。

EAPoUDPでの URLリダイレクト機能

EAPoUDPでの URLリダイレクト機能は、次のグローバル設定コマンドにより有効になります:

ip admission name <EAPoUDP-rule-name> eapoudp

次の設定はインターフェイスに(前の設定で作成された) EAPoUDP のルールを適用します。

ip admission name <EAPoUDP-rule-name>

Dot1x および MAB での URLリダイレクト機能

Dot1x および MAB の両方について URLリダイレクト機能には脆弱性が存在します。RADIUS サーバ上で定義される URLリダイレクトのための AVペアは以下に類似したものになります:

url-redirect="http://example.com"
url-redirect="urlacl"

Dot1x および MAB URLのリダイレクト機能をスイッチ上で正常に動作させるには、最低限、次の設定も必要となります。URLリダイレクトのためのインターフェイス特有の設定はありません。 基本的にインターフェイスは Dot1x/MAB のために設定されなければなりません。

ip http {server | secure-server}
ip device tracking

EAPoUDP, Dot1x および MAB の Per-user URL Redirectで使用されるデフォルトの TCPポートは 80 および 443 です。

EAPoUDP, Dot1x および MAB の Per-user URL Redirect についてのより詳しい情報は以下のリンク "Catalyst 4500 Series Switch Software Configuration Guide, 12.2(50)SG" を参照して下さい。 http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/50sg/configuration/guide/dot1x.html

Distributed Director での HTTPリダイレクト

Distributed Director において HTTPリダイレクトが設定されているデバイスには脆弱性が存在します。 次の例は脆弱な設定を示したものです:

ip director ip-address 192.168.0.1

Distributed Director で HTTPリダイレクトを行う際に使用されるデフォルトの TCPポートは 53 です。

Distributed Directorでの HTTPリダイレクトについてのより詳しい情報は次のリンク "Distributed Director Configuration Example Overview" を参照して下さい。http://www.cisco.com/JP/support/public/mt/tac/100/1003108/dd_configuration.shtml#topic8b

DNS

Cisco IOS DNS 機能を設定しているデバイスには脆弱性が存在します。 UDPの実装を使用する純粋な DNS は脆弱ではありません。 デバイスで TCPトラフィック上の DNSをフィルタリングするための情報についてはこのアドバイザリの "回避策" セクションを参照して下さい。次の例にあるコマンドのうちいずれかがデバイスの設定にある場合、デバイスは脆弱です:

ip dns server
ip dns primary example.com soa www.example.com admin@example.com
ip dns spoofing 192.168.0.1

DNSが使用するデフォルトの TCPポートは 53 です。

Cisco IOS DNS 機能についてのより詳しい情報は次のリンク "Cisco IOS IP Addressing Services Configuration Guide, Release 12.4" を参照して下さいhttp://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_config_dns_ps6350_TSD_Products_Configuration_Guide_Chapter.html

この脆弱性は、Cisco Bug ID: CSCsm27071 (登録ユーザのみ)として文書化され、Common Vulnerabilities and Exposures(CVE) IDとして CVE-2009-0630が割り当てられています。

Cisco はこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System (CVSS) に基づいたスコアを提供しています。 このセキュリティアドバイザリでの CVSSスコアは CVSS version 2.0に基づいています。

CVSSは、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。

Cisco は基本評価 (Base Score) および現状評価スコア (Temporal Score) を提供いたします。 お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、 個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco は以下の URL にて CVSS に関する FAQ を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

この脆弱性の利用に成功した場合、次のような結果が引き起こされる可能性があります:

• 定義された影響を受ける機能での新しい接続やセッションを受け入れ停止
  
• デバイスのメモリの枯渇
  
• デバイスにおける長時間の CPU使用率高騰状態
  
• デバイスのリロード
  

この脆弱性の不正利用が繰り返し使用された場合、結果としてサービス拒絶(DoS)状態となる可能性があります。

ソフトウェアのアップグレードを検討する際には、 http://www.cisco.com/go/psirt および、本アドバイザリ以降に公開のアドバイザリも参照して、 起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、 および現在のハードウェアとソフトウェアの構成が新しいリリースで 引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、Cisco Technical Assistance Center (TAC) もしくは契約している保守会社にお問い合せください。

Cisco IOS ソフトウェアテーブル(下記)の各行は Cisco IOS のリリーストレインを示します。 あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、 表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。 "Recommended Release" 列は、このアドバイザリの公開時点において 公開済みである全ての脆弱性についての修正を含むリリースを示します。 実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである 機器は脆弱であることが知られています。 Cisco はテーブルの "Recommended Releases" 列のリリース、 またはそれ以降のリリースにアップグレードすることを推奨します。

この脆弱性のための緩和策は以下となります:

Infrastructure Access Control Lists

ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャ デバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。 Infrastructure Access Control Lists(iACLs) は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれる IP アドレスを持つ全ての機器を防御します:

!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: Cisco Unified Communications Manager Express 
!---
!--- CAPF server configuration
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3804

!---
!--- Telephony-Service configuration
!--- The TCP port is as per the ip source-address
!--- <ip-address> port <port-number> telephony
!--- service configuration command.  Example below 2999
!--- 

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2999

!---
!--- Deny Cisco Unified Communications Manager Express traffic 
!--- from all other sources destined to infrastructure addresses.
!---

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3804
access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2999

!---
!--- Feature: SIP Gateway Signaling Support Over TLS Transport
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 5061

!--- Deny SIP Gateway Signaling Support Over TLS Transport 
!--- traffic from all other sources destined to infrastructure 
!--- addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 5061

!---
!--- Feature: Secure Signaling and Media Encryption
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2443

!--- Deny Secure Signaling and Media Encryption traffic from all 
!--- other sources destined to infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration
!--- commands.  This example uses 3001
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3001

!--- Deny BEEP traffic from all other sources destined to 
!--- infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 80
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 443

!---
!--- Deny Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic to infrastructue
!---

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 80
access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 53

!--- Deny Distributed Director with HTTP Redirects traffic and DNS 
!--- from all other sources destined to infrastructure addresses.

access-list 150 deny tcp any 
     INFRASTRUCTURE_ADDRESSES WILDCARD eq 53

!--- Permit/deny all other Layer 3 and Layer 4 traffic in 
!--- accordance with existing security policies and configurations
!--- Permit all other traffic to transit the device.

access-list 150 permit ip any any

!--- Apply access-list to all interfaces (only one example shown)

interface serial 2/0
ip access-group 150 in

White Paper の "Protecting Your Core: Infrastructure Protection Access Control Lists"は、アクセスリストによってインフラストラクチャ デバイスを守るためのガイドラインと、推奨される導入方法が記載されています。: http://www.cisco.com/JP/support/public/ht/white_paper/100/1006441/iacl-j.shtmlで得ることができます

Receive ACL (rACL)

分散型のプラットフォームにおいて、Cisco12000 シリーズ(GSR) では 12.0(21)S2、 Cisco7500 シリーズでは 12.0(24)S、Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL も選択肢となります。 Receive ACL は悪影響を及ぼすトラフィックがルートプロセッサに影響する前に、そのトラフィックから機器を防御することができます。 Receive ACL は、それが設定された機器だけを防御するようにデザインされています。 Cisco 12000, 7500, 10720 では通過トラフィックは Receive ACL による影響を受けません。そのため、以下の ACL の例において宛先 IP アドレス "any" が用いられても、自ルータの物理あるいは仮想 IP アドレスのみが参照されます。 Receive ACL は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。ホワイトペーパーの "GSR: Receive Access Control Lists" には、機器宛の正当なパケットとそれ以外の遮断されるべきパケットを判断する手法が記載されています。このホワイトペーパーは次のリンクより入手可能です。 http://www.cisco.com/JP/support/public/ht/white_paper/100/1006440/racl-j.shtml

次の receive path ACL は信頼できるホストからのこのようなタイプのトラフィックを許可するように記述されています:

!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---

!---
!--- Feature: Cisco Unified Communications Manager Express 
!---
!---

!---
!--- Permit CAPF server traffic from trusted hosts allowed to 
!--- the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 3804

!---
!--- Telephony-Service configuration
!---

!---
!--- The TCP port is as per the ip source-address
!--- <address> port <port-number> telephony-service 
!--- configuration command.  Example below 2999
!---
!--- Permit Telephony-Service traffic from trusted hosts allowed 
!--- to the RP.

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 2999

!---
!--- Deny Cisco Unified Communications Manager Express 
!--- traffic from all other sources to the RP.
!---

access-list 150 deny tcp any any eq 3804
access-list 150 deny tcp any any eq 2999

!---
!--- Permit SIP Gateway Signaling Support Over TLS Transport
!--- traffic from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 5061

!---
!--- Deny SIP Gateway Signaling Support Over TLS Transport 
!--- traffic from all other sources to the RP.
!---


access-list 150 deny tcp any any eq 5061

!---
!--- Permit Secure Signaling and Media Encryption traffic 
!--- from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 2443

!---
!--- Deny Secure Signaling and Media Encryption traffic from 
!--- all other sources to the RP.
!---

access-list 150 deny tcp any any eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration commands.  
!--- This example uses 3001
!---

!---
!--- Permit BEEP traffic from trusted hosts allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 3001

!---
!--- Deny BEEP traffic from all other sources to the RP.
!---

access-list 150 deny tcp any any eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

!---
!--- Permit Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic from trusted hosts allowed to 
!--- the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 80
access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 443
 
!---
!--- Deny Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic from all other sources to 
!--- the RP.
!---

access-list 150 deny tcp any any eq 80
access-list 150 deny tcp any any eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

!---
!--- Permit Distribute Director and DNS traffic from trusted hosts
!--- allowed to the RP.
!---

access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES MASK  
     any eq 53

!---
!--- Deny distributed director and DNS traffic from all other 
!--- sources to the RP.
!---

access-list 150 deny tcp any any eq 53

!---
!--- Permit all other traffic to the RP.
!--- according to security policy and configurations.
!---

access-list 150 permit ip any any

!---
!--- Apply this access list to the 'receive' path.
!---

ip receive access-list 150

Control Plane Policing

Control Plane Policing(CoPP) は、機器宛ての影響を受ける機能のTCPトラフィック アクセスをブロックするのに使用することができます。 CoPP 機能は、Cisco IOS ソフトウェアリリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T にてサポートされています。 管理およびコントロールプレーンを保護するために CoPP を機器に設定し、既存のセキュリティーポリシーとコンフィギュレーションに従って認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。下記の CoPP の例はインフラストラクチャ IP アドレスの範囲内にある IP アドレスを持つ全ての機器を保護するために定義される CoPP の一部として含まれるべき項目です:

!---
!--- Only sections pertaining to features enabled on the device
!--- need be configured.
!---
!--- Feature: Cisco Unified Communications Manager Express
!---
!--- CAPF Server configuration
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 3804

!---
!--- Telephony-Service configuration
!--- The TCP port is as per the ip source-address
!--- <address> port <port-number> telephony-service
!--- configuration command.  Example below 2999
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 2999

!---
!--- Permit Cisco Unified Communications Manager Express traffic 
!--- sent to all IP addresses configured on all interfaces of 
!--- the affected device so that it will be policed and dropped
!--- by the CoPP feature
!---
!--- CAPF server configuration
!---

access-list 150 permit tcp any any eq 3804

!---
!--- Telephony-Service configuration
!---

access-list 150 permit tcp any any eq 2999

!---
!--- Feature: SIP Gateway Signaling Support Over TLS Transport
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 5061

!---
!--- Permit SIP Gateway Signaling Support Over TLS Transport 
!--- traffic sent to all IP addresses configured on all interfaces
!--- of the affected device so that it will be policed and  
!--- dropped by the CoPP feature
!--- 

access-list 150 permit tcp any any eq 5061

!---
!--- Feature: Secure Signaling and Media Encryption
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 2443

!---
!--- Permit Secure Signaling and Media Encryption traffic sent to
!--- all IP addresses configured on all interfaces of the affected 
!--- device so that it will be policed and dropped by the CoPP 
!--- feature
!---

access-list 150 permit tcp any any eq 2443

!---
!--- Feature: Blocks Extensible Exchange Protocol (BEEP)
!--- The TCP port used is defined with the netconf beep initiator 
!--- and netconf beep listener configuration commands.  
!--- This example uses 3001
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 3001

!---
!--- Permit BEEP traffic sent to all IP addresses configured
!--- on all interfaces of the affected device so that it
!--- will be policed and dropped by the CoPP feature
!---

access-list 150 permit tcp any any eq 3001

!---
!--- Feature: Network Admission Control HTTP Authentication Proxy
!--- and
!--- Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 80
access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 443

!---
!--- Permit Network Admission Control HTTP Authentication Proxy
!--- and Per-user URL Redirect for EAP over UDP, Dot1x and MAC 
!--- Authentication Bybass traffic sent to all IP addresses
!--- configured on all interfaces of the affected device so that it
!--- will be policed and dropped by the CoPP feature
!---

access-list 150 permit tcp any any eq 80
access-list 150 permit tcp any any eq 443

!---
!--- Features: Distributed Director with HTTP Redirects and DNS
!---

access-list 150 deny tcp TRUSTED_SOURCE_ADDRESSES MASK  
   any eq 53

!---
!--- Permit Distributed Director with HTTP Redirects and DNS 
!--- traffic sent to all IP addresses configured on all interfaces
!--- of the affected device so that it will be policed and dropped
!--- by the CoPP feature
!---

access-list 150 permit tcp any any eq 53

!---
!--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and
!--- Layer4 traffic in accordance with existing security policies
!--- and configurations for traffic that is authorized to be sent
!--- to infrastructure devices
!---

!---
!--- Create a Class-Map for traffic to be policed by
!--- the CoPP feature
!---

class-map match-all drop-tcpip-class
match access-group 150

!---
!--- Create a Policy-Map that will be applied to the
!--- Control-Plane of the device.
!---

policy-map drop-tcpip-traffic

class drop-tcpip-class
drop

!---
!--- Apply the Policy-Map to the 
!--- Control-Plane of the device
!---

control-plane
service-policy input drop-tcpip-traffic

上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ(ACE)に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、 policy-map の "drop" 機能の影響を受けません。 policy-map の構文は、12.2S と 12.0S Cisco IOS トレインでは異なるので注意が必要です:

policy-map drop-tcpip-traffic
class drop-tcpip-class
police 32000 1500 1500 conform-action drop exceed-action drop

CoPP の設定と使用法についての追加情報については、以下のリンクの "Control Plane Policing Implementation Best Practices" および "Cisco IOS Software Releases 12.2S - Control Plane Policing" を参照下さい。http://www.cisco.com/web/about/security/intelligence/coppwp_gs.htmlhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

ネットワーク内の Cisco 機器に適用可能な他の緩和策は、このアドバイザリの付属ドキュメントである Cisco Applied Mitigation Bulletin にて参照できます: http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080a904a2.html

お客様がインストールしたり、サポートを受けたりできるのは、 ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、 アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載の Cisco のソフトウェア ライセンスの条項または、 Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" に お問い合わせいただくことはご遠慮ください。

サービス契約をお持ちのお客様

サードパーティのサポート会社をご利用のお客様

サービス契約をご利用でないお客様

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性はCisco内部での脆弱性テストにより発見されました。 また私たちは、この脆弱性を弊社に報告いただいたことに対し、フリーランス コンサルタントの Jens Link 氏に感謝いたします。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また Cisco Systems はいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、 事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

• cust-security-announce@cisco.com
• first-bulletins@lists.first.org
• bugtraq@securityfocus.com
• vulnwatch@vulnwatch.org
• cisco@spot.colorado.edu
• cisco-nsp@puck.nether.net
• full-disclosure@lists.grok.org.uk
• comp.dcom.sys.cisco@newsgate.cisco.com

このアドバイザリに関する今後の更新は、いかなるものも Cisco のワールドワイドウェブに掲載される予定です。 しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。 この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。