-
이 Applied Mitigation Bulletin은 Cisco Alert, DDoS(Distributed Denial of Service) 공격의 표적이 되는 금융 기관 웹 사이트와 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 기술을 제공합니다.
-
금융기관에 대한 DDoS(Distributed Denial of Service) 공격은 네트워크 내 과도한 리소스 활용을 목표로 하며 특정 취약성을 대상으로 하지 않는다. 이는 인증 및 최종 사용자 상호 작용 없이 원격으로 악용됩니다. 반복된 시도는 지속적인 DoS 상태를 초래할 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- UDP 포트 53
- UDP 포트 80
- TCP 포트 53
- TCP 포트 80
공격자는 스푸핑된 패킷을 사용할 수 있습니다.
UDP 포트 53, TCP 포트 53 및 TCP 포트 80의 트래픽은 일반적으로 유효한 트래픽을 나타냅니다. UDP 포트 80으로 향하는 트래픽은 일반 애플리케이션에서 사용하는 일반적인 포트 및 프로토콜 조합을 나타내지 않습니다. 이 포트 및 프로토콜 조합은 대부분의 액세스 목록 규칙 집합의 끝에 있는 거부에서 암시적으로 차단해야 합니다.
-
금융기관을 대상으로 하는 DDoS 공격은 취약성이 수반되는 것이 아니라 압도적인 트래픽 수준에 따른 리소스 소진 상황을 수반한다.
-
Cisco 디바이스는 이러한 공격에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
Cisco IOS Software는 다음 방법을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
- 트랜짓 액세스 제어 목록(tACL)
- uRPF(유니캐스트 역방향 경로 전달)
이러한 보호 메커니즘은 이러한 공격에 사용된 패킷의 소스 IP 주소를 확인하고 삭제하고 필터링합니다.
uRPF의 올바른 배포 및 구성은 스푸핑된 소스 IP 주소를 사용하는 패킷을 사용하는 공격에 대한 효과적인 보호 방법을 제공합니다. uRPF는 가능한 모든 트래픽 소스에 가깝게 배포해야 합니다.
Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 FWSM(Firewall Services Module)에서도 다음을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.- tACL
- 애플리케이션 레이어 프로토콜 검사
- 위협 탐지
- uRPF
이러한 보호 메커니즘은 이러한 공격을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.
Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM 방화벽, Cisco ACE Application Control Engine Appliance 및 Module은 show 명령 출력에 표시된 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.
Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이러한 공격에 대한 가시성 및 보호 기능을 제공할 수 있습니다.
또한 Cisco Security Manager는 인시던트, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수 있습니다.
-
조직은 표준 위험 평가 및 완화 프로세스를 준수하여 잠재적인 영향을 확인하는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.
-
주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.
- Cisco IOS 라우터 및 스위치
- Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow
- Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
- Cisco 침입 방지 시스템
- Cisco 보안 관리자
Cisco IOS 라우터 및 스위치
완화: 통과 액세스 제어 목록
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control list)을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 공격에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 UDP 포트 80의 무단 IPv4 패킷을 거부합니다. 다음 예에서 192.168.60.0/24은 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타냅니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다. 이 트래픽은 일반적으로 ACL의 끝에 있는 암시적 거부에 의해 차단되지만, 특정 ACL을 생성하면 관리자가 이러한 방식으로 공격을 받고 있는지 쉽게 확인할 수 있습니다. tACL은 tACL이 구현된 디바이스보다 먼저 초과 서브스크립션된 파이프를 보호하지 않습니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny UDP any 192.168.60.0 0.0.0.255 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL !
인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 interface configuration 명령을 사용하여 비활성화할 수 있습니다 ip 연결할 수 없습니다. ICMP 연결 불가능 속도 제한은 global configuration 명령을 사용하여 기본값에서 변경할 수 있습니다 ip icmp rate-limit unreachable interval-in-ms입니다.
식별: 통과 액세스 제어 목록
관리자가 인터페이스에 tACL을 적용한 후 show ip access-lists 및 show ipv6 access-list 명령은 필터링된 UDP 포트 80의 IPv4 패킷 수를 식별합니다. 관리자는 필터링된 패킷을 조사하여 이러한 공격을 수행하려는 시도인지 확인하는 것이 좋습니다. show ip access-lists 150의 출력 예 다음과 같이 구성됩니다.
router#show ip access-lists 150 Extended IP access list 150 10 deny udp any 192.168.60.0 0.0.0.255 eq 80 (12 matches) 20 deny ip any any router#
앞의 예에서 액세스 목록 150은 ACE(Access Control List Entry) 라인 30을 위해 UDP 포트 80에서 12개의 패킷을 삭제했습니다.
ACE 카운터 및 syslog 이벤트를 사용하여 인시던트를 조사하는 방법에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.
관리자는 ACE 카운터 적중과 같은 특정 조건이 충족될 때 Embedded Event Manager를 사용하여 계측을 제공할 수 있습니다. Cisco Security Intelligence Operations 백서 Embedded Event Manager in a Security Context에서는 이 기능을 사용하는 방법에 대한 추가 세부 정보를 제공합니다.
ID: 액세스 목록 로깅
log and log-input ACL(access control list) 옵션을 사용하면 특정 ACE와 일치하는 패킷이 로깅됩니다. log-input 옵션은 패킷 소스 및 목적지 IP 주소와 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.
주의: 액세스 제어 목록 로깅은 CPU를 많이 사용할 수 있으므로 각별한 주의를 기울여 사용해야 합니다. ACL 로깅의 CPU 영향을 제어하는 요소는 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.
Cisco IOS Software의 경우 ip access-list logging interval in-ms 명령은 IPv4 ACL 로깅에 의해 유발되는 프로세스 전환의 효과를 제한할 수 있습니다. logging rate-limit rate-per-second [except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.
ACL 로깅의 CPU 영향은 Supervisor Engine 720 또는 Supervisor Engine 32를 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터의 하드웨어에서 최적화된 ACL 로깅을 사용하여 해결할 수 있습니다.
ACL 로깅의 컨피그레이션 및 사용에 대한 자세한 내용은 액세스 제어 목록 로깅 이해 Cisco Security 백서를 참조하십시오.
완화: 유니캐스트 역방향 경로 전달을 사용한 스푸핑 보호
이 문서에 설명된 공격은 스푸핑된 IP 패킷을 사용하여 수행할 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF(Unicast Reverse Path Forwarding)를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 uRPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 사용자 지원 레이어 3 인터페이스의 인터넷 에지 및 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
추가 정보는 Unicast Reverse Path Forwarding Loose Mode 기능 가이드에 있습니다.
uRPF 컨피그레이션 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Cisco Security 백서를 참조하십시오.
식별: 유니캐스트 역방향 경로 전달을 사용하는 스푸핑 보호
네트워크 인프라 전반에 걸쳐 uRPF가 올바르게 구축 및 구성된 경우 관리자는 show cef interface type slot/port internal, show ip interface, show cef drop, show ip cef switching statistics feature 및 show ip traffic 명령을 사용하여 uRPF가 삭제한 패킷 수를 식별할 수 있습니다.
참고: Cisco IOS Software Release 12.4(20)T부터 show ip cef switching 명령이 show ip cef switching statistics 기능으로 대체되었습니다.
참고: show 명령은 | regex 시작 및 show 명령 | include regex 명령 수정자는 다음 예에서 사용되므로 원하는 정보를 보기 위해 관리자가 구문 분석해야 하는 출력의 양을 최소화합니다. 명령 수정자에 대한 자세한 내용은 Cisco IOS Configuration Fundamentals 명령 참조의 show 명령 섹션에 있습니다.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
참고: show cef interface type slot/port internal은 CLI에서 완전히 입력해야 하는 숨겨진 명령입니다. 명령 완료를 사용할 수 없습니다.
router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#앞의 show cef interface type slot/port internal, show cef drop, show ip interface type slot/port, show ip cef switching statistics feature 및 show ip traffic의 예에서는 Cisco Express Forwarding의 전달 정보 베이스 내에서 IP 패킷의 소스 주소를 확인할 수 없어 uRPF가 구성된 모든 인터페이스에서 uRPF가 전체적으로 수신한 IP 패킷 18개를 삭제했습니다.
Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow
식별: Cisco IOS NetFlow를 사용한 IPv4 트래픽 흐름 식별
관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 DoS(서비스 거부)를 수행하려는 시도일 수 있는 IPv4 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 흐름을 조사하여 올바른 트래픽 흐름인지 확인하는 것이 좋습니다.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 0050 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 0035 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 0050 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 0050 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 0050 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1 router#
앞의 예에서는 UDP 포트 80(16진수 값 0050)에 대한 여러 플로우가 있습니다. 또한 TCP 포트 53(16진수 값 0035) 및 TCP 포트 80(16진수 값 0050)에 대한 플로우도 있습니다.
이 트래픽은 인프라 디바이스에 사용되는 192.168.60.0/24 주소 블록 내의 주소에서 소싱되어 해당 주소로 전송됩니다. 이러한 흐름의 패킷은 스푸핑될 수 있으며 이러한 공격을 수행하려는 시도를 나타낼 수 있습니다. 관리자는 공격이 진행 중인지 여부를 확인하는 데 도움이 되도록 TCP 포트 53(16진수 값 0035) 및 TCP 포트 80(16진수 값 0050)에 대한 흐름을 정상 베이스라인과 비교하는 것이 좋습니다.
다음 예에 표시된 것처럼 UDP 포트 80(16진수 값 0050)의 패킷만 보려면 show ip cache flow를 사용합니다 | 관련 Cisco NetFlow 레코드를 표시하려면 SrcIf|_11_.*0050 명령을 포함합니다.
UDP 플로우router#show ip cache flow | include SrcIf|_11_.*0050 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 11 092A 0050 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 11 0C09 0050 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 11 0B66 0050 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 11 0914 0050 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 11 0B7B 0050 2 router#
식별: Cisco Flexible NetFlow를 사용한 IPv4 트래픽 흐름 식별
Cisco IOS Software 릴리스 12.2(31)SB2 및 12.4(9)T에 도입된 Cisco IOS Flexible NetFlow는 관리자의 특정 요구 사항에 맞게 트래픽 분석 매개변수를 맞춤화하는 기능을 추가하여 원래의 Cisco NetFlow를 개선합니다. 원래의 Cisco NetFlow는 IP 정보의 고정된 7튜플을 사용하여 플로우를 식별하는 반면, Cisco IOS Flexible NetFlow는 플로우를 사용자 정의할 수 있게 해줍니다. 재사용 가능한 구성 구성 요소를 사용하여 트래픽 분석 및 데이터 내보내기를 위한 더 복잡한 구성을 쉽게 생성할 수 있습니다.
다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv4 source address key(ipv4 소스 주소 키) 필드 명령문에 정의된 대로 소스 IPv4 주소를 기반으로 수신 IPv4 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv4 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다.
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ============ ============= ======= ======= 192.168.10.201 192.168.60.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 123 53 Gi0/0 Gi0/1 2212 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.60.28 3451 80 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.60.97 4231 80 Gi0/0 Gi0/1 146 17 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6
UDP 포트 80의 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv4 cache format 테이블을 사용합니다 | IPV4 DST 주소 포함 |_80_.*_17_ 명령을 입력하여 관련 NetFlow 레코드를 표시합니다.
Cisco IOS Flexible NetFlow에 대한 자세한 내용은 Flexible Netflow Configuration Guide, Cisco IOS Release 15M&T 및 Cisco IOS Flexible NetFlow Configuration Guide, Cisco IOS Release 12.4T를 참조하십시오.
Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
완화: 통과 액세스 제어 목록
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 적용을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 공격에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 UDP 포트 80의 무단 IPv4 패킷을 거부합니다. 다음 예에서 192.168.60.0/24은 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타냅니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다. tACL은 tACL이 구현된 디바이스보다 먼저 초과 서브스크립션된 파이프를 보호하지 않습니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny UDP any 192.168.60.0 255.255.255.0 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
식별: 통과 액세스 제어 목록
인터페이스에 tACL이 적용된 후 관리자는 show access-list 명령을 사용하여 필터링된 UDP 포트 80의 IPv4 패킷 수를 식별할 수 있습니다. 관리자는 필터링된 패킷을 조사하여 이러한 공격을 수행하려는 시도인지 확인하는 것이 좋습니다. show access-list tACL-Policy의 출력 예 다음과 같이 구성됩니다.
firewall#show access-list tACL-Policy access-list tACL-Policy; 2 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended deny udp any 192.168.60.0 255.255.255.0 eq 80 (hitcnt=8)
access-list tACL-Policy line 2 extended deny ip any any (hitcnt=8)앞의 예에서 액세스 목록 tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크로부터 수신한 UDP 포트 80에서 8개의 IPv4 패킷을 삭제했습니다. 또한 syslog 메시지 106023은 소스 및 목적지 IP 주소, 소스 및 목적지 포트 번호, 거부된 패킷에 대한 IP 프로토콜을 포함하는 중요한 정보를 제공할 수 있습니다.
식별: 방화벽 액세스 목록 Syslog 메시지
log 키워드가 없는 ACE(액세스 제어 항목)에 의해 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106023에 있습니다.
Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에서 syslog 구성에 대한 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.
다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 공격을 수행하려는 잠재적인 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.
정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
firewall#show logging | grep 106023 Oct 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Sep 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 dst inside:192.168.60.33/80 by access-group "tACL-Policy" firewall#
앞의 예에서 tACL tACL 정책에 대해 로깅된 메시지는 영향받는 디바이스에 할당된 주소 블록으로 전송된 UDP 포트 80에 대해 스푸핑된 IPv4 패킷을 표시할 수 있습니다.
Cisco ASA Series Adaptive Security Appliance용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Messages, 8.2에 있습니다. Cisco Catalyst 6500 Series ASA Services Module의 syslog 메시지에 대한 추가 정보는 Cisco ASASM CLI 컨피그레이션 가이드의 Analyzing Syslog Messages 섹션에 있습니다. Cisco FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series Switch 및 Cisco 7600 Series Router Firewall Services Module Logging System Log Messages에 있습니다.
syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.
완화: 애플리케이션 레이어 프로토콜 검사
애플리케이션 레이어 프로토콜 검사는 Cisco ASA 5500 Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.2(1)부터, Cisco Catalyst 6500 Series ASA Services Module의 경우 소프트웨어 릴리스 8.5부터, Cisco Firewall Services Module의 경우 소프트웨어 릴리스 4.0(1)부터 사용할 수 있습니다. 이 고급 보안 기능은 방화벽을 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 이 프로토콜 검사는 다음과 같은 일반적인 DoS(서비스 거부) 공격으로부터 보호합니다
- SYN Flood Protection(SYN 플러드 보호) - 원시 연결을 최소화하고 적절한 상태를 보장하여 SYN 플러드 보호를 제공합니다.
- DNS 애플리케이션 검사 - DNS 요청이 표준 DNS 프로토콜 지침을 준수하지 않으면 패킷이 삭제됩니다. 여기에는 형식이 잘못된 요청 및 일정 길이 이상의 요청이 포함됩니다.
관리자는 글로벌 또는 인터페이스 서비스 정책을 통해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.
애플리케이션 레이어 프로토콜 검사에 대한 자세한 내용은 Cisco ASA 5500 Series Configuration Guide의 Configuring Application Layer Protocol Inspection 섹션(CLI 사용) 8.2 및 Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide(8.5)의 Configuring Application Inspection 섹션을 참조하십시오.
주의: 애플리케이션 레이어 프로토콜 검사로 방화벽 성능이 저하됩니다. 관리자는 이 기능이 프로덕션 환경에 구축되기 전에 랩 환경에서 성능에 미치는 영향을 테스트하는 것이 좋습니다.
식별: 위협 탐지
Cisco ASA는 소프트웨어 릴리스 8.0 이상에서 위협 감지 기능을 지원합니다. 기본 위협 감지를 사용하여 보안 어플라이언스는 다음과 같은 이유로 삭제된 패킷 및 보안 이벤트의 속도를 모니터링합니다.
- 액세스 목록에 의한 거부
- 잘못된 패킷 형식(예: invalid-ip-header 또는 invalid-tcp-hdr-length)
- 연결 제한 초과(시스템 전체 리소스 제한 및 컨피그레이션에 설정된 제한 모두)
- DoS 공격 감지(예: 잘못된 SPI(Stateful Packet Inspection), Stateful Firewall 확인 실패)
- 기본 방화벽 검사 실패(이 옵션은 이 글머리 기호 목록에 있는 모든 방화벽 관련 패킷 삭제를 포함하는 결합된 속도입니다. 인터페이스 오버로드, 애플리케이션 검사 실패 패킷, 스캔 공격 감지 등 방화벽과 관련이 없는 삭제는 포함되지 않습니다.
- 의심스러운 ICMP 패킷 탐지
- 애플리케이션 검사에 실패한 패킷
- 인터페이스 오버로드
- 스캔 공격 감지(이 옵션은 스캔 공격을 모니터링합니다. 예를 들어, 첫 번째 TCP 패킷이 SYN 패킷이 아니거나 3방향 핸드셰이크에 실패한 TCP 연결을 모니터링합니다. 전체 스캐닝 위협 감지[자세한 내용은 스캐닝 위협 감지 구성 참조]는 이 스캐닝 공격 속도 정보를 가져와 호스트를 공격자로 분류하고 자동으로 차단하는 등의 작업을 수행합니다.
- TCP SYN 공격이 탐지되었거나 데이터 UDP 세션 공격이 탐지되지 않은 경우와 같은 불완전한 세션 탐지가 발생했습니다.
주의: 고급 위협 감지 통계를 구성하면 디바이스의 CPU에 큰 영향을 미칠 수 있습니다.
이 문서에 설명된 공격에 직면한 인프라의 경우 중점적으로 살펴볼 이벤트는 다음과 같습니다.
- 연결 제한 초과(방화벽에 연결 제한이 구성된 경우)
- 인터페이스 오버로드
- 스캐닝 공격 감지
- 불완전한 세션 감지
Cisco ASA 5500 Series Adaptive Security Appliance의 위협 감지 구성에 대한 자세한 내용은 위협 감지 구성에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에 대한 위협 탐지 구성에 대한 정보는 위협 탐지 구성에 있습니다.
기본 위협 감지가 올바르게 구성된 경우 관리자는 show threat-detection rate 명령을 사용하여 Cisco ASA 또는 Cisco ASASM에서 탐지한 위협 이벤트를 표시할 수 있습니다. 다음 예에서는 버스트 간격 내에 발생하는 20개의 SYN 공격 관련 이벤트와 223개의 SYN 트리거 이벤트, 버스트 간격 내에 발생하는 30개의 스캐닝 공격 관련 이벤트와 451개의 스캐닝 트리거 이벤트를 보여줍니다. 이는 진행 중인 SYN 플러드를 나타낼 수 있습니다.
firewall# show threat-detection rate Average(eps) Current(eps) Trigger Total events 10-min ACL drop: 1 10 0 983 1-hour ACL drop: 0 0 0 983 10-min SYN attck: 2 20 223 1982 1-hour SYN attck: 0 0 87 1982 10-min Scanning: 3 30 451 2269 1-hour Scanning: 0 0 154 2269 10-min Bad pkts: 0 0 0 4 1-hour Bad pkts: 0 0 0 4 10-min Firewall: 1 10 0 987 1-hour Firewall: 0 0 0 987 10-min Interface: 1 0 0 851 1-hour Interface: 0 0 0 851 firewall#
관리자는 고급 위협 감지가 올바르게 구성된 경우 show threat-detection statistics 명령을 사용하여 Cisco ASA 및 Cisco ASASM에 대한 통계 위협 감지 정보를 표시할 수 있습니다. 다음 예에서는 위협 탐지에 의해 기록된 access-list 삭제를 보여줍니다.
firewall# show threat-detection statistics Top Name Id Average(eps) Current(eps) Trigger Total events 1-hour ACL hits: 01 INSIDE/12 0 2 0 44 02 OUTSIDE/11 0 4 0 36 03 INSIDE/6 0 3 0 24 04 OUTSIDE/50 0 1 0 7 05 INSIDE/5 0 0 0 5 06 WEBPORTS-ACL/1.1 0 0 0 5 07 INSIDE/19 0 0 0 4 08 OUTSIDE/9 0 0 0 1 8-hour ACL hits: 01 INSIDE/12 0 2 0 445 02 OUTSIDE/50 0 4 0 368 03 INSIDE/6 0 3 0 225 04 OUTSIDE/11 0 1 0 213 05 WEBPORTS-ACL/1.1 0 0 0 149 06 INSIDE/5 0 0 0 143 07 OUTSIDE/9 0 0 0 2 24-hour ACL hits: 01 OUTSIDE/50 0 2 0 1644 02 INSIDE/12 0 4 0 1520 03 OUTSIDE/11 0 3 0 928 04 INSIDE/6 0 0 0 713 05 WEBPORTS-ACL/1.1 0 0 0 539 06 INSIDE/5 0 0 0 513 07 INSIDE/19 0 0 0 106 08 OUTSIDE/9 0 0 0 59 09 OUTSIDE/13 0 0 0 57 10 OUTSIDE/15 0 0 0 57
완화: 유니캐스트 역방향 경로 전달을 사용한 스푸핑 보호
이 문서에 설명된 공격은 스푸핑된 IP 패킷에 의해 수행될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 엔터프라이즈 환경에서는 인터넷 에지와 사용자 지원 레이어 3 인터페이스의 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
uRPF의 컨피그레이션 및 사용에 대한 자세한 내용은 ip verify reverse-path에 대한 Cisco Security Appliance Command Reference 및 Understanding Unicast Reverse Path Forwarding Cisco Security 백서를 참조하십시오.
식별: 유니캐스트 역방향 경로 전달을 사용하는 스푸핑 보호
uRPF에서 거부된 패킷에 대해 방화벽 syslog 메시지 106021이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106021에 있습니다.
Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에 대한 syslog 구성 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.
다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.
정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
firewall#show logging | grep 106021 Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside
다음 예와 같이 show asp drop 명령은 uRPF 기능이 삭제한 패킷의 수를 식별할 수도 있습니다.
firewall#
show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#앞의 예에서 uRPF는 uRPF가 구성된 인터페이스에서 수신된 11개의 IP 패킷을 삭제했습니다. 출력이 없으면 방화벽의 uRPF 기능에서 패킷이 삭제되지 않았음을 나타냅니다.
가속화된 보안 경로 삭제 패킷 또는 연결 디버깅에 대한 자세한 내용은 Cisco Security Appliance Command Reference for show asp drop을 참조하십시오.
Cisco 침입 방지 시스템
완화: Cisco IPS 시그니처 테이블
관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공할 수 있습니다. 다음 표에서는 잠재적 시도에 대한 이벤트를 트리거할 각 Cisco IPS 시그니처의 개요를 제공합니다.
CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도* 참고 해당 없음 S672 1493/0 금융 기관의 DDoS(Distributed Denial of Service) 예 높음 90
해당 없음
S593 2152/0 ICMP 플러드 아니요 중간 100
사용 중지됨
해당 없음
S572 4002/0 UDP 호스트 플러드 아니요 낮음 75
사용 중지됨
해당 없음
S520 4004/0 DNS 플러드 공격 아니요 중간 85
사용 중지됨 해당 없음
S593 6009/0 SYN 플러드 DoS 아니요 중간 85
사용 중지됨
해당 없음
S573 6901/0 Net Flood ICMP 응답 아니요 정보 100
사용 중지됨
해당 없음
S573 6902/0 Net Flood ICMP 요청 아니요 정보 100
사용 중지됨
해당 없음
S573 6903/0 Net Flood ICMP Any 아니요 정보 100 사용 중지됨 해당 없음
S573 6910/0 Net Flood UDP 아니요 정보 100
사용 중지됨
해당 없음
S573 6920/0 Net Flood TCP 아니요 정보 100 사용 중지됨 * Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.
관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 공격을 수행하려고 시도하는 공격을 차단합니다.
스푸핑된 IP 주소를 사용하는 공격은 구성된 이벤트 작업이 신뢰할 수 있는 소스의 트래픽을 실수로 거부하게 할 수 있습니다.
Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드로 구축된 Automatic Threat Prevention for Cisco IPS 7.x 및 6.x 센서는 이 문서에 설명된 공격을 수행하려고 시도하는 공격자에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.
위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
Cisco 보안 관리자
식별: Cisco Security Manager
Cisco Security Manager, 이벤트 뷰어
소프트웨어 버전 4.0부터 Cisco Security Manager는 Cisco 방화벽 및 Cisco IPS 디바이스에서 syslog를 수집할 수 있으며, 이 문서에 설명된 공격과 관련된 이벤트를 쿼리할 수 있는 이벤트 뷰어를 제공합니다.
이벤트 뷰어에서 사전 정의된 IPS Alert Events 보기를 사용하여 사용자는 이벤트 필터에 검색 문자열을 입력하여 다음 Cisco IPS 시그니처와 관련된 모든 캡처된 이벤트를 반환할 수 있습니다.
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
이벤트 뷰어의 미리 정의된 방화벽 거부 이벤트 보기에서 다음 필터를 사용하면 이 문서에 설명된 공격을 수행하기 위한 잠재적인 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 액세스 목록 거부 syslog 메시지를 제공합니다.
- Destination 이벤트 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링합니다(예: IPv4 주소 범위 192.168.60.0/24)
- Destination Service 이벤트 필터를 사용하여 UDP 포트 80을 포함하는 개체를 필터링합니다.
이벤트 유형 ID 필터는 이벤트 뷰어의 Firewall Denied Events 미리 정의된 보기와 함께 다음 목록에 표시된 syslog ID를 필터링하여 이 문서에 설명된 공격을 수행하려는 잠재적인 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 거부 syslog 메시지를 제공할 수 있습니다.
- ASA-4-106023(ACL 거부)
Cisco Security Manager 이벤트에 대한 자세한 내용은 Cisco Security Manager 사용 설명서의 이벤트 필터링 및 쿼리 섹션을 참조하십시오.
Cisco Security Manager 보고서 관리자
소프트웨어 버전 4.1부터 Cisco Security Manager는 Cisco IPS 이벤트 보고 기능인 보고서 관리자를 지원합니다. 관리자는 이 기능을 사용하여 원하는 Cisco IPS 이벤트를 기반으로 보고서를 정의할 수 있습니다. 필요에 따라 보고서를 예약하거나 임시 보고서를 실행할 수 있습니다.
보고서 관리자를 사용하여 사용자는 시간 범위 및 서명 특성을 기반으로 관심 있는 Cisco IPS 장치에 대한 IPS Top Signatures 보고서를 정의할 수 있습니다. Signature ID가
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
또한 보고서 관리자에서 상위 서비스 보고서를 다음 구성과 함께 사용하여 이 문서에 설명된 공격을 수행하기 위한 잠재적인 시도를 나타내는 이벤트 보고서를 생성할 수 있습니다.
- Destination IP 네트워크 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60::/64)
- 기준 설정 페이지에서 거부 작업을 설정합니다.
Cisco Security Manager IPS 이벤트 보고에 대한 자세한 내용은 Cisco Security Manager User Guide의 Understanding IPS Top Reports 섹션을 참조하십시오.
ID: Event Management System 파트너 이벤트
Cisco는 Cisco Developer Network를 통해 업계 최고의 SIEM(Security Information and Event Management) 기업과 협력하고 있습니다. 이러한 파트너십을 통해 Cisco는 장기 로그 아카이빙 및 포렌식, 이기종 이벤트 상관관계, 고급 규정 준수 보고 등 비즈니스 문제를 해결하는, 검증되고 테스트된 SIEM 시스템을 제공할 수 있습니다. Security Information and Event Management 파트너 제품을 활용하여 Cisco 디바이스에서 이벤트를 수집한 다음 수집된 이벤트에서 Cisco IPS 시그니처로 생성된 사고를 쿼리하거나, 이 문서에 설명된 공격을 수행하려는 잠재적인 시도를 나타낼 수 있는 방화벽의 syslog 메시지를 거부할 수 있습니다. 쿼리는 다음 목록에 표시된 것처럼 Sig ID 및 Syslog ID로 수행할 수 있습니다.
- 1493/0 금융기관 DDoS
- 2152/0 ICMP 플러드
- 4002/0 UDP 호스트 플러드
- 4004/0 DNS 플러드 공격
- 6009/0 SYN 플러드 DoS
- 6901/0 Net Flood ICMP 응답
- 6902/0 Net Flood ICMP 요청
- 6903/0 Net Flood ICMP 모두
- 6910/0 Net Flood UDP
- 6920/0 Net Flood TCP
- ASA-4-106023(ACL 거부)
SIEM 파트너에 대한 자세한 내용은 Security Management System 웹 사이트를 참조하십시오.
-
버전 설명 섹션 날짜 4 이 Cisco Applied Mitigation Bulletin은 다양한 지원 기술 문서에 대한 링크를 위한 새로운 대상을 사용하도록 업데이트되었습니다. 2015년 12월 01일 16:31(GMT) 3 이 Cisco Applied Mitigation Bulletin에는 잠재적인 리소스 소모 공격을 식별하는 데 도움이 되는 Cisco ASA 및 Cisco ASASM 위협 감지 기능이 포함되어 있습니다. 2012년 10월 23일 14:06(GMT) 2 이 Cisco Applied Mitigation Bulletin에는 Cisco ASA 및 Cisco ASASM을 사용한 위협 탐지에 대한 추가 세부사항이 포함되어 있습니다.
2012년 10월 16일 16:08(GMT) 1 Cisco Applied Mitigation Bulletin 초기 공개 릴리스입니다. 2012년 10월 4일 21:38(GMT)
-
Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.
-
보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
기본 제품 IntelliShield 적용된 완화 게시판 원래 릴리스(기본)
관련 제품
-
이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO는 언제든지 알림을 변경하거나 업데이트할 수 있는 권리를 보유합니다.
배포 URL을 생략하는 이 문서의 텍스트를 독립 실행형으로 복사하거나 패러프레이즈는 관리되지 않는 복사본이며 중요한 정보가 없거나 사실 오류가 있을 수 있습니다. 이 문서의 정보는 Cisco 제품의 최종 사용자를 대상으로 합니다