-
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zu den folgenden PSIRT-Sicherheitsempfehlungen:
- Mehrere Schwachstellen in der Cisco E-Mail Security Appliance
- Mehrere Schwachstellen in der Cisco Content Security Management Appliance
- Mehrere Schwachstellen in der Cisco Web Security Appliance
In diesem Dokument werden Identifizierungs- und Eindämmungstechniken vorgestellt, die Administratoren auf Cisco Netzwerkgeräten implementieren können.
-
Die Cisco E-Mail Security Appliance weist mehrere Schwachstellen auf. Die folgenden Unterabschnitte fassen diese Schwachstellen zusammen:
Authentifizierte Command Injection-Schwachstelle des Web Framework: Diese Schwachstelle kann per Remote-Zugriff mit Authentifizierung ausgenutzt werden und erfordert eine Interaktion mit dem Endbenutzer. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte die Ausführung von beliebigem Code ermöglichen.
Die Angriffsvektoren zur Ausnutzung bestehen aus IPv4- und IPv6-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 80
- HTTPS mit TCP-Port 443
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3384 zugewiesen.
IronPort Spam Quarantine - Denial of Service-Schwachstelle: Diese Schwachstelle kann per Fernzugriff ausgenutzt werden, ohne dass eine Authentifizierung erforderlich ist und die Endbenutzer nicht eingreifen müssen. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren zur Ausnutzung bestehen aus IPv4- und IPv6-Paketen, die die folgenden Protokolle und Ports verwenden:
- TCP-Port 82
- TCP-Port 83
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3386 zugewiesen.
Management GUI Denial of Service-Schwachstelle: Diese Schwachstelle kann ohne Authentifizierung und ohne Endbenutzer-Interaktion remote ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren zur Ausnutzung bestehen aus IPv4- und IPv6-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 80
- HTTPS mit TCP-Port 443
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3385 zugewiesen.
Die Cisco Content Security Management Appliance weist mehrere Schwachstellen auf. Die folgenden Unterabschnitte fassen diese Schwachstellen zusammen:
Authentifizierte Command Injection-Schwachstelle in Web Framework: Diese Schwachstelle kann per Remote-Zugriff mit Authentifizierung und mit Endbenutzerinteraktion ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte die Ausführung von beliebigem Code ermöglichen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 80
- HTTPS mit TCP-Port 443
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3384 zugewiesen.
IronPort Spam Quarantine - Denial of Service-Schwachstelle: Diese Schwachstelle kann per Fernzugriff ausgenutzt werden, ohne dass eine Authentifizierung erforderlich ist und die Endbenutzer nicht eingreifen müssen. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- TCP-Port 82
- TCP-Port 83
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3386 zugewiesen.
Management GUI Denial of Service-Schwachstelle: Diese Schwachstelle kann ohne Authentifizierung und ohne Endbenutzer-Interaktion remote ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 80
- HTTPS mit TCP-Port 443
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3385 zugewiesen.
Die Cisco Web Security Appliance weist mehrere Schwachstellen auf. Die folgenden Unterabschnitte fassen diese Schwachstellen zusammen:
Authenticated Command Injection Vulnerabilities: Diese Schwachstellen können per Remote-Zugriff mit Authentifizierung und mit Endbenutzerinteraktion ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte die Ausführung von beliebigem Code ermöglichen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 8080
- HTTPS mit TCP-Port 8443
Diesen Sicherheitslücken wurden die Common Vulnerabilities and Exposures (CVE)-IDs CVE-2013-3383 und CVE-2013-3384 zugewiesen.
Management GUI Denial of Service Vulnerability: Diese Schwachstelle kann ohne Authentifizierung und ohne Endbenutzer-Interaktion per Fernzugriff ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- HTTP über TCP-Port 8080
- HTTPS mit TCP-Port 8443
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3385 zugewiesen.
-
Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in den Cisco Security Advisories, die über die folgenden Links verfügbar sind:
-
Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe von Transit-Zugriffskontrolllisten (tACLs) effektive Möglichkeiten zur Verhinderung von Exploits.
Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstellen auszunutzen.
Mit tACLs können Sie außerdem einen effektiven Exploit-Schutz durch Cisco Adaptive Security Appliances der Serie ASA 5500, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 gewährleisten.
Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Security Manager
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisiertes HTTP und HTTPS auf den TCP-Ports 80 und 443 sowie den TCP-Ports 82, 83, 8080 und 8443 über IPv4- und IPv6-Pakete, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 80 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 82 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 83 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 443 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8080
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 80 deny tcp any 2001:DB8:1:60::/64 eq 82 deny tcp any 2001:DB8:1:60::/64 eq 83 deny tcp any 2001:DB8:1:60::/64 eq 443 deny tcp any 2001:DB8:1:60::/64 eq 8080 deny tcp any 2001:DB8:1:60::/64 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy inBeachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp error-interval-interval-in-ms vom Standard geändert werden.
Identifizierung: Transit-Zugriffskontrolllisten
Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der HTTP- und HTTPS-Pakete auf den TCP-Ports 80 und 443 sowie die TCP-Ports 82 und 83 über gefilterte IPv4- und IPv6-Pakete. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists 150 und show ipv6 access-list IPv6-Transit-ACL-Policy:
router#show ip access-lists 150
Extended IP access list 150 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 50 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 60 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443
70 deny tcp any 192.168.60.0 0.0.0.255 eq 80 (221 matches) 80 deny tcp any 192.168.60.0 0.0.0.255 eq 82 (11 matches) 90 deny tcp any 192.168.60.0 0.0.0.255 eq 83 (10 matches) 100 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (120 matches) 110 deny tcp any 192.168.60.0 0.0.0.255 eq 8080 (100 matches) 120 deny tcp any 192.168.60.0 0.0.0.255 eq 8443 (97 matches)
130 deny ip any anyrouter#
Im vorherigen Beispiel hat die Zugriffsliste 150 die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 221 HTTP-Pakete an TCP-Port 80 für ACE-Leitung 70
- 11 Pakete an TCP-Port 82 für ACE-Leitung 80
- 10 Pakete an TCP-Port 83 für ACE-Leitung 90
- 120 HTTPS-Pakete auf TCP-Port 443 für ACE-Leitung 100
- 100 Pakete an TCP-Port 8080 für ACE-Leitung 110
- 97 Pakete am TCP-Port 8443 für ACE-Leitung 120
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 (205 matches) sequence 10 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 (18 matches) sequence 20 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 (21 matches) sequence 30 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 (159 matches) sequence 40 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 (52 matches) sequence 50 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 (102 matches) sequence 60 deny tcp any 2001:DB8:1:60::/64 eq 80 (121 matches) sequence 70 deny tcp any 2001:DB8:1:60::/64 eq 82 (31 matches) sequence 80 deny tcp any 2001:DB8:1:60::/64 eq 83 (23 matches) sequence 90 deny tcp any 2001:DB8:1:60::/64 eq 443 (131 matches) sequence 100 deny tcp any 2001:DB8:1:60::/64 eq 8080 (101 matches) sequence 110 deny tcp any 2001:DB8:1:60::/64 eq 8443 (120 matches) sequence 120 permit icmp any any nd-ns (41 matches) sequence 130 permit icmp any any nd-na (41 matches) sequence 140 deny ipv6 any any (21 matches) sequence 150
Im vorherigen Beispiel hat die Zugriffsliste IPv6-Transit-ACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 121 HTTP-Pakete an TCP-Port 80 für ACE-Leitung 70
- 31 Pakete an TCP-Port 82 für ACE-Leitung 80
- 23 Pakete an TCP-Port 83 für ACE-Leitung 90
- 131 HTTPS-Pakete auf TCP-Port 443 für ACE-Leitung 100
- 101 Pakete an TCP-Port 8080 für ACE-Leitung 110
- 120 Pakete auf TCP-Port 8443 für ACE-Leitung 120
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.
Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.
Identifizierung: Protokollierung der Zugriffsliste
Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.
Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.
Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.
Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.
Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security Intelligence Operations.
Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow
Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, die diese Schwachstellen ausnutzen können. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
router#show ip cache flow
IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 11 0984 00A1 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 11 0911 00A1 3 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0016 0052 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 00A1 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 00A1 1 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F93 20FB 19
Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 06 00AB 1F90 9 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 00A1 1Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 01BB 22
router#Im vorherigen Beispiel gibt es mehrere Datenflüsse für HTTP und HTTPS an den TCP-Ports 80 (Hexadezimalwert 50) und 443 (Hexadezimalwert 1BB) sowie an den TCP-Ports 82 (Hexadezimalwert 52), 83 (Hexadezimalwert 53) und 8080 (Hexadezimalwert 1F. 90) und 8443 (Hexadezimalwert 0x20FB).
Wie im folgenden Beispiel gezeigt, um nur HTTP und HTTPS auf TCP-Ports 80 (Hexadezimalwert 50) und 443 (Hexadezimalwert 1BB) zusammen mit TCP-Ports 82 (Hexadezimalwert 52), 83 (Hexadezimalwert 53), 8080 (Hexadezimalwert 1F90) und 8443 (hexadezimaler Wert: 0x20FB), verwenden Sie den show ip cache flow | include SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ command to display the related Cisco NetFlow records:
TCP-Flowsrouter#show ip cache flow | include SrcIf|_6_.*(50|52|53|1BB|1F90|20FB)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0052 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A16 01BB 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A17 1F90 15 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A18 20FB 10 router#
Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow
Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um die Identifizierung von IPv6-Datenverkehrsflüssen zu unterstützen, bei denen möglicherweise versucht wird, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x16C4 0x0050 1001 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0052 1092 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x0053 1009 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1634 0x01BB 1341 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1611 0x1F90 1000 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1612 0x20FB 1010
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155
Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.
Im vorherigen Beispiel gibt es mehrere IPv6-Flows für HTTP und HTTPS an den TCP-Ports 80 (Hexadezimalwert 50) und 443 (Hexadezimalwert 1BB) sowie den TCP-Ports 82 (Hexadezimalwert 52), 83 (Hexadezimalwert 53), 8080 (Hexadezimalwert 1F90) und 84 43 (Hexadezimalwert 0x20FB).
Wie im folgenden Beispiel gezeigt, um nur HTTP und HTTPS auf TCP-Ports 80 (Hexadezimalwert 50) und 443 (Hexadezimalwert 1BB) zusammen mit TCP-Ports 82 (Hexadezimalwert 52), 83 (Hexadezimalwert 53), 8080 (Hexadezimalwert 1F90) und 8443 (hexadezimaler Wert (0x20FB), verwenden Sie den show ipv6 flow cache | include SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ command to display the related Cisco NetFlow records:
TCP-Flows
router#show ipv6 flow cache | include SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0050 1032 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x160B 0x0052 1291 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1734 0x0053 2123 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A1 0x01BB 1374 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A2 0x1F90 1201 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A3 0x20FB 1011 router#
Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco Flexible NetFlow
Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ========== =========== ====== ======= 192.168.10.201 192.168.0.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.0.158 123 82 Gi0/0 Gi0/1 2212 6 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.0.28 3451 22 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.0.97 4231 83 Gi0/0 Gi0/1 146 6 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 192.168.10.18 192.168.150.60 1233 8080 Gi0/0 Gi0/1 1021 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6 192.168.10.18 192.168.150.60 1234 8443 Gi0/0 Gi0/1 1452 6
Um nur die HTTP- und HTTPS-Pakete auf den TCP-Ports 80 und 443 zusammen mit den TCP-Ports 82, 83, 8080 und 8443 anzuzeigen, verwenden Sie die Formattabelle für den FLOW-MONITOR-ipv4-Cache. | IPV4 DST-ADDR einschließen |_(80|82|83|443|8080|8443)_.*_06_ Befehl zum Anzeigen der zugehörigen NetFlow-Datensätze.
Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Konfigurationsleitfaden für Flexible NetFlow, in Cisco IOS Release 15M&T und in Cisco IOS Flexible NetFlow Configuration Guide, Release 12.4T.
Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse basierend auf der IPv6-Quelladresse, wie in der Schlüsselfeldanweisung match ipv6 source address definiert. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1265 80 Gi0/0 Gi0/0 1237 6 2001:DB...06::201 2001:DB...28::20 1441 443 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1890 82 Gi0/0 Gi0/0 5009 6 2001:DB...06::201 2001:DB...28::20 2856 83 Gi0/0 Gi0/0 486 6 2001:DB...06::201 2001:DB...28::20 2858 8080 Gi0/0 Gi0/0 511 6 2001:DB...06::201 2001:DB...28::20 2859 8443 Gi0/0 Gi0/0 612 6
2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.
Wenn Sie nur die HTTP- und HTTPS-Pakete an den TCP-Ports 80 und 443 zusammen mit den TCP-Ports 82, 83, 8080 und 8443 anzeigen möchten, verwenden Sie die Formattabelle für den FLOW-MONITOR-ipv6-Cache für die Flussüberwachung. | IPV6 DST ADDR einschließen|_(80|82|83|443|8080|8443)_.*_06_ Befehl, um die zugehörigen Cisco IOS Flexible NetFlow-Datensätze anzuzeigen.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisiertes HTTP und HTTPS auf den TCP-Ports 80 und 443 sowie den TCP-Ports 82, 83, 8080 und 8443 über IPv4- und IPv6-Pakete, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outsideIdentifizierung: Transit-Zugriffskontrolllisten
Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der HTTP- und HTTPS-Pakete an den TCP-Ports 80 und 443 sowie die Anzahl der TCP-Pakete an den Ports 82 und 83 über IPv4 und IPv6 identifizieren, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show access-list tACL-Policy und show access-list IPv6-tACL-Policy:
firewall#show access-list tACL-Policy access-list tACL-Policy; 13 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq www (hitcnt=31) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 (hitcnt=61) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 (hitcnt=131) access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq https (hitcnt=57) access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=99) access-list tACL-Policy line 6 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=34)
access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq http (hitcnt=18) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 (hitcnt=10) access-list tACL-Policy line 9 extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 (hitcnt=22) access-list tACL-Policy line 10 extended deny tcp any 192.168.60.0 255.255.255.0 eq https (hitcnt=9) access-list tACL-Policy line 11 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=19) access-list tACL-Policy line 12 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=12) access-list tACL-Policy line 13 extended deny ip any any (hitcnt=8)Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 18 HTTP-Pakete auf TCP-Port 80 für ACE-Leitung 7
- 10 Pakete auf TCP-Port 443 für ACE-Leitung 8
- 22 Pakete auf TCP-Port 82 für ACE-Leitung 9
- 9 HTTPS-Pakete auf TCP-Port 83 für ACE-Leitung 10
- 19 Pakete an TCP-Port 8080 für ACE-Leitung 11
- 12 Pakete auf TCP-Port 8443 für ACE-Leitung 12
firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 13 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq www (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 82 (hitcnt=28) ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 83 (hitcnt=124) ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq https (hitcnt=81) ipv6 access-list IPv6-tACL-Policy line 5 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8080 (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 6 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8443 (hitcnt=23) ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:db8:1:60::/64 eq www (hitcnt=39) ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:db8:1:60::/64 eq 82 (hitcnt=32) ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:db8:1:60::/64 eq 83 (hitcnt=43) ipv6 access-list IPv6-tACL-Policy line 10 deny tcp any 2001:db8:1:60::/64 eq https (hitcnt=123) ipv6 access-list IPv6-tACL-Policy line 11 deny tcp any 2001:db8:1:60::/64 eq 8080 (hitcnt=90) ipv6 access-list IPv6-tACL-Policy line 12 deny tcp any 2001:db8:1:60::/64 eq 8443 (hitcnt=87)
ipv6 access-list IPv6-tACL-Policy line 13 deny ip any any (hitcnt=27)Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 39 HTTP-Pakete auf TCP-Port 80 für ACE-Leitung 7
- 32 Pakete auf TCP-Port 82 für ACE-Leitung 8
- 43 Pakete auf TCP-Port 83 für ACE-Leitung 9
- 123 HTTPS-Pakete auf TCP-Port 443 für ACE-Leitung 10
- 90 Pakete am TCP-Port 8080 für ACE-Leitung 11
- 87 Pakete am TCP-Port 8443 für ACE-Leitung 12
Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.
Identifizierung: Firewall Access List, Syslog-Meldungen
Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
firewall#show logging | grep 106023 Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 dst inside:192.168.60.33/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 dst inside:192.168.60.240/83 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 dst inside:192.168.60.115/443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2949 dst inside:192.168.60.38/8443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950 dst inside:192.168.60.250/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:2::2:172/2951 dst inside:2001:db8:1:60::23/443 by access-group "IPv6-tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:d::a85e:172/2952 dst inside:2001:db8:1:60::134/8080 by access-group "IPv6-tACL-Policy" firewall#
Im vorherigen Beispiel zeigen die für die tACL tACL-Richtlinie und die IPv6-tACL-Richtlinie protokollierten Nachrichten HTTP- und HTTPS-Pakete für die TCP-Ports 80 und 443 und Pakete für die TCP-Ports 82, 83, 8080 und 843 an, die gesendet wurden. an den Adressblock an, der den betroffenen Geräten zugewiesen ist.
Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.
Cisco Security Manager
Identifikation: Cisco Security Manager
Cisco Security Manager, Ereignisanzeige
Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit den in diesem Dokument beschriebenen Sicherheitslücken zusammenhängen.
Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.
- Verwenden Sie den Zielereignisfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
- Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die die TCP-Ports 80, 82, 83, 443, 8080 und 8443 enthalten.
Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht Firewall Denied Events (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Syslog-Meldungen Deny bereitzustellen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:
- ASA-4-106023 (ACL verweigert)
Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.
Cisco Security Manager Report Manager
Im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:
- Verwenden Sie den Ziel-IP-Netzwerkfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
- Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"
Identifikation: Event Management System - Partnerveranstaltungen
Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und getesteter SIEM-Systeme, die geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte bewältigen. Partnerprodukte für das Security Information and Event Management können zum Erfassen von Ereignissen von Cisco Geräten und zum anschließenden Abfragen der gesammelten Ereignisse für Vorfälle verwendet werden, die durch Deny-Syslog-Meldungen von Firewalls erstellt wurden, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:
- ASA-4-106023 (ACL verweigert)
Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Version Beschreibung Abschnitt Datum 1 26. Juni 2013, 16:03 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco Cisco Web Security Appliance (WSA) 7,1 (.0, .1, .2, .3, .4) | 7,5 (.0-000, .1-000) | 7,7 (.0-000) Cisco E-Mail Security Appliance (ESA) 7,1 (.0, .1, .2, .3, .4, .5) | 7,3 (.0, .1, .2) | 7,5 (.0, .1, .2) | 7,6 (.0, .1-000, .2) Cisco Content Security Management Appliance (SMA) 7,2 (.0, .1, .2) | 7,7 (.0, .1) | 7,9 (.0, .1) | 8,0 (.0)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.