この応用軽減情報は Cisco Firewall サービス モジュールの PSIRT Security Advisory 多重 脆弱点へドキュメントガイド、管理者がネットワークデバイスを on Cisco 配置できる緩和技術および識別を提供します。
Cisco Firewall サービス モジュールに多重 脆弱点があります。 次のサブセクションはこれらの脆弱性を要約します:
Sun Remote Procedure Call(SunRPC) (SunRPC)インスペクション サービス拒否の脆弱性: これらの脆弱性は認証とエンドユーザ 相互対話なしでリモートで不正利用することができます。 これらの脆弱性の不正利用の成功により影響を受けたデバイスはサービス拒否 (DoS)状態に終って、クラッシュし、リロードしますかもしれません。 これらの脆弱性を不正利用する繰り返された試みは支えられた DoS 状態という結果に終る可能性があります。 不正利用のための攻撃 ベクトルは UDP ポート 111 を使用して SunRPC パケットを通ってあります。 攻撃者はスプーフィングされたパケットを使用してこれらの脆弱性を不正利用する可能性があります。
これらの脆弱性は CVE 識別 CVE-2010-2818、CVE-2010-2819 および CVE-2010-2820 を割り当てられました。
TCP サービス拒否の脆弱性: この脆弱性は、認証およびエンドユーザの操作なしでリモートから悪用される可能性があります。 この脆弱性の不正利用の成功により影響を受けたデバイスはサービス拒否 (DoS)状態に終って、クラッシュしますかもしれません。 この脆弱性が繰り返し悪用されると、持続的な DoS 状態になる可能性があります。
不正利用のための攻撃ベクターは次のプロトコルおよびポートを使用してパケットを通ってあります:
この脆弱性は CVE 識別子 CVE-2010-2821 を割り当てられました。
脆弱性のあるソフトウェア、該当しないソフトウェア、修正済みソフトウェアについては、次の PSIRT セキュリティ アドバイザリを参照してください。 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-fwsm。
Ciscoデバイスはこれらの脆弱性に複数の対策を提供します。 これらの保護方法は、インフラストラクチャ デバイスとネットワークを通過するトラフィックのセキュリティを保護する一般的なベスト プラクティスであると考えられます。 資料のこのセクションはこれらの手法の外観を提供します。
Cisco IOS ® ソフトウェアはインフラストラクチャ アクセスコントロール アクセス・コントロール・リスト(iACLs)を使用してエクスプロイト防止の有効な手段を提供できます。 この保護メカニズムはこれらの脆弱性を不正利用するように試みているパケットをフィルタリングし、廃棄します。
有効なエクスプロイト防止はまた Cisco ASA 5500 シリーズによって中継アクセスコントロール アクセス・コントロール・リスト(tACLs)を使用している Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータにおよび Firewall Services Module (FWSM)適応型セキュリティ アプライアンス(ASA)ソフトウェア提供することができます。 この保護メカニズムはこれらの脆弱性を不正利用するように試みているパケットをフィルタリングし、廃棄します。
Cisco Intrusion Prevention System(IPS; 侵入防御システム)のイベント アクションを効果的に使用すると、これらの脆弱性を悪用しようとする攻撃を認識して防御することができます。
Cisco IOS NetFlow レコードはネットワークベース 不正利用試みに表示を提供できます。
Cisco IOSソフトウェア、Cisco ASA、および FWSM ファイアウォールは show コマンド からの出力で表示する syslog メッセージおよびカウンタ値によって可視性を提供できます。
Cisco Security Monitoring, Analysis, and Response System(Cisco Security MARS)アプライアンスも、インシデント、クエリ、およびイベント レポートを通じて情報を提供できます。
組織はこれらの脆弱性の潜在的影響を判別するために標準リスク評価および軽減プロセスに従うように助言されます。 トリアージとは、プロジェクトを分類して、成功する可能性が高い取り組みに優先順位を付けることです。 Cisco では、各組織の情報セキュリティ チームがリスクベースのトリアージを行う能力を身に着けるために役立つドキュメントを提供しています。 セキュリティーの脆弱性 お知らせのためのリスク トリアージはおよびリスク トリアージおよびプロトタイピング反復可能な機密 保護 評価および応答プロセスを開発するために組織を助けることができます。
注意: あらゆる緩和技術の効果は製品ミックス、ネットワーク トポロジ、交通現象および組織代表団のような特定の顧客 状況によって決まります。 設定を変更する際には、変更を適用する前にその設定の影響を評価する必要があります。
ここでは緩和策と識別策に関する情報が次のデバイス別に提供されています。
インフラストラクチャ デバイスを保護し、リスクを、直接インフラストラクチャ不正侵入の影響最小限に抑えるためにおよび効果は、管理者 インフラストラクチャ機器に送信 される トラフィックのポリシー施行を行うためにインフラストラクチャ アクセスコントロール アクセス・コントロール・リスト(iACLs)を展開するように助言されます。 iACL は、既存のセキュリティ ポリシーと設定に基づいて、インフラストラクチャ デバイス宛ての正当なトラフィックのみを明示的に許可することによって構築されます。 インフラストラクチャ デバイスの保護を最大にするには、IP アドレスが設定されているすべてのインターフェイスの入力方向で配備済みの iACL を適用する必要があります。 iACL 回避策はこれらの脆弱性に対して攻撃が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。
iACL ポリシーは次のプロトコルによって影響を受けたデバイスに送信される無許可のパケットを拒否します:
影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスにアクセスを必要とする信頼されたソースとみなされます次の例では、192.168.60.0/24 は IPアドレス空間であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。 インフラストラクチャのアドレス レンジは、できるだけユーザおよびサービス セグメントに使用されるアドレス レンジとは別個にする必要があります。 このようにアドレスを設定することで、iACL の構築と配備が容易になります。
iACLs についてのその他の情報はコアの保護にあります: インフラストラクチャ保護 ACL』を参照してください。
ip access-list extended Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports. ! permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 23 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks. ! deny tcp any 192.168.60.0 0.0.0.255 eq 22 deny tcp any 192.168.60.0 0.0.0.255 eq 23 deny tcp any 192.168.60.0 0.0.0.255 eq 443 ! !-- Explicit deny ACE for traffic sent to addresses !-- configured within the infrastructure address space. ! deny ip any 192.168.60.0 0.0.0.255 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and !-- configurations. ! !-- Apply iACL to interfaces in the ingress direction. ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACL-Policy in
インターフェイス アクセス リストを使用してフィルタリングを行うと、ICMP 到達不能メッセージが、フィルタリングされたトラフィックの送信元に返されるようになります。 これらのメッセージを生成すると、デバイスの CPU 使用率が上昇する可能性があります。 Cisco IOS ソフトウェアでの ICMP 到達不能メッセージの生成は、デフォルトで 500 ミリ秒につき 1 パケットまでに制限されています。 ICMP 到達不能メッセージの生成を無効にするには、インターフェイス コンフィギュレーション コマンド no ip unreachables を使用します。 ICMP 到達不能レート制限をデフォルト設定から変更するには、グローバル コンフィギュレーション コマンド ip icmp rate-limit unreachable interval-in-ms を使用します。
管理者がインターフェイスに iACL を加えた後、show ip access-lists コマンドは iACL が適用するインターフェイスでフィルタリングされた TCP ポート 22、23、および 443 の SSH、Telnet および SSL パケットの数を確認します。 フィルタリングされたパケットに対しては、これらの脆弱性を悪用しようとしていないかどうかを調査する必要があります。 次に show ip access-lists Infrastructure-ACL-Policy の出力例を示します。
router#show ip access-lists Infrastructure-ACL-Policy Extended IP access list Infrastructure-ACL-Policy 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq telnet 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 40 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (197 matches) 50 deny tcp any 192.168.60.0 0.0.0.255 eq telnet (201 matches) 60 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (38 matches) 70 deny ip any 192.168.60.0 0.0.0.255 (247 matches) router#
前述の例では、アクセス リスト インフラストラクチャ ACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:
ACE カウンターおよび syslog イベントを使用して調査事件についてのその他の情報に関しては、ファイアウォールおよび IOSルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。
管理者は特定の状態が満たされるとき見つかります組み込みイベント マネージャを ACE カウンターのような実装を提供するのに使用できます。 セキュリティ コンテキストの応用知性 白書によって組み込まれるイベント マネージャは方法についての追加詳細をこの機能を使用する提供します。
log および log-input アクセス コントロール リスト(ACL)オプションを使用すると、特定の ACE に一致するパケットがログに記録されます。 log-input オプションを使用すると、パケットの送信元および宛先の IP アドレスとポートに加え、入力インターフェイスのロギングが有効になります。
注意: アクセス コントロール リストのロギングは CPU に多大な負荷を与えることがあるので、使用する場合は細心の注意を払う必要があります。 ACL ロギングによる CPU への影響を左右する要素は、ログの生成、ログの送信、およびログが有効な ACE に一致するパケットを転送するプロセス交換です。
Cisco IOS ソフトウェアでは、ip access-list logging interval interval-in-ms コマンドを使用すると、ACL ロギングによって引き起こされるプロセス交換の影響を制限できます。 logging rate-limit rate-per-second [except loglevel] コマンドを使用すると、ログの生成と送信の影響を制限できます。
Supervisor Engine 720 または Supervisor Engine 32 を搭載した Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータでは、ACL ロギングによる CPU への影響をハードウェアで最適化することができます。
ACL ロギングの設定と使用についての詳細は、Applied Intelligence white paper『アクセス コントロール リストのログについて』を参照してください。
管理者はこれらの脆弱性を不正利用する試みであるかもしれないトラフィックフローの識別を援助するために Cisco IOS NetFlow IOSルータおよびスイッチを on Cisco 設定できます。 管理者はこれらの脆弱性を不正利用する試みであるか、または正当なトラフィック トラフィック フローであるかどうか判別するためにフローを調査するために助言されます。
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 0016 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 0017 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 11 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3E 01BB 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 0B89 0016 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 0016 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 06 0BD7 01BB 2 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 11 12CA 01BB 1 router#
前述の例では、TCPポート 22 (0016) 16進法の値、TCPポート 23 (0017) 16進法の値、および TCPポート 443 (16進法の値 01BB)の SSH パケットのための複数のフローがの Telnet パケットの SSL パケットあります。
先行するリストのパケットのためのトラフィックフローだけ表示するため、コマンド show ip cache flow | SrcIf|_06_.*(0016|0017|01BB)_ を表示するここに示されているように関連 TCP NetFlowレコードを含んで下さい:
router#show ip cache flow | include SrcIf|_06_.*(0016|0017|01BB) SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 0016 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 0017 3 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3E 01BB 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 0B89 0016 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 06 0BD7 01BB 2 router#
インターネット接続ポイント、パートナーおよびサプライヤー接続ポイントを含むかもしれない、入力 アクセス ポイントでネットワークに入るネットワークまたは VPN 接続ポイントをトラフィックから保護するために、管理者はポリシー施行を行うために tACLs を展開するために助言されます。 tACL の構築は、既存のセキュリティ ポリシーと設定に基づいて、入力アクセス ポイントからネットワーク内に入ることを許可されたトラフィックのみを明示的に許可するか、ネットワークを通過することを許可されたトラフィックを許可することによって達成されます。 tACL 回避策はこれらの脆弱性に対して攻撃が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。
tACL ポリシーは次のプロトコルによって影響を受けたデバイスに送信される無許可のパケットを拒否します:
影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスにアクセスを必要とする信頼されたソースとみなされます次の例では、192.168.60.0/24 は IPアドレス空間であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。
tACLs についてのその他の情報はアクセス コントロール リスト(ACL)送信中です: エッジでのフィルタリング』を参照してください。
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports. ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 23 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks. ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 23 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations. ! !-- Explicit deny for all other IP traffic. ! access-list tACL-Policy extended deny ip any any ! !-- Apply tACL to interface(s) in the ingress direction. ! access-group tACL-Policy in interface outside
tACL がインターフェイスに加えられた後、管理者はずっとフィルタ処理されたである TCP ポート 22、23、および 443 の SSH、Telnet および SSL パケットの数を確認する show access-list コマンドを使用できます。 管理者はこれらの脆弱性を不正利用する試みであるかどうか判別するためにフィルタ処理されたパケットを調査するために助言されます。 show access-list tACL ポリシーのための出力例は続きます:
firewall#show access-list tACL-Policy access-list tACL-Policy; 7 elements access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ssh (hitcnt=439) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq telnet (hitcnt=624) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq https (hitcnt=783) access-list tACL-Policy line 4 extended deny tcp any 192.168.60.0 255.255.255.0 eq ssh (hitcnt=669) access-list tACL-Policy line 5 extended deny tcp any 192.168.60.0 255.255.255.0 eq telnet (hitcnt=492) access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 255.255.255.0 eq https (hitcnt=550) access-list tACL-Policy line 7 extended deny ip any any (hitcnt=38) firewall#
前述の例では、アクセス リスト tACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:
log キーワードを含まないアクセス コントロール エントリ(ACE)によって拒否されたパケットに対しては、ファイアウォール syslog メッセージ 106023 が生成されます。 この syslog メッセージについてのその他の情報は Cisco ASA 5500 シリーズ システムログメッセージに、8.2 - 106023 あります。
Cisco ASA 5500 シリーズ用の Syslog の設定についての情報はモニタリングに-ロギングを設定すること適応型セキュリティ アプライアンス(ASA)ソフトウェアあります。 Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータのための FWSM の Syslog の設定についての情報は Firewall Services Module の監視にあります。
次の例では、show logging | グレップ regex コマンドはファイアウォールのロギングバッファから syslog メッセージを得ます。 これらのメッセージはこの資料に説明がある脆弱性を不正利用する潜在的な試みを示す可能性がある拒否されたパケットについてのその他の情報を提供します。 grep キーワードを付けて別の正規表現を使用すると、ログ メッセージに含まれる特定のデータを検索できます。
正規表現構文についてのその他の情報は正規表現の作成にあります。
firewall#show logging | grep 106023 Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/4492 dst inside:192.168.60.191/23 by access-group "tACL-Policy" Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 dst inside:192.168.60.33/443 by access-group "tACL-Policy" Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/45367 dst inside:192.168.60.240/22 by access-group "tACL-Policy" Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/11223 dst inside:192.168.60.115/443 by access-group "tACL-Policy" Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/1025 dst inside:192.168.60.38/22 by access-group "tACL-Policy" Aug 4 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/21950 dst inside:192.168.60.250/23 by access-group "tACL-Policy" firewall#
前述の例では、TCPポート 23 の TCPポート 22、Telnet パケット、および TCPポート 443 の SSL パケットの tACL tACL ポリシー show ssh パケットのために記録 された メッセージは影響を受けたデバイスに割り当てられたアドレスブロックに送信 しました。
ASA セキュリティ アプライアンスのための syslog メッセージについてのその他の情報は Cisco ASA 5500 シリーズ システムログメッセージに、8.2 あります。 FWSM のための syslog メッセージについてのその他の情報は Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ システムログメッセージを記録 する ルータ Firewall Services Module にあります。
syslog イベントを使用して調査事件についてのその他の情報に関しては、ファイアウォールおよび IOSルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。
管理者は脅威 検出を提供し、この資料に説明がある脆弱性を不正利用する試みを防ぐのを助けるのに Cisco 侵入防御システム(IPS)アプライアンスおよびサービス モジュールを使用できます。 これらの脆弱性は、次のシグニチャによって検出されることがあります。
24120/0 - Cisco ASA RPC 脆弱性
Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24120/0 (シグニチャ名前によって検出することができます: Cisco ASA RCP 脆弱性)。 シグニチャ 24120/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。
Cisco 識別子 CSCtc85753 によって文書化されていますように脆弱性の不正利用の特定の試みが検出するときシグニチャ 24120/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。
24140/0 - Cisco ASA RPC 脆弱性
Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24140/0 (シグニチャ名前によって検出することができます: Cisco ASA RPC 脆弱性)。 シグニチャ 24140/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。
Cisco 識別子 CSCte61662 によって文書化されています脆弱性の不正利用の特定の試みが検出するときシグニチャ 24140/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。
24159/0 - Cisco ASA RPC 脆弱性
Cisco IPS バージョン 6.x および それ 以上を実行するセンサーのためのシグニチャアップデート S505 にはじまってこの脆弱性はシグニチャ 24159/0 (シグニチャ名前によって検出することができます: Cisco ASA RPC 脆弱性)。 シグニチャ 24159/0 は、引き起こします 高い重大度 イベントを、持ち 90 の(SFR)評価するシグニチャ 忠実度を生成アラートの既定のイベント操作で設定されますデフォルトで有効に なります。
Cisco 識別子 CSCte61710 によって文書化されています脆弱性の不正利用の特定の試みが検出するときシグニチャ 24159/0 は起動 します。 このシグニチャの発生はこの脆弱性の潜在的なエクスプロイトを示すかもしれません。
管理者は攻撃が検出された際にイベント アクションを実行するように Cisco IPS センサーを設定できます。 この資料に説明がある脆弱性を不正利用するように試みている設定された検知時のアクションは攻撃から保護を助けるために予防か妨げる制御実行します。
スプーフィングされた IP アドレスを使用するエクスプロイトにより不注意に信頼されたソースからのトラフィックを拒否する設定された検知時のアクションを引き起こすかもしれません。
Cisco IPS センサーは、イベント アクションの使用と組み合せてインライン保護モードで配備すると、最も効果を発揮します。 インライン保護 モードで配備されるより大きいセンサー攻撃に対しておよび Cisco IPS 6.x のための自動脅威防止はこの資料に説明がある脆弱性を不正利用するように試みている脅威防止を提供します。 大きい riskRatingValue と引き起こされた シグニチャのための検知時のアクションをより 90 行う脅威防止はデフォルト上書きするによって実現します。
計算を評価するリスク評価および脅威評価し、脅威評価参照リスクについてのその他の情報に関しては: 簡素化する IPS ポリシー管理。
Ciscoセキュリティ モニタリング、分析および応答システム(Ciscoセキュリティ Mars)アプライアンスは IPS シグニチャ 24120/0 (シグニチャ名前を使用してこの資料に説明がある脆弱性と関連しているイベントに関する事件を作成できます: Cisco ASA RPC 脆弱性)、24140/0 (シグニチャ名前: Cisco ASA RPC 脆弱性)および 24159/0 (シグニチャ名前: Cisco ASA RPC 脆弱性)。 S505 の後でダイナミック シグニチャアップデートは IPS シグニチャ 24120/0 のためのキーワード NR-24120/0 を使用して、IPS シグニチャ 24140/0 のための NR-24140/0 ダウンロードされました、または IPS シグニチャ 24159/0 および Ciscoセキュリティ Mars アプライアンスのすべての一致するイベント未加工メッセージのクエリの種類のための NR-24159/0 は IPS シグニチャによって作成される事件をリストするレポートを提供します。
Ciscoセキュリティ Mars アプライアンスの 4.3.1 および 5.3.1 リリースにはじまって、Cisco IPS ダイナミック シグニチャアップデート 機能のためのサポートは追加されました。 この機能は Cisco.com またはローカル Webサーバから新しいシグニチャを、正しくプロセス ダウンロードし、それらのシグニチャを一致する分類し、インスペクション ルールおよびレポートで含まれています受け取ったイベントを。 これらの更新はイベント 正規化およびイベントグループ マッピングを提供し、また IPS デバイスからの新しいシグニチャを解析することを Mars アプライアンスが可能にします。
注意: ダイナミック シグニチャアップデートが設定されない場合、これらの新しいシグニチャを一致する イベントはクエリおよびレポートの未知イベントタイプとして現われます。 Mars がインスペクション ルールにこれらのイベントを含めないので、事件はネットワークの内に発生する不正侵入か潜在的な脅威のために作成されないかもしれません。
デフォルトで、この機能は有効に なりますが、設定を必要とします。 それが設定されない場合、Ciscoセキュリティ Mars 次のルールは引き起こされます:
System Rule: CS-MARS IPS Signature Update Failure
この機能が有効に なり、設定されるとき、管理者は IPS シグニチャ バージョン値を Help > About の順に選択 し、検討することによる Mars によってダウンロードされる現在のシグニチャ バージョンを判別できます。
ダイナミック シグニチャアップデートについてのその他の情報およびダイナミック シグニチャアップデートを設定するための手順は Ciscoセキュリティ Mars 4.3.1 および 5.3.1 に利用できますリリース。
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
リビジョン 1.1 |
2010-August-06 |
軽減方式として追加された IPS シグニチャ 24120/0。 |
リビジョン 1.0 |
2010-August-04 |
初回公開リリース |
セキュリティ上の問題の支援を得、Cisco からセキュリティ情報を受け取るために登録するシスコ製品のレポート セキュリティーの脆弱性の完全情報は http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html で Cisco の Worldwide Web サイトで利用できます。 これには Ciscoのセキュリティの告知に関する報道関係 からの問い合わせのための手順が含まれています。 すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。