Cisco Applied Mitigation Bulletin-
Eine Schwachstelle in den Geräten der Siemens SCALANCE X200 IRT-Serie könnte es einem nicht authentifizierten Angreifer an entfernten Standorten ermöglichen, sich unbefugten Zugriff zu verschaffen. Die Schwachstelle besteht aufgrund eines Implementierungsfehlers in SNMPv3. Dadurch kann der Angreifer SNMP-Befehle ohne die richtigen Anmeldeinformationen auf dem Zielsystem ausführen. Der Angriffsvektor ist das SNMPv3-Protokoll über den UDP-Port 161. Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3634 zugewiesen.
Eine Schwachstelle in den Geräten der Siemens SCALANCE X200 IRT-Serie könnte es einem authentifizierten, entfernten Angreifer ermöglichen, erhöhte Rechte zu erlangen. Die Schwachstelle besteht darin, dass die Geräte-Firmware keine ausreichenden Prüfungen der vom Benutzer bereitgestellten Befehle implementiert. Dies könnte es dem Angreifer in einem benachbarten Netzwerk ermöglichen, privilegierte Befehle auf dem Zielsystem über die Webschnittstelle mit einem nicht privilegierten Konto auszuführen. Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2013-3633 zugewiesen. Für CVE-2013-3633 gibt es keine entsprechenden Abhilfemaßnahmen.
-
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- Transit-Zugriffskontrolllisten (tACLs)
- Unicast Reverse Path Forwarding (URPF)
- IP Source Guard (IPSG)
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, bei denen Pakete mit gefälschten Quell-IP-Adressen verwendet werden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor gefälschten Paketen auf der Zugriffsebene.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten mithilfe der Protokollüberprüfung auf Anwendungsebene einen effektiven Schutz vor Exploits.
Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, die Schwachstelle auszunutzen, und verifiziert die Quell-IP-Adresse.
Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Die Firewalls Cisco IOS Software, Cisco ASA, Cisco ASASM und Cisco FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:- Cisco IOS-Router und -Switches
- Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte SNMP IPv4-Pakete über den UDP-Port 161, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellt 192.168.60.0/24 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und der Host unter 192.168.100.1 gilt als vertrauenswürdige Quelle, die Zugriff auf die betroffenen Geräte erfordert. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.!-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable port and protocol ! access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 161 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 161 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in
Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mit dem Schnittstellenkonfigurationsbefehl no ip unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls ip icmp rate-limit unreachable interval-in-ms vom Standardwert geändert werden.Identifizierung: Transit-Zugriffskontrolllisten
Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifiziert der Befehl show ip access-lists die Anzahl der SNMP IPv4-Pakete auf dem UDP-Port 161, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show ip access-lists 150:router#show ip access-lists 150 Extended IP access list 150 10 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 161 20 deny udp any 192.168.60.0 0.0.0.255 eq 161 (12 matches) 30 deny ip any any router#Im vorherigen Beispiel hat die Zugriffsliste 150 12 SNMP-Pakete auf dem UDP-Port 161 für die Zugriffskontrolllisteneintragszeile (ACE) 20 verworfen.
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and Cisco IOS Router Syslog Events Cisco Security Intelligence Operations.
Administratoren können den Embedded Event Manager verwenden, um Instrumentierungen bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.Identifizierung: Protokollierung der Zugriffsliste
Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel. Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.
Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [ except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.
Die Auswirkungen der ACL-Protokollierung auf die CPU können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.
Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security Intelligence Operations.
Eindämmung: Spoofing-Schutz
Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebene Schwachstelle kann durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen finden Sie im Funktionsleitfaden zur Unicast Reverse Path Forwarding Loose Mode.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Whitepaper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.IP-Quellschutz
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Bei ordnungsgemäßer Bereitstellung und Konfiguration bietet IPSG in Verbindung mit dem strengen Modus "uRPF" den effektivsten Spoofing-Schutz für die in diesem Dokument beschriebene Schwachstelle.
Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Bei ordnungsgemäßer Bereitstellung und Konfiguration von uRPF in der gesamten Netzwerkinfrastruktur können Administratoren den internen Steckplatz/Port des Schnittstellentyps "show cef", die Befehle "show ip interface", " show cef drop", "show ip cef switching statistics" und " show ip traffic" verwenden, um die Anzahl der Pakete zu identifizieren, die uRPF verworfen hat.
Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ip cef switching durch die Funktion show ip cef switching statistics ersetzt.
Hinweis: Der Befehl show | Regex starten und Befehl anzeigen | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command in der Cisco IOS Configuration Fundamentals Command Reference.router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ip cef switching statistics feature IPv4 CEF input features:
Im vorherigen Abschnitt mit show cef interface type slot/port internal, show cef drop, show ip interface type slot/port, show ip cef switching statistics feature und show ip traffic example, hat uRPF 18 IP-Pakete verworfen, die auf allen Schnittstellen mit uRPF konfiguriert wurden, da die Quelladresse des IP-Pakete in der Weiterleitungsdatenbank von Cisco Express Forwarding.
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#
Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow
Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebene Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 11 0984 00A1 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 11 0911 00A1 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 00A1 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 00A1 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 00A1 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1Im vorherigen Beispiel gibt es mehrere Datenflüsse für SNMP auf dem UDP-Port 161 (Hexadezimalwert 00A1).
Dieser Datenverkehr wird von Adressen im Adressblock 192.168.60.0/24 generiert und an diese gesendet, der von den betroffenen Geräten verwendet wird. Die Pakete in diesen Flows können gefälscht sein und einen Versuch anzeigen, diese Schwachstelle auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisauslastung für den SNMP-Datenverkehr zu vergleichen, der an UDP-Port 161 gesendet wird. Außerdem sollten sie die Flüsse untersuchen, um festzustellen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.
Um nur die Datenverkehrsflüsse für SNMP-Pakete auf UDP-Port 161 (Hexadezimalwert 00A1) anzuzeigen, verwenden Sie den Befehl show ip cache flow. | include SrcIf|_PrHex_.*00A1 command to display the related Cisco NetFlow records:
UDP-Datenflüsserouter#show ip cache flow | include SrcIf|_11_.*00A1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 11 092A 00A1 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 11 0C09 00A1 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 11 0B66 00A1 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 11 0914 00A1 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 11 0B7B 00A1 2
Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow
Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, Datenverkehrsanalyseparameter an die spezifischen Anforderungen eines Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot ============== ============== ============= ============= ========== =========== ==== ======= 192.168.11.54 192.168.60.158 1123 161 Gi0/0 Gi0/1 2212 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.10.17 192.168.60.97 4231 161 Gi0/0 Gi0/1 146 17 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 8567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 4012 6So zeigen Sie nur das SNMP auf UDP an Port 161: Verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv4. | IPV4 DST-ADDR einschließen |_161_.*_17 Befehl, um die zugehörigen NetFlow-Datensätze anzuzeigen.
Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow Configuration Guide, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow Configuration Guide, Release 12.4T.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Dies geschieht durch die Konfiguration von Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen, die mithilfe einer globalen Richtlinie oder einer Schnittstellendienstrichtlinie angewendet werden.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Configuring Application Layer Protocol Inspection des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 and the Configuring Application Inspection section of the Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.Simple Network Management Protocol-Anwendungsinspektion
Mithilfe der SNMP-Anwendungsprüfungs-Engine (Simple Network Management Protocol) auf den Adaptive Security Appliances der Serie Cisco ASA 5500 und den Cisco Firewall Services-Modulen können Administratoren eine Richtlinie konfigurieren, die SNMPv3-Nachrichten verhindert, während SNMPv1-, SNMPv2- und SNMPv2c-Nachrichten die Firewall passieren lassen. Bei der folgenden SNMP-Anwendungsprüfung wird das MPF (Modular Policy Framework) verwendet, um eine Richtlinie für die Überprüfung des Datenverkehrs auf UDP-Port 161 zu erstellen. Die SNMP-Überprüfungsrichtlinie verwirft SNMPv3-Verbindungen.! !-- Configure an SNMP map to deny SNMPv3 connections ! snmp-map deny_SNMPv3 deny version 3 ! !-- Add the above-configured SNMP map to the default policy !-- "global_policy" and default class "inspection_default" !-- and use it to inspect SNMP traffic that transits the firewall ! policy-map global_policy class inspection_default inspect snmp deny_SNMPv3 ! !-- By default, the policy "global_policy" is applied globally, !-- which results in the inspection of traffic that enters the !-- firewall from all interfaces ! service-policy global_policy global
Weitere Informationen zur SNMP-Anwendungsinspektion und zur MPF finden Sie im Abschnitt SNMP-Inspektion im Konfigurationsleitfaden für die Cisco Serie ASA 5500 unter Verwendung der CLI 8.2.Identifikation: Application Layer Protocol Inspection
Die Firewall-Syslog-Meldung 41601 wird generiert, wenn ein Simple Network Management Protocol (SNMP)-Paket verworfen wird. Die Syslog-Meldung identifiziert die SNMP-Version des verlorenen Pakets. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 41601.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstelle auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.Simple Network Management Protocol-Anwendungsinspektion
firewall# show logging | grep 416001 May 30 2013 22:03:49: %ASA-4-416001: Dropped UDP SNMP packet from outside:192.168.60.63/32769 to inside:192.168.60.42/161; version (3) is not allowed thru the firewall May 30 2032 22:03:50: %ASA-4-416001: Dropped UDP SNMP packet from outside:192.168.60.63/32769 to inside:192.168.60.42/161; version (3) is not allowed thru the firewall May 30 2013 22:03:51: %ASA-4-416001: Dropped UDP SNMP packet from outside:192.168.60.63/32769 to inside:192.168.60.42/161; version (3) is not allowed thru the firewall May 30 2013 22:03:52: %ASA-4-416001: Dropped UDP SNMP packet from outside:192.168.60.63/32769 to inside:192.168.60.42/161; version (3) is not allowed thru the firewall
Bei aktivierter SNMP-Überprüfung identifiziert der Befehl show service-policy die Anzahl der SNMP-Pakete, die von dieser Funktion geprüft und verworfen wurden. Das folgende Beispiel zeigt die Ausgabe für show service-policy:firewall# show service-policy | include snmp Inspect: snmp deny_SNMPv3, packet 236, drop 6, reset-drop 0 firewall#
Im vorherigen Beispiel wurden 236 SNMP-Pakete überprüft und 6 SNMP-Pakete verworfen.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 2 Cisco hat klargestellt, dass in seinem Applied Mitigation Bulletin: Identifying and Mitigating the Siemens SCALANCE Privilege Escalation Vulnerabilities für CVE-2013-3633 keine zugehörigen Informationen zur Risikominimierung verfügbar sind. 2013-04-Juni 20:42 GMT 1 Cisco Applied Mitigation Bulletin (erste öffentliche Version) 3. Juni 2013, 19:37 Uhr GMT 1 Warnmeldungsverlauf
Erstveröffentlichung3. Juni 2013, 19:37 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Siemens Corp Firmware für Scalance X-Switches 3,7 (.0, .1, .2, Base) | 4,0 (Basis) | 4.1 (Basis) | 4.2 (Basis) | 4,3 (Basis) | 4,4 (Basis) | 4,5 (Basis) | 5,0 (Basis)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.