Cisco Firewall サービス モジュールの多重 脆弱点の識別し、軽減不正利用

ダウンロード オプション

  • PDF     (242.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (74.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (93.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2011 年 12 月 25 日
Document ID:1496358743200256

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Advisory ID: cisco-amb-20100804-fwsm

http://tools.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20100804-fwsm

リビジョン 1.1

一般公開 2010 に関しては August 4 16:00 UTC (GMT)

目次

Cisco の対応
デバイス別の緩和策と識別策
追加情報
改訂履歴
Ciscoセキュリティ手順
関連情報

Cisco の対応

この応用軽減情報は Cisco Firewall サービス モジュールの PSIRT Security Advisory 多重 脆弱点へドキュメントガイド、管理者がネットワークデバイスを on Cisco 配置できる緩和技術および識別を提供します。

脆弱性の特性

Cisco Firewall サービス モジュールに多重 脆弱点があります。 次のサブセクションはこれらの脆弱性を要約します:

Sun Remote Procedure Call(SunRPC) (SunRPC)インスペクション サービス拒否の脆弱性: これらの脆弱性は認証とエンドユーザ 相互対話なしでリモートで不正利用することができます。 これらの脆弱性の不正利用の成功により影響を受けたデバイスはサービス拒否 (DoS)状態に終って、クラッシュし、リロードしますかもしれません。 これらの脆弱性を不正利用する繰り返された試みは支えられた DoS 状態という結果に終る可能性があります。 不正利用のための攻撃 ベクトルは UDP ポート 111 を使用して SunRPC パケットを通ってあります。 攻撃者はスプーフィングされたパケットを使用してこれらの脆弱性を不正利用する可能性があります。

これらの脆弱性は CVE 識別 CVE-2010-2818、CVE-2010-2819 および CVE-2010-2820 を割り当てられました。

TCP サービス拒否の脆弱性: この脆弱性は、認証およびエンドユーザの操作なしでリモートから悪用される可能性があります。 この脆弱性の不正利用の成功により影響を受けたデバイスはサービス拒否 (DoS)状態に終って、クラッシュしますかもしれません。 この脆弱性が繰り返し悪用されると、持続的な DoS 状態になる可能性があります。

不正利用のための攻撃ベクターは次のプロトコルおよびポートを使用してパケットを通ってあります:

  • TCPポート 22 を使用する SSH
  • TCPポート 23 を使用する Telnet
  • Cisco Adaptive Security Device Manager (TCPポート 443 を使用する ASDM) SSL

この脆弱性は CVE 識別子 CVE-2010-2821 を割り当てられました。

脆弱性のあるソフトウェア、該当しないソフトウェア、修正済みソフトウェアについては、次の PSIRT セキュリティ アドバイザリを参照してください。 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-fwsm

緩和テクニックの概要

Ciscoデバイスはこれらの脆弱性に複数の対策を提供します。 これらの保護方法は、インフラストラクチャ デバイスとネットワークを通過するトラフィックのセキュリティを保護する一般的なベスト プラクティスであると考えられます。 資料のこのセクションはこれらの手法の外観を提供します。

Cisco IOS ® ソフトウェアはインフラストラクチャ アクセスコントロール アクセス・コントロール・リスト(iACLs)を使用してエクスプロイト防止の有効な手段を提供できます。 この保護メカニズムはこれらの脆弱性を不正利用するように試みているパケットをフィルタリングし、廃棄します。

有効なエクスプロイト防止はまた Cisco ASA 5500 シリーズによって中継アクセスコントロール アクセス・コントロール・リスト(tACLs)を使用している Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータにおよび Firewall Services Module (FWSM)適応型セキュリティ アプライアンス(ASA)ソフトウェア提供することができます。 この保護メカニズムはこれらの脆弱性を不正利用するように試みているパケットをフィルタリングし、廃棄します。

Cisco Intrusion Prevention System(IPS; 侵入防御システム)のイベント アクションを効果的に使用すると、これらの脆弱性を悪用しようとする攻撃を認識して防御することができます。

Cisco IOS NetFlow レコードはネットワークベース 不正利用試みに表示を提供できます。

Cisco IOSソフトウェア、Cisco ASA、および FWSM ファイアウォールは show コマンド からの出力で表示する syslog メッセージおよびカウンタ値によって可視性を提供できます。

Cisco Security Monitoring, Analysis, and Response System(Cisco Security MARS)アプライアンスも、インシデント、クエリ、およびイベント レポートを通じて情報を提供できます。

リスク管理

組織はこれらの脆弱性の潜在的影響を判別するために標準リスク評価および軽減プロセスに従うように助言されます。 トリアージとは、プロジェクトを分類して、成功する可能性が高い取り組みに優先順位を付けることです。 Cisco では、各組織の情報セキュリティ チームがリスクベースのトリアージを行う能力を身に着けるために役立つドキュメントを提供しています。 セキュリティーの脆弱性 お知らせのためのリスク トリアージはおよびリスク トリアージおよびプロトタイピング反復可能な機密 保護 評価および応答プロセスを開発するために組織を助けることができます。

デバイス特有の軽減および識別

caution.gif 注意: あらゆる緩和技術の効果は製品ミックス、ネットワーク トポロジ、交通現象および組織代表団のような特定の顧客 状況によって決まります。 設定を変更する際には、変更を適用する前にその設定の影響を評価する必要があります。

ここでは緩和策と識別策に関する情報が次のデバイス別に提供されています。

Cisco IOS ルータおよびスイッチ

緩和策: インフラストラクチャ アクセス コントロール リスト

インフラストラクチャ デバイスを保護し、リスクを、直接インフラストラクチャ不正侵入の影響最小限に抑えるためにおよび効果は、管理者 インフラストラクチャ機器に送信 される トラフィックのポリシー施行を行うためにインフラストラクチャ アクセスコントロール アクセス・コントロール・リスト(iACLs)を展開するように助言されます。 iACL は、既存のセキュリティ ポリシーと設定に基づいて、インフラストラクチャ デバイス宛ての正当なトラフィックのみを明示的に許可することによって構築されます。 インフラストラクチャ デバイスの保護を最大にするには、IP アドレスが設定されているすべてのインターフェイスの入力方向で配備済みの iACL を適用する必要があります。 iACL 回避策はこれらの脆弱性に対して攻撃が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。

iACL ポリシーは次のプロトコルによって影響を受けたデバイスに送信される無許可のパケットを拒否します:

  • TCPポート 22 を使用する SSH
  • TCPポート 23 を使用する Telnet
  • Cisco Adaptive Security Device Manager (TCPポート 443 を使用する ASDM) SSL

影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスにアクセスを必要とする信頼されたソースとみなされます次の例では、192.168.60.0/24 は IPアドレス空間であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。 インフラストラクチャのアドレス レンジは、できるだけユーザおよびサービス セグメントに使用されるアドレス レンジとは別個にする必要があります。 このようにアドレスを設定することで、iACL の構築と配備が容易になります。

iACLs についてのその他の情報はコアの保護にあります: インフラストラクチャ保護 ACL』を参照してください。

ip access-list extended Infrastructure-ACL-Policy

 ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports. !

  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 23
  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443

 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks. !

  deny tcp any 192.168.60.0 0.0.0.255 eq 22
  deny tcp any 192.168.60.0 0.0.0.255 eq 23
  deny tcp any 192.168.60.0 0.0.0.255 eq 443

 ! !-- Explicit deny ACE for traffic sent to addresses !-- configured within the infrastructure address space. !

  deny ip any 192.168.60.0 0.0.0.255

 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and !-- configurations. ! !-- Apply iACL to interfaces in the ingress direction. !

interface GigabitEthernet0/0
 ip access-group Infrastructure-ACL-Policy in

インターフェイス アクセス リストを使用してフィルタリングを行うと、ICMP 到達不能メッセージが、フィルタリングされたトラフィックの送信元に返されるようになります。 これらのメッセージを生成すると、デバイスの CPU 使用率が上昇する可能性があります。 Cisco IOS ソフトウェアでの ICMP 到達不能メッセージの生成は、デフォルトで 500 ミリ秒につき 1 パケットまでに制限されています。 ICMP 到達不能メッセージの生成を無効にするには、インターフェイス コンフィギュレーション コマンド no ip unreachables を使用します。 ICMP 到達不能レート制限をデフォルト設定から変更するには、グローバル コンフィギュレーション コマンド ip icmp rate-limit unreachable interval-in-ms を使用します。

識別策: インフラストラクチャ アクセス コントロール リスト

管理者がインターフェイスに iACL を加えた後、show ip access-lists コマンドは iACL が適用するインターフェイスでフィルタリングされた TCP ポート 22、23、および 443 の SSH、Telnet および SSL パケットの数を確認します。 フィルタリングされたパケットに対しては、これらの脆弱性を悪用しようとしていないかどうかを調査する必要があります。 次に show ip access-lists Infrastructure-ACL-Policy の出力例を示します。

router#show ip access-lists Infrastructure-ACL-Policy
  Extended IP access list Infrastructure-ACL-Policy
      10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
      20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq telnet
      30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
      40 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (197 matches)
      50 deny tcp any 192.168.60.0 0.0.0.255 eq telnet (201 matches)
      60 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (38 matches)
      70 deny ip any 192.168.60.0 0.0.0.255 (247 matches)
router#

前述の例では、アクセス リスト インフラストラクチャ ACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:

  • ACE ラインのための 40 TCPポート 22 (ssh)197 の SSH パケット
  • ACE ラインのための 50 TCPポート 23 (telnet)201 の Telnet パケット
  • ACE ラインのための 60 TCPポート 443 (SSL)38 の SSL パケット

ACE カウンターおよび syslog イベントを使用して調査事件についてのその他の情報に関しては、ファイアウォールおよび IOSルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。

管理者は特定の状態が満たされるとき見つかります組み込みイベント マネージャを ACE カウンターのような実装を提供するのに使用できます。 セキュリティ コンテキストの応用知性 白書によって組み込まれるイベント マネージャは方法についての追加詳細をこの機能を使用する提供します。

識別策: アクセス リスト ロギング

log および log-input アクセス コントロール リスト(ACL)オプションを使用すると、特定の ACE に一致するパケットがログに記録されます。 log-input オプションを使用すると、パケットの送信元および宛先の IP アドレスとポートに加え、入力インターフェイスのロギングが有効になります。

caution.gif 注意: アクセス コントロール リストのロギングは CPU に多大な負荷を与えることがあるので、使用する場合は細心の注意を払う必要があります。 ACL ロギングによる CPU への影響を左右する要素は、ログの生成、ログの送信、およびログが有効な ACE に一致するパケットを転送するプロセス交換です。

Cisco IOS ソフトウェアでは、ip access-list logging interval interval-in-ms コマンドを使用すると、ACL ロギングによって引き起こされるプロセス交換の影響を制限できます。 logging rate-limit rate-per-second [except loglevel] コマンドを使用すると、ログの生成と送信の影響を制限できます。

Supervisor Engine 720 または Supervisor Engine 32 を搭載した Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータでは、ACL ロギングによる CPU への影響をハードウェアで最適化することができます。

ACL ロギングの設定と使用についての詳細は、Applied Intelligence white paper『アクセス コントロール リストのログについて』を参照してください。

Cisco IOS NetFlow

識別策: NetFlow レコードを使用したトラフィック フローの識別

管理者はこれらの脆弱性を不正利用する試みであるかもしれないトラフィックフローの識別を援助するために Cisco IOS NetFlow IOSルータおよびスイッチを on Cisco 設定できます。 管理者はこれらの脆弱性を不正利用する試みであるか、または正当なトラフィック トラフィック フローであるかどうか判別するためにフローを調査するために助言されます。

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 0017     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    11 0016 12CA     1
Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 0B3E 01BB     5
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 0B89 0016     1
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 0016     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 0BD7 01BB     2
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  11 12CA 01BB     1
router#

前述の例では、TCPポート 22 (0016) 16進法の値、TCPポート 23 (0017) 16進法の値、および TCPポート 443 (16進法の値 01BB)SSH パケットのための複数のフローがの Telnet パケットの SSL パケットあります。

先行するリストのパケットのためのトラフィックフローだけ表示するため、コマンド show ip cache flow | SrcIf|_06_.*(0016|0017|01BB)_ を表示するここに示されているように関連 TCP NetFlowレコードを含んで下さい:

router#show ip cache flow | include SrcIf|_06_.*(0016|0017|01BB)
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201   Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.11.54    Gi0/1         192.168.60.158  06 0911 0017     3
Gi0/0         192.168.13.97    Gi0/1         192.168.60.28   06 0B3E 01BB     5
Gi0/0         192.168.10.17    Gi0/1         192.168.60.97   06 0B89 0016     1
Gi0/0         192.168.12.185   Gi0/1         192.168.60.239  06 0BD7 01BB     2
router#

Cisco ASA および FWSM ファイアウォール

緩和策: トランジット アクセス コントロール リスト

インターネット接続ポイント、パートナーおよびサプライヤー接続ポイントを含むかもしれない、入力 アクセス ポイントでネットワークに入るネットワークまたは VPN 接続ポイントをトラフィックから保護するために、管理者はポリシー施行を行うために tACLs を展開するために助言されます。 tACL の構築は、既存のセキュリティ ポリシーと設定に基づいて、入力アクセス ポイントからネットワーク内に入ることを許可されたトラフィックのみを明示的に許可するか、ネットワークを通過することを許可されたトラフィックを許可することによって達成されます。 tACL 回避策はこれらの脆弱性に対して攻撃が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。

tACL ポリシーは次のプロトコルによって影響を受けたデバイスに送信される無許可のパケットを拒否します:

  • TCPポート 22 を使用する SSH
  • TCPポート 23 を使用する Telnet
  • TCPポート 443 を使用する Cisco Adaptive Security Device Manager (ASDM) SSL セッション

影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスにアクセスを必要とする信頼されたソースとみなされます次の例では、192.168.60.0/24 は IPアドレス空間であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。

tACLs についてのその他の情報はアクセス コントロール リスト(ACL)送信中です: エッジでのフィルタリング』を参照してください。


! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports. !

access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0
            255.255.255.0 eq 22
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0
            255.255.255.0 eq 23
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0
            255.255.255.0 eq 443

! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks. !

access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 22
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 23
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443

! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations. ! !-- Explicit deny for all other IP traffic. !

access-list tACL-Policy extended deny ip any any

! !-- Apply tACL to interface(s) in the ingress direction. !

access-group tACL-Policy in interface outside

識別策: トランジット アクセス コントロール リスト

tACL がインターフェイスに加えられた後、管理者はずっとフィルタ処理されたである TCP ポート 22、23、および 443 の SSH、Telnet および SSL パケットの数を確認する show access-list コマンドを使用できます。 管理者はこれらの脆弱性を不正利用する試みであるかどうか判別するためにフィルタ処理されたパケットを調査するために助言されます。 show access-list tACL ポリシーのための出力例は続きます:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 7 elements
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
            192.168.60.0 255.255.255.0 eq ssh (hitcnt=439)
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 
            192.168.60.0 255.255.255.0 eq telnet (hitcnt=624)
access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 
            192.168.60.0 255.255.255.0 eq https (hitcnt=783)
access-list tACL-Policy line 4 extended deny tcp any 192.168.60.0 
            255.255.255.0 eq ssh (hitcnt=669)
access-list tACL-Policy line 5 extended deny tcp any 192.168.60.0 
            255.255.255.0 eq telnet (hitcnt=492)
access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 
            255.255.255.0 eq https (hitcnt=550)
access-list tACL-Policy line 7 extended deny ip any any (hitcnt=38)
firewall#

前述の例では、アクセス リスト tACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:

  • ACE ラインのための 4 TCPポート 22 (ssh)669 の SSH パケット
  • ACE ラインのための 5 TCPポート 23 (telnet)492 の Telnet パケット
  • ACE ラインのための 6 TCPポート 443 (SSL)550 の SSL パケット

識別策: ファイアウォール アクセス リスト syslog メッセージ

log キーワードを含まないアクセス コントロール エントリ(ACE)によって拒否されたパケットに対しては、ファイアウォール syslog メッセージ 106023 が生成されます。 この syslog メッセージについてのその他の情報は Cisco ASA 5500 シリーズ システムログメッセージ、8.2 - 106023 あります。

Cisco ASA 5500 シリーズ用の Syslog の設定についての情報はモニタリング-ロギングを設定すること適応型セキュリティ アプライアンス(ASA)ソフトウェアあります。 Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータのための FWSM の Syslog の設定についての情報は Firewall Services Module の監視にあります。

次の例では、show logging | グレップ regex コマンドはファイアウォールのロギングバッファから syslog メッセージを得ます。 これらのメッセージはこの資料に説明がある脆弱性を不正利用する潜在的な試みを示す可能性がある拒否されたパケットについてのその他の情報を提供します。 grep キーワードを付けて別の正規表現を使用すると、ログ メッセージに含まれる特定のデータを検索できます。

正規表現構文についてのその他の情報は正規表現の作成にあります。

firewall#show logging | grep 106023
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/4492 
         dst inside:192.168.60.191/23 by access-group "tACL-Policy"
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 
         dst inside:192.168.60.33/443 by access-group "tACL-Policy"
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/45367 
         dst inside:192.168.60.240/22 by access-group "tACL-Policy"
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/11223 
         dst inside:192.168.60.115/443 by access-group "tACL-Policy"
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/1025 
         dst inside:192.168.60.38/22 by access-group "tACL-Policy"
  Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/21950 
         dst inside:192.168.60.250/23 by access-group "tACL-Policy"
firewall#

前述の例では、TCPポート 23TCPポート 22、Telnet パケット、および TCPポート 443SSL パケットの tACL tACL ポリシー show ssh パケットのために記録 された メッセージは影響を受けたデバイスに割り当てられたアドレスブロックに送信 しました。

ASA セキュリティ アプライアンスのための syslog メッセージについてのその他の情報は Cisco ASA 5500 シリーズ システムログメッセージ、8.2 あります。 FWSM のための syslog メッセージについてのその他の情報は Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ システムログメッセージを記録 する ルータ Firewall Services Module にあります。

syslog イベントを使用して調査事件についてのその他の情報に関しては、ファイアウォールおよび IOSルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。

Cisco Intrusion Prevention System

緩和策: Cisco IPS シグニチャ イベント アクション

管理者は脅威 検出を提供し、この資料に説明がある脆弱性を不正利用する試みを防ぐのを助けるのに Cisco 侵入防御システム(IPS)アプライアンスおよびサービス モジュールを使用できます。 これらの脆弱性は、次のシグニチャによって検出されることがあります。

  • 24120/0 - Cisco ASA RPC 脆弱性
  • 24140/0 - Cisco ASA RPC 脆弱性
  • 24159/0 - Cisco ASA RPC 脆弱性

24120/0 - Cisco ASA RPC 脆弱性

Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24120/0 (シグニチャ名前によって検出することができます: Cisco ASA RCP 脆弱性)。 シグニチャ 24120/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。

Cisco 識別子 CSCtc85753 によって文書化されていますように脆弱性の不正利用の特定の試みが検出するときシグニチャ 24120/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。

24140/0 - Cisco ASA RPC 脆弱性

Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24140/0 (シグニチャ名前によって検出することができます: Cisco ASA RPC 脆弱性)。 シグニチャ 24140/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。

Cisco 識別子 CSCte61662 によって文書化されています脆弱性の不正利用の特定の試みが検出するときシグニチャ 24140/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。

24159/0 - Cisco ASA RPC 脆弱性

Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24159/0 (シグニチャ名前によって検出することができます: Cisco ASA RPC 脆弱性)。 シグニチャ 24159/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。

Cisco 識別子 CSCte61710 によって文書化されています脆弱性の不正利用の特定の試みが検出するときシグニチャ 24159/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。

管理者は攻撃が検出された際にイベント アクションを実行するように Cisco IPS センサーを設定できます。 この資料に説明がある脆弱性を不正利用するように試みている設定された検知時のアクションは攻撃から保護を助けるために予防か妨げる制御実行します。

スプーフィングされた IP アドレスを使用するエクスプロイトにより不注意に信頼されたソースからのトラフィックを拒否する設定された検知時のアクションを引き起こすかもしれません。

Cisco IPS センサーは、イベント アクションの使用と組み合せてインライン保護モードで配備すると、最も効果を発揮します。 インライン保護 モードで配備されるより大きいセンサー攻撃に対しておよび Cisco IPS 6.x のための自動脅威防止はこの資料に説明がある脆弱性を不正利用するように試みている脅威防止を提供します。 大きい riskRatingValue と引き起こされた シグニチャのための検知時のアクションをより 90 行う脅威防止はデフォルト上書きするによって実現します。

計算を評価するリスク評価および脅威評価し、脅威評価参照リスクについてのその他の情報に関しては: 簡素化する IPS ポリシー管理

Cisco Security Monitoring, Analysis, and Response System

識別策: Ciscoセキュリティ モニタリング、分析および応答システム事件

Ciscoセキュリティ モニタリング、分析および応答システム(Ciscoセキュリティ Mars)アプライアンスは IPS シグニチャ 24120/0 (シグニチャ名前を使用してこの資料に説明がある脆弱性と関連しているイベントに関する事件を作成できます: Cisco ASA RPC 脆弱性)、24140/0 (シグニチャ名前: Cisco ASA RPC 脆弱性)および 24159/0 (シグニチャ名前: Cisco ASA RPC 脆弱性)。 S505 の後でダイナミック シグニチャアップデートは IPS シグニチャ 24120/0 のためのキーワード NR-24120/0 を使用して、IPS シグニチャ 24140/0 のための NR-24140/0 ダウンロードされました、または IPS シグニチャ 24159/0 および Ciscoセキュリティ Mars アプライアンスのすべての一致するイベント未加工メッセージのクエリの種類のための NR-24159/0 は IPS シグニチャによって作成される事件をリストするレポートを提供します。

Ciscoセキュリティ Mars アプライアンスの 4.3.1 および 5.3.1 リリースにはじまって、Cisco IPS ダイナミック シグニチャアップデート 機能のためのサポートは追加されました。 この機能は Cisco.com またはローカル Webサーバから新しいシグニチャを、正しくプロセス ダウンロードし、それらのシグニチャを一致する分類し、インスペクション ルールおよびレポートで含まれています受け取ったイベントを。 これらの更新はイベント 正規化およびイベントグループ マッピングを提供し、また IPS デバイスからの新しいシグニチャを解析することを Mars アプライアンスが可能にします。

caution.gif 注意: ダイナミック シグニチャアップデートが設定されない場合、これらの新しいシグニチャを一致する イベントはクエリおよびレポートの未知イベントタイプとして現われます。 Mars がインスペクション ルールにこれらのイベントを含めないので、事件はネットワークの内に発生する不正侵入か潜在的な脅威のために作成されないかもしれません。

デフォルトで、この機能は有効に なりますが、設定を必要とします。 それが設定されない場合、Ciscoセキュリティ Mars 次のルールは引き起こされます:

System Rule: CS-MARS IPS Signature Update Failure

この機能が有効に なり、設定されるとき、管理者は IPS シグニチャ バージョン値を Help > About の順に選択 し、検討することによる Mars によってダウンロードされる現在のシグニチャ バージョンを判別できます。

ダイナミック シグニチャアップデートについてのその他の情報およびダイナミック シグニチャアップデートを設定するための手順は Ciscoセキュリティ Mars 4.3.1 および 5.3.1 に利用できますリリース。

追加情報

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。

改訂履歴

リビジョン 1.1

2010-August-06

軽減方式として追加された IPS シグニチャ 24120/0。

リビジョン 1.0

2010-August-04

初回公開リリース

Ciscoセキュリティ手順

セキュリティ上の問題の支援を得、Cisco からセキュリティ情報を受け取るために登録するシスコ製品のレポート セキュリティーの脆弱性の完全情報は http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html で Cisco の Worldwide Web サイトで利用できます。 これには Ciscoのセキュリティの告知に関する報道関係 からの問い合わせのための手順が含まれています。 すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。

関連情報