Cisco Applied Mitigation Bulletin-
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zur Cisco Warnmeldung, Websites von Finanzinstituten, die auf verteilte Denial-of-Service-Angriffe abzielen, sowie Identifizierungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können
-
Die DDoS-Angriffe (Distributed Denial of Service) auf Finanzinstitute zielen auf eine übermäßige Ressourcennutzung innerhalb des Netzwerks ab und nicht auf eine bestimmte Schwachstelle. Dies wird per Fernzugriff genutzt, ohne dass eine Authentifizierung erforderlich ist und die Endbenutzer nicht eingreifen müssen. Wiederholte Versuche können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- UDP-Port 53
- UDP-Port 80
- TCP-Port 53
- TCP-Port 80
Ein Angreifer könnte gefälschte Pakete verwenden.
Datenverkehr an UDP-Port 53, TCP-Port 53 und TCP-Port 80 stellt normalerweise gültigen Datenverkehr dar. Datenverkehr, der an UDP-Port 80 gerichtet ist, stellt keine normale Port- und Protokollkombination dar, die von gängigen Anwendungen verwendet wird. Diese Port- und Protokollkombination sollte implizit durch das deny-Protokoll am Ende der meisten Zugriffslistenregelsätze blockiert werden.
-
Bei DDoS-Angriffen auf Finanzinstitute geht es nicht um eine Schwachstelle, sondern um eine durch überwältigende Datenmengen verursachte Erschöpfung der Ressourcen.
-
Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Angriffe. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- Transit-Zugriffskontrolllisten (tACLs)
- Unicast Reverse Path Forwarding (URPF)
Diese Schutzmechanismen filtern und löschen Pakete, die bei diesen Angriffen verwendet werden, und überprüfen die Quell-IP-Adresse dieser Pakete.
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, die Pakete mit gefälschten Quell-IP-Adressen verwenden. uRPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten ebenfalls eine effektive Exploit-Abwehr. Dazu werden folgende Funktionen verwendet:- tACL
- Protokollüberprüfung auf Anwendungsebene
- Erkennung von Bedrohungen
- uRPF
Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Angriffe auszunutzen, und überprüfen die Quell-IP-Adresse dieser Pakete.
Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Die Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM-Firewalls sowie die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor diesen Angriffen.
Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.
-
Den Unternehmen wird empfohlen, ihre standardmäßigen Risikobewertungs- und Minderungsprozesse zu befolgen, um die potenziellen Auswirkungen zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
Gerätespezifische Eindämmung und Identifizierung
Gerätespezifische Eindämmung und Identifizierung
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Intrusion Prevention System
- Cisco Security Manager
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Angriffen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf UDP-Port 80, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/24 für den IP-Adressraum, der von den betroffenen Geräten verwendet wird. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Dieser Datenverkehr wird normalerweise durch eine implizite Ablehnung am Ende einer ACL blockiert. Durch die Erstellung einer spezifischen ACL können Administratoren jedoch leichter feststellen, ob sie auf diese Weise angegriffen werden. Es ist zu beachten, dass tACLs eine überbelegte Leitung nicht schützen, bevor das Gerät implementiert wird, in dem tACL implementiert ist.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny UDP any 192.168.60.0 0.0.0.255 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL !
Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Generierung von nicht erreichbaren ICMP-Nachrichten kann mit dem Schnittstellenkonfigurationsbefehl deaktiviert werden. no ip unreachables . Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls vom Standard abweichen. ip icmp rate-limit unreachable interval-in-ms.
Identifizierung: Transit-Zugriffskontrolllisten
Wenn der Administrator die tACL auf eine Schnittstelle anwendet, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der IPv4-Pakete auf dem UDP-Port 80, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Angriffe auszuführen. Beispielausgabe für show ip access-lists 150 folgt:
router#show ip access-lists 150 Extended IP access list 150 10 deny udp any 192.168.60.0 0.0.0.255 eq 80 (12 matches) 20 deny ip any any router#Im vorherigen Beispiel hat die Zugriffsliste 150 12 Pakete auf dem UDP-Port 80 für die Zugriffskontrolllisteneingangsleitung (ACE) 30 verworfen.
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.
Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.
Identifizierung: Protokollierung der Zugriffsliste
Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.
Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.
Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.
Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.
Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security.
Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebenen Angriffe können mithilfe gefälschter IP-Pakete durchgeführt werden. Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen finden Sie im Funktionsleitfaden zur Unicast Reverse Path Forwarding Loose Mode.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Bei ordnungsgemäßer Bereitstellung und Konfiguration von uRPF in der gesamten Netzwerkinfrastruktur können Administratoren den internen Steckplatz/Port des Schnittstellentyps "show cef", die show ip interface, die show cef drop-Funktion, die Funktion "show ip cef switching statistics" und die show ip traffic-Befehle verwenden, um die Anzahl der Pakete zu identifizieren, die uRPF verworfen hat.
Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ip cef switching durch die Funktion show ip cef switching statistics ersetzt.
Hinweis: Der Befehl show | Regex starten und Befehl anzeigen | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command in der Cisco IOS Configuration Fundamentals Command Reference.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.
router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#Im vorherigen Abschnitt mit show cef interface type slot/port internal, show cef drop, show ip interface type slot/port, show ip cef switching statistics feature und show ip traffic example, hat uRPF 18 IP-Pakete verworfen, die auf allen Schnittstellen mit uRPF konfiguriert wurden, da die Quelladresse des IP-Pakete in der Weiterleitungsdatenbank von Cisco Express Forwarding.
Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow
Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen möglicherweise versucht wird, diese Denial of Service (DoS) durchzuführen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich um legitime Datenflüsse handelt.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 0050 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 0035 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 0050 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 0050 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 0050 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1 router#Im vorherigen Beispiel gibt es mehrere Datenflüsse für den UDP-Port 80 (Hexadezimalwert 0050). Außerdem gibt es Datenflüsse für TCP-Port 53 (Hexadezimalwert 0035) und TCP-Port 80 (Hexadezimalwert 0050).
Dieser Datenverkehr wird an Adressen im Adressblock 192.168.60.0/24 gesendet, der für Infrastrukturgeräte verwendet wird. Die Pakete in diesen Flows können gefälscht werden und einen Versuch anzeigen, diese Angriffe durchzuführen. Administratoren wird empfohlen, die Datenflüsse für TCP-Port 53 (Hexadezimalwert 0035) und TCP-Port 80 (Hexadezimalwert 0050) mit den normalen Basislinien zu vergleichen, um zu ermitteln, ob ein Angriff stattfindet.
Um nur die Pakete auf UDP-Port 80 (Hex-Wert 0050) anzuzeigen, verwenden Sie den Befehl show ip cache flow. | include SrcIf|_11_.*0050 command to display the related Cisco NetFlow records.
UDP-Datenflüsserouter#show ip cache flow | include SrcIf|_11_.*0050 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 11 092A 0050 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 11 0C09 0050 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 11 0B66 0050 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 11 0914 0050 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 11 0B7B 0050 2 router#
Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco Flexible NetFlow
Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ============ ============= ======= ======= 192.168.10.201 192.168.60.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 123 53 Gi0/0 Gi0/1 2212 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.60.28 3451 80 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.60.97 4231 80 Gi0/0 Gi0/1 146 17 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6Um nur die Pakete auf UDP-Port 80 anzuzeigen, verwenden Sie die Formattabelle für den show flow monitor FLOW-MONITOR-ipv4-Cache. | IPV4 DST-ADDR einschließen |_80_.*_17_, um die zugehörigen NetFlow-Datensätze anzuzeigen.
Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Konfigurationsleitfaden für Flexible NetFlow, in Cisco IOS Release 15M&T und Cisco IOS Flexible NetFlow Configuration Guide, Cisco IOS Release 12.4T.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Angriffen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf UDP-Port 80, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/24 für den IP-Adressraum, der von den betroffenen Geräten verwendet wird. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Es ist zu beachten, dass tACLs eine überbelegte Leitung nicht schützen, bevor das Gerät implementiert wird, in dem tACL implementiert ist.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny UDP any 192.168.60.0 255.255.255.0 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
Identifizierung: Transit-Zugriffskontrolllisten
Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der gefilterten IPv4-Pakete auf dem UDP-Port 80 identifizieren. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Angriffe auszuführen. Beispielausgabe für show access-list tACL-Policy folgt:
firewall#show access-list tACL-Policy access-list tACL-Policy; 2 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended deny udp any 192.168.60.0 255.255.255.0 eq 80 (hitcnt=8)
access-list tACL-Policy line 2 extended deny ip any any (hitcnt=8)Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy 8 IPv4-Pakete auf dem UDP-Port 80 verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.
Identifizierung: Firewall Access List, Syslog-Meldungen
Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf mögliche Versuche hinweisen können, die in diesem Dokument beschriebenen Angriffe durchzuführen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
firewall#show logging | grep 106023 Oct 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Sep 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 dst inside:192.168.60.33/80 by access-group "tACL-Policy" firewall#Im vorherigen Beispiel zeigen die für die tACL-tACL-Richtlinie protokollierten Nachrichten potenziell gefälschte IPv4-Pakete für den UDP-Port 80 an, die an den Adressblock gesendet wurden, der den betroffenen Geräten zugewiesen ist.
Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.
Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Diese Protokollprüfung trägt zum Schutz vor zahlreichen gängigen Denial-of-Service-Angriffen (DoS) bei, wie z. B.
- SYN Flood Protection - Bietet SYN Flood Protection durch Minimierung embryonaler Verbindungen und Sicherstellung des ordnungsgemäßen Zustands.
- DNS-Anwendungsinspektion - Wenn DNS-Anfragen nicht den Standard-DNS-Protokollrichtlinien entsprechen, wird das Paket verworfen. Dazu gehören schlecht geformte Anforderungen und Anforderungen, die eine bestimmte Länge überschreiten.
Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Configuring Application Layer Protocol Inspection des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 and the Configuring Application Inspection section of the Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.
Identifikation: Erkennung von Bedrohungen
Die Cisco Adaptive Security Appliance unterstützt die Funktion zur Erkennung von Sicherheitsrisiken der Softwareversionen 8.0 und höher. Mithilfe der grundlegenden Bedrohungserkennung überwacht die Sicherheits-Appliance die Rate der verworfenen Pakete und Sicherheitsereignisse aus den folgenden Gründen:
- Verweigerung durch Zugriffslisten
- Ungültiges Paketformat (wie invalid-ip-header oder invalid-tcp-hdr-length)
- Verbindungsgrenzwerte überschritten (systemweite Ressourcengrenzwerte und in der Konfiguration festgelegte Grenzwerte)
- Erkannter DoS-Angriff (z. B. ungültige Stateful Packet Inspection (SPI), fehlgeschlagene Stateful Firewall-Prüfung)
- Grundlegende Prüfungen der Firewall fehlgeschlagen (Diese Option ist eine kombinierte Rate, die alle Firewall-bezogenen Paketverluste in dieser Aufzählung berücksichtigt. Dies beinhaltet keine nicht Firewall-bezogenen Drops, wie z. B. Überlastung der Schnittstellen, bei der Anwendungsinspektion fehlgeschlagene Pakete und erkannte Scanning-Angriffe.)
- Verdächtige ICMP-Pakete erkannt
- Fehler bei der Anwendungsprüfung.
- Schnittstellenüberlastung
- Scan-Angriff erkannt (Diese Option überwacht Scan-Angriffe; z. B. ist das erste TCP-Paket kein SYN-Paket, oder die TCP-Verbindung hat den Drei-Wege-Handshake nicht bestanden. Vollständige Scanning-Bedrohungserkennung [weitere Informationen finden Sie unter Konfigurieren der Scanning-Bedrohungserkennung]. Diese Informationen zur Scanning-Angriffsrate werden verwendet, um Hosts als Angreifer zu klassifizieren und sie beispielsweise automatisch zu meiden.)
- Unvollständige Sitzungserkennung, z. B. ein TCP-SYN-Angriff oder kein UDP-Datensitzungsangriff erkannt.
Vorsicht: Die Konfiguration erweiterter Statistiken zur Erkennung von Sicherheitsrisiken kann erhebliche Auswirkungen auf die CPU des Geräts haben.
Bei Infrastrukturen, die den in diesem Dokument beschriebenen Angriffen ausgesetzt sind, müssen folgende Ereignisse berücksichtigt werden:
- Verbindungsgrenzwerte überschritten (wenn Verbindungsgrenzwert auf der Firewall konfiguriert ist)
- Schnittstellenüberlastung
- Scannen der Angriffserkennung
- Erkennung unvollständiger Sitzungen
Weitere Informationen zur Konfiguration der Bedrohungserkennung für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Configuring Threat Detection. Informationen zur Konfiguration der Bedrohungserkennung für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Threat Detection.
Wenn die grundlegende Bedrohungserkennung ordnungsgemäß konfiguriert ist, können Administratoren mit dem Befehl show threat-detection rate (Erkennungsrate anzeigen) die von der Cisco ASA oder Cisco ASASM erkannten Bedrohungsereignisse anzeigen. Das folgende Beispiel zeigt 20 SYN-angriffsbezogene Ereignisse pro Sekunde und 223 SYN-Trigger-Ereignisse, die innerhalb des Burst-Intervalls auftreten, sowie 30 angriffsbezogene Ereignisse und 451 Ereignisse, die innerhalb des Burst-Intervalls auftreten und auf eine andauernde SYN-Flut hinweisen können.
firewall# show threat-detection rate Average(eps) Current(eps) Trigger Total events 10-min ACL drop: 1 10 0 983 1-hour ACL drop: 0 0 0 983 10-min SYN attck: 2 20 223 1982 1-hour SYN attck: 0 0 87 1982 10-min Scanning: 3 30 451 2269 1-hour Scanning: 0 0 154 2269 10-min Bad pkts: 0 0 0 4 1-hour Bad pkts: 0 0 0 4 10-min Firewall: 1 10 0 987 1-hour Firewall: 0 0 0 987 10-min Interface: 1 0 0 851 1-hour Interface: 0 0 0 851 firewall#
Wenn die erweiterte Bedrohungserkennung ordnungsgemäß konfiguriert ist, können Administratoren den Befehl show threat-detection statistics verwenden, um statistische Informationen zur Erkennung von Bedrohungen auf der Cisco ASA und Cisco ASASM anzuzeigen. Das folgende Beispiel zeigt die von der Erkennung von Sicherheitsrisiken aufgezeichneten Zugriffslisten-Drops.
firewall# show threat-detection statistics Top Name Id Average(eps) Current(eps) Trigger Total events 1-hour ACL hits: 01 INSIDE/12 0 2 0 44 02 OUTSIDE/11 0 4 0 36 03 INSIDE/6 0 3 0 24 04 OUTSIDE/50 0 1 0 7 05 INSIDE/5 0 0 0 5 06 WEBPORTS-ACL/1.1 0 0 0 5 07 INSIDE/19 0 0 0 4 08 OUTSIDE/9 0 0 0 1 8-hour ACL hits: 01 INSIDE/12 0 2 0 445 02 OUTSIDE/50 0 4 0 368 03 INSIDE/6 0 3 0 225 04 OUTSIDE/11 0 1 0 213 05 WEBPORTS-ACL/1.1 0 0 0 149 06 INSIDE/5 0 0 0 143 07 OUTSIDE/9 0 0 0 2 24-hour ACL hits: 01 OUTSIDE/50 0 2 0 1644 02 INSIDE/12 0 4 0 1520 03 OUTSIDE/11 0 3 0 928 04 INSIDE/6 0 0 0 713 05 WEBPORTS-ACL/1.1 0 0 0 539 06 INSIDE/5 0 0 0 513 07 INSIDE/19 0 0 0 106 08 OUTSIDE/9 0 0 0 59 09 OUTSIDE/13 0 0 0 57 10 OUTSIDE/15 0 0 0 57
Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebenen Angriffe können durch gefälschte IP-Pakete durchgeführt werden. Administratoren können uRPF als Spoofing-Schutzmechanismus bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene der benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie in der Cisco Security Appliance Command Reference for ip verify reverse path und im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Die Firewall-Syslog-Meldung 106021 wird für Pakete generiert, die von uRPF abgelehnt wurden. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106021.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
firewall#show logging | grep 106021 Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outsideDer Befehl show asp drop kann außerdem die Anzahl der Pakete identifizieren, die durch die uRPF-Funktion verworfen wurden, wie im folgenden Beispiel gezeigt:
firewall#show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#Im vorherigen Beispiel hat uRPF 11 IP-Pakete verworfen, die an Schnittstellen mit konfiguriertem uRPF empfangen wurden. Fehlende Ausgabe zeigt an, dass die uRPF-Funktion der Firewall keine Pakete verworfen hat.
Weitere Informationen zum Debuggen von Paketen oder Verbindungen, die über einen beschleunigten Sicherheitspfad verworfen wurden, finden Sie unter Cisco Security Appliance Command Reference (Cisco Security Appliance-Befehlsreferenz) für show asp drop.
Cisco Intrusion Prevention System
Risikominderung: Cisco IPS-Signaturtabelle
Administratoren können die Cisco IPS-Appliances und -Servicemodule zur Erkennung von Sicherheitsrisiken verwenden. Die folgende Tabelle bietet einen Überblick über die jeweiligen Cisco IPS-Signaturen, die bei potenziellen Versuchen Ereignisse auslösen.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* Hinweise NA S672 1493/0 Distributed Denial of Service für Finanzinstitute Ja Hoch 90
NA
S593 2152/0 ICMP-Flood Nein Mittel 100
Rentner
NA
S572 4002/0 UDP-Host Flood Nein Niedrig 75
Rentner
NA
S520 4004/0 DNS-Flood-Angriff Nein Mittel 85
Rentner NA
S593 6009/0 SYN-Flood-DoS Nein Mittel 85
Rentner
NA
S573 6901/0 ICMP-Nettoantwort Nein Informatorisch 100
Rentner
NA
S573 6902/0 Net Flood ICMP-Anforderung Nein Informatorisch 100
Rentner
NA
S573 6903/0 Net Flood ICMP Beliebig Nein Informatorisch 100 Rentner NA
S573 6910/0 Net Flood UDP Nein Informatorisch 100
Rentner
NA
S573 6920/0 Net Flood TCP Nein Informatorisch 100 Rentner * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Angriffe durchzuführen.
Angriffe, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen verweigert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet einen Schutz vor Bedrohungen gegen einen Angreifer, der versucht, die in diesem Dokument beschriebenen Angriffe durchzuführen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Cisco Security Manager
Identifikation: Cisco Security Manager
Cisco Security Manager, Ereignisanzeige
Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der Ereignisse abgefragt werden können, die mit den in diesem Dokument beschriebenen Angriffen zusammenhängen.
Mithilfe der vordefinierten Ansicht IPS-Warnungsereignisse in der Ereignisanzeige kann der Benutzer die Suchzeichenfolgen im Ereignisfilter eingeben, um alle erfassten Ereignisse zurückzugeben, die mit den folgenden Cisco IPS-Signaturen in Zusammenhang stehen:
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Angriffe durchzuführen.
- Verwenden Sie den Zielereignisfilter, um Netzwerkobjekte zu filtern, die den IP-Adressraum enthalten, der von den betroffenen Geräten verwendet wird (z. B. IPv4-Adressbereich 192.168.60.0/24)
- Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die UDP-Port 80 enthalten.
Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht "Firewall Denied Events" (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Deny-Syslog-Meldungen bereitzustellen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Angriffe durchzuführen:
- ASA-4-106023 (ACL verweigert)
Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.
Cisco Security Manager Report Manager
Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.
Mithilfe des Berichts-Managers kann der Benutzer einen IPS-Bericht mit den besten Signaturen für die von ihm betroffenen Cisco IPS-Geräte basierend auf Zeitbereich und Signatureigenschaften definieren. Wenn die Signature-ID auf
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
Im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebenen Angriffe durchzuführen:
- Verwenden Sie den Ziel-IP-Netzwerkfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
- Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"
Weitere Informationen zu Cisco Security Manager IPS Event Reporting finden Sie im Abschnitt Understanding IPS Top Reports im Cisco Security Manager User Guide.
Identifikation: Event Management System - Partnerveranstaltungen
Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und getesteter SIEM-Systeme, die geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte bewältigen. Mit Partnerprodukten für das Security Information and Event Management können Ereignisse von Cisco Geräten erfasst und die erfassten Ereignisse nach Vorfällen abgefragt werden, die durch eine Cisco IPS-Signatur verursacht wurden, oder Syslog-Meldungen von Firewalls verweigern, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Angriffe durchzuführen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:
- 1493/0 Distributed Denial of Service on Financial Institutions
- 2152/0 ICMP-Überschwemmung
- 4002/0 UDP-Host-Flood
- 4004/0 DNS Flood-Angriff
- 6009/0 SYN Flood DoS
- 6901/0 Net Flood ICMP-Antwort
- 6902/0 Net Flood ICMP-Anfrage
- 6903/0 Net Flood ICMP Beliebig
- 6910/0 Net Flood UDP
- 6920/0 Net Flood TCP
- ASA-4-106023 (ACL verweigert)
Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 4 Dieses Cisco Applied Mitigation Bulletin wurde aktualisiert und enthält jetzt neue Ziele für Links zu verschiedenen technischen Dokumenten. 2015-Dezember-01 16:31 GMT 3 Dieses Cisco Applied Mitigation Bulletin wurde aktualisiert und enthält nun die Funktion zur Erkennung von Sicherheitsrisiken von Cisco ASA und Cisco ASASM, mit der potenzielle Angriffe auf Ressourcen erkannt werden können. 23. Oktober 2012, 14:06 Uhr GMT 2 Dieses Cisco Applied Mitigation Bulletin wurde aktualisiert und enthält jetzt zusätzliche Details zur Erkennung von Sicherheitsrisiken mit Cisco ASA und Cisco ASASM.
16. Oktober 2012, 16:08 Uhr GMT 1 Cisco Applied Mitigation Bulletin (erste öffentliche Version) 2012-Oktober-04 21:38 GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
Zugehörige Informationen
Zugehörige Informationen
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte IntelliShield Bulletin für angewandte Risikominderung Ursprüngliche Version (Basis)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.