Cisco Unified Communications Manager 및 Intercompany Media Engine에는 여러 취약점이 있습니다. 다음 하위 섹션에는 이러한 취약성이 요약되어 있습니다.
패킷 캡처 서비스가 활성화된 Cisco Unified Communications Manager의 DoS 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 영향을 받는 디바이스가 충돌할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 Unified Communications Manager의 메모리가 소진되어 DoS(서비스 거부) 상태가 지속될 수 있습니다. 익스플로잇을 위한 공격 벡터는 Unified Communications Manager에 대한 3-way TCP 핸드셰이크를 완료하고 연결을 열어 둔 TCP 패킷을 통해 이루어집니다.
이 취약성에는 CVE 식별자 CVE-2011-2560이 할당되었습니다.
MTP의 특정 컨피그레이션을 사용하는 Cisco Unified Communications Manager의 DoS 취약성: 이 취약성은 인증 및 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 영향을 받는 디바이스가 충돌할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 패킷을 통해 이루어집니다.
공격자는 스푸핑된 패킷을 사용하여 이러한 취약성을 악용할 수 있습니다.
이 취약성에는 CVE 식별자 CVE-2011-2561이 할당되었습니다.
특정 SIP INVITE 메시지를 처리할 때 Cisco Unified Communications Manager의 DoS 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 영향을 받는 디바이스가 충돌할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 패킷을 통해 이루어집니다.
공격자는 스푸핑된 패킷을 사용하여 이러한 취약성을 악용할 수 있습니다.
이 취약성에는 CVE 식별자 CVE-2011-2562가 할당되었습니다.
Cisco Unified Communications Manager와 Cisco Intercompany Media Engine(IME) with SAF(Service Advertisement Framework)의 두 가지 DoS 취약점: 이 취약점은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 영향을 받는 디바이스가 충돌할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음과 같습니다.
이러한 취약성에는 CVE 식별자 CVE-2011-2563 및 CVE-2011-2564가 할당되었습니다.
취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 PSIRT Security Advisories에서 확인할 수 있습니다. PSIRT Security Advisories는 다음 링크에서 확인할 수 있습니다. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110824-cucm 및 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110824-ime.
Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
Cisco IOS Software는 다음 방법을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
이러한 보호 메커니즘은 이러한 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
유니캐스트 RPF의 올바른 구축 및 컨피그레이션은 스푸핑된 소스 IP 주소가 있는 패킷을 사용하는 공격에 대해 효과적인 보호 방법을 제공합니다. 유니캐스트 RPF는 가능한 한 모든 트래픽 소스에 가깝게 구축해야 합니다.
IPSG의 적절한 구축 및 구성은 액세스 레이어에서 스푸핑 공격을 효과적으로 방어합니다.
신뢰할 수 있는 네트워킹 클라이언트가 스푸핑된 소스 주소의 패킷을 사용하지 않는 웜의 영향을 받을 가능성이 있으므로, 유니캐스트 RPF 및 IPSG는 이러한 취약성에 대해 완벽한 보호를 제공하지 않습니다.
Cisco ASA 5500 Series Adaptive Security Appliance 및 Cisco Catalyst 6500용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
이러한 보호 메커니즘은 이러한 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
Cisco ACE Application Control Engine 어플라이언스 및 모듈에서 TCP 정규화를 사용하여 효과적인 익스플로잇 방지 기능을 제공할 수도 있습니다.
이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.
Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공할 수 있습니다.
Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.
Cisco IOS Software, Cisco ASA, FWSM 방화벽, Cisco ACE Application Control Engine 어플라이언스 및 모듈은 show 명령 출력에 표시된 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.
Cisco Security MARS(Monitoring, Analysis, and Response System) 어플라이언스는 사고, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수도 있습니다.
주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control list)을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 및 UDP 포트 5060 및 5061의 무단 SIP, SAF 및 SIP-TLS 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 각각 영향을 받는 디바이스에서 사용하는 IPv4 및 IPv6 주소 공간이며, 192.168.100.1(IPv6의 경우 2001:DB8:1:100::1)의 호스트는 영향을 받는 디바이스에 대한 액세스가 필요한 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5050 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5620 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5060 access-list 150 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5061 access-list 150 deny deny udp any 192.168.60.0 0.0.0.255 eq 5060 access-list 150 deny deny udp any 192.168.60.0 0.0.0.255 eq 5061 access-list 150 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5050 access-list 150 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5620 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5050 permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5620 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks to global and !-- link local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 5060 deny tcp any 2001:DB8:1:60::/64 eq 5061 deny udp any 2001:DB8:1:60::/64 eq 5060 deny udp any 2001:DB8:1:60::/64 eq 5061 deny tcp any 2001:DB8:1:60::/64 eq 5050 deny tcp any 2001:DB8:1:60::/64 eq 5620 ! !-- Permit other required traffic to the infrastructure address !-- range and allow IPv6 Neighbor Discovery packets, which !-- include Neighbor Solicitation packets and Neighbor !-- Advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IP traffic to the global !-- infrastructure address range ! deny ipv6 any 2001:DB8:1:60::/64 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic !-- in accordance with existing security policies and configurations ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in
인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 인터페이스 컨피그레이션 명령 no ip unreachable을 사용하여 비활성화할 수 있습니다. ICMP 연결 불가 속도 제한은 ip icmp rate-limit unreachableinterval-in-ms 전역 환경 설정 명령어를 사용하여 기본값에서 변경할 수 있습니다.
유니캐스트 역방향 경로 전달
이 문서에 설명된 취약성은 스푸핑된 IP 패킷으로 악용될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 유니캐스트 RPF(Unicast Reverse Path Forwarding)를 구축하고 구성할 수 있습니다.
유니캐스트 RPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 관리자는 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 유니캐스트 RPF 지원 인터페이스를 통해 네트워크에 진입할 수 있으므로 완벽한 스푸핑 보호를 제공하기 위해 유니캐스트 RPF에 의존해서는 안 됩니다. 이 기능은 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 유니캐스트 RPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 인터넷 에지와 사용자 지원 레이어 3 인터페이스의 내부 액세스 레이어에서 유니캐스트 RPF가 활성화될 수 있습니다.
추가 정보는 Unicast Reverse Path Forwarding Loose Mode 기능 가이드에 있습니다.
유니캐스트 RPF의 컨피그레이션 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Applied Intelligence 백서를 참조하십시오.
IP Source Guard
IPSG(IP source guard)는 DHCP 스누핑 바인딩 데이터베이스 및 수동으로 구성된 IP 소스 바인딩을 기반으로 패킷을 필터링하여 라우팅되지 않은 레이어 2 인터페이스의 IP 트래픽을 제한하는 보안 기능입니다. 관리자는 IPSG를 사용하여 소스 IP 주소 및/또는 MAC 주소를 위조하여 패킷을 스푸핑하려고 시도하는 공격자의 공격을 방지할 수 있습니다. IPSG를 올바르게 구축하고 구성하면 엄격한 모드 유니캐스트 RPF와 결합하여 이 문서에 설명된 취약성에 대한 가장 효과적인 스푸핑 보호 방법을 제공합니다.
IPSG 구축 및 컨피그레이션에 대한 추가 정보는 DHCP 기능 및 IP 소스 가드 구성에 있습니다.
관리자가 인터페이스에 tACL을 적용한 후 show ip access-lists 명령은 필터링된 TCP 및 UDP 포트 5060 및 5061의 SIP 및 SIP-TLS 패킷 수를 식별합니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show ip access-lists 150에 대한 출력의 예는 다음과 같습니다.
router#show ip access-lists 150 Extended IP access list 150 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 50 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5050 60 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5620 70 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (5 matches) 80 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (2 matches) 90 deny deny udp any 192.168.60.0 0.0.0.255 eq 5060 (7 matches) 100 deny deny udp any 192.168.60.0 0.0.0.255 eq 5061 (4 matches) 110 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5050 (6 matches) 120 deny deny tcp any 192.168.60.0 0.0.0.255 eq 5620 (1 matches) 130 permit icmp any any nd-ns 140 permit icmp any any nd-ns 150 deny ip any any router#
앞의 예에서 액세스 목록 150은 신뢰할 수 없는 호스트 또는 네트워크로부터 수신한 다음 패킷을 삭제했습니다.
IPv6 tACL에 대한 해당 출력은 매우 유사하며, 여기서는 간결성을 위해 생략합니다. ACE 카운터 및 syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence 백서를 참조하십시오.
관리자는 ACE 카운터 적중과 같은 특정 조건이 충족될 때 Embedded Event Manager를 사용하여 계측을 제공할 수 있습니다. 보안 컨텍스트의 Embedded Event Manager Applied Intelligence 백서에서는 이 기능 사용 방법에 대한 추가 세부 정보를 제공합니다.
log and log-input ACL(access control list) 옵션을 사용하면 특정 ACE와 일치하는 패킷이 로깅됩니다. log-input 옵션은 패킷 소스 및 목적지 IP 주소와 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.
주의: 액세스 제어 목록 로깅은 CPU를 많이 사용할 수 있으므로 각별한 주의를 기울여 사용해야 합니다. ACL 로깅의 CPU 영향을 제어하는 요소는 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.
Cisco IOS Software의 경우 ip access-list logging interval in-ms 명령은 ACL 로깅에 의해 유발되는 프로세스 전환의 효과를 제한할 수 있습니다. logging rate-limit rate-per-second [except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.
ACL 로깅의 CPU 영향은 Supervisor Engine 720 또는 Supervisor Engine 32를 사용하는 Cisco Catalyst 6500 Series 스위치와 Cisco 7600 Series 라우터의 하드웨어에서 최적화된 ACL 로깅을 사용하여 해결할 수 있습니다.
ACL 로깅의 컨피그레이션 및 사용에 대한 자세한 내용은 ACL 로깅 적용 인텔리전스 이해 백서를 참조하십시오.
네트워크 인프라 전체에 유니캐스트 RPF가 올바르게 배포 및 구성된 경우 관리자는 show cef interface type slot/portinternal, show ip interface, show cef drop, show ip cef switching statistics 기능 및 show ip traffic 명령을 사용하여 유니캐스트 RPF가 삭제한 패킷의 수를 식별할 수 있습니다.
참고: Cisco IOS Software 버전 12.4(20)T부터 show ip cef switching 명령이 show ip cef switching statistics 기능으로 대체되었습니다.
참고: show command | begin regex and show command | include regex!command modifiers는 관리자가 원하는 정보를 보기 위해 구문 분석해야 하는 출력의 양을 최소화하기 위해 다음 예에서 사용됩니다. 명령 수정자에 대한 자세한 내용은 Cisco IOS Configuration Fundamentals 명령 참조의 show 명령 섹션에 있습니다.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
참고: show cef interface type slot/port internal은 CLI에서 완전히 입력해야 하는 숨겨진 명령입니다. 명령 완료를 사용할 수 없습니다.
router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip cef switching statistics feature IPv4 CEF input features: Path Feature Drop Consume Punt Punt2Host Gave route RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#
앞의 show cef drop, show ip cef switching statistics feature and show ip traffic examples에서 Unicast RPF는 18개의 IP 패킷을 삭제했습니다. 이는 Cisco Express Forwarding의 Forwarding Information Base 내에서 IP 패킷의 소스 주소를 확인할 수 없기 때문에 Unicast RPF가 구성된 모든 인터페이스에서 전체적으로 수신되었습니다.
관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이러한 취약성을 악용하려는 시도일 수 있는 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이러한 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 13C4 3 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3E 13C5 2 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3A 13BA 6 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 13C4 2 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B31 15F4 1 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 13C5 7 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 13C4 4 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1 router#
앞의 예에서는 TCP 포트 5060(16진수 값 13C4), 5061(16진수 값 13C5), 5050(16진수 값 13BA) 및 5620(16진수 값 15F4) 및 UDP 포트 5060(16진수 값 13C4) 및 5061(16진수 값 13C5)에서 SIP, SAF 및 SIP-TLS 패킷에 대한 여러 플로우가 있습니다!
이 트래픽은 영향을 받는 디바이스에서 사용하는 192.168.60.0/24 주소 블록 내의 주소에서 소싱되어 해당 주소로 전송됩니다. 이러한 흐름의 패킷은 스푸핑될 수 있으며, 이러한 취약성을 악용하려는 시도를 나타낼 수 있습니다. 관리자는 이러한 플로우를 UDP 포트 5060 및 5061에서 전송된 SIP 및 SIP-TLS 트래픽의 기준 사용률과 비교하고, 플로우를 조사하여 신뢰할 수 없는 호스트 또는 네트워크에서 소싱되는지 확인하는 것이 좋습니다.
TCP 포트 5060(16진수 값 13C4), 5061(16진수 값 13C5), 5050(16진수 값 13BA) 및 5620(16진수 값 15F4)에서 SIP, SAF 및 SIP-TLS 패킷에 대한 트래픽 흐름만 보려면 명령 show ip cache flow | include SrcIf|_06_.*(13C4|13C5|13BA|15F4)_는 다음 그림과 같이 관련 UDP NetFlow 레코드를 표시합니다.
TCP 흐름
router#show ip cache flow | include SrcIf|_06_.*(13C4|13C5|13BA|15F4)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 13C4 3 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3E 13C5 2 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B3A 13BA 6 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 13C4 2 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 0B31 15F4 1 router#
UDP 포트 5060(16진수 값 13C4) 및 5061(16진수 값 13C5)에서 SIP 및 SIP-TLS 패킷에 대한 트래픽 흐름만 보려면 명령 show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_는 여기에 표시된 대로 관련 UDP NetFlow 레코드를 표시합니다.
UDP 플로우
router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 13C5 7 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 13C4 4 router#
관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS IPv6 NetFlow를 구성하여 이 문서에 설명된 취약성을 악용하려는 시도일 수 있는 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이러한 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.
이 출력은 Cisco IOS Software 12.4 메인라인 트레인을 실행하는 Cisco IOS 디바이스에서 출력됩니다. 명령 구문은 Cisco IOS 소프트웨어 트레인마다 다릅니다.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x2001 0x13C4 1464K 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x180A 0x13C5 3456 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 2191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1909 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x18C4 0x13C4 4567K 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x13C5 1597 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x13BA 1001 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1634 0x15F4 1292 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1292 2001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1392 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 1493
전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.
앞의 예에서는 TCP 포트 5060(16진수 값 13C4), 5061(16진수 값 13C5), 5050(16진수 값 13BA) 및 5620(16진수 값 15F4) 및 UDP 포트 5060(16진수 값 13C4) 및 5061(16진수 값 13C5)에서 SIP, SAF 및 SIP-TLS 패킷에 대한 여러 플로우가 있습니다!
이 트래픽은 영향을 받는 디바이스에서 사용되는 2001:DB8:1:60::/64 주소 블록 내의 주소에서 소싱되어 해당 주소로 전송됩니다. 이러한 흐름의 패킷은 스푸핑될 수 있으며, 이러한 취약성을 악용하려는 시도를 나타낼 수 있습니다. 관리자는 이러한 플로우를 UDP 포트 5060 및 5061에서 전송된 SIP 및 SIP-TLS 트래픽의 기준 사용률과 비교하고, 플로우를 조사하여 신뢰할 수 없는 호스트 또는 네트워크에서 소싱되는지 확인하는 것이 좋습니다.
다음 예에 표시된 것처럼 TCP 포트 5060(16진수 값 13C4), 5061(16진수 값 13C5), 5050(16진수 값 13BA) 및 5620(16진수 값 15F4)에서 SIP, SAF 및 SIP-TLS 패킷만 보려면 show ipv6 flow cache를 사용합니다 | 관련 NetFlow 레코드를 표시하려면 SrcAddress|_06_.*(13C4|13C5|13BA|15F4)_ 명령을 포함합니다.
TCP 흐름
router#show ipv6 flow cache | include SrcIf|_06_.*(13C4|13C5|13BA|15F4)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x2001 0x13C4 1464K 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x13C5 1597 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x13BA 1001 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1634 0x15F4 1292 router#
다음 예에 표시된 것처럼 IPv6 UDP 포트 5060(16진수 값 0x13C4) 및 5061(16진수 값 0x13C5)에 대한 SIP 및 SIP-TLS 트래픽 흐름만 보려면 show ipv6 flow cache를 사용합니다 | SrcAddress|_11_.*(13C4|13C5)_ 명령을 포함하여 관련 NetFlow 레코드를 표시합니다.
UDP 플로우
router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x180A 0x13C5 3456 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x18C4 0x13C4 4567K routter#
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 적용을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 및 UDP 포트 5060 및 5061의 무단 SIP, SAF 및 SIP-TLS 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 각각 영향을 받는 디바이스에서 사용하는 IPv4 및 IPv6 주소 공간이며 192.168.100.1(2001:DB8:1:100::1)의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5050 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5620 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5050 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5620 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5060 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5061 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5060 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5061 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5050 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1 2001:db8:1:60::/64 eq 5620 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5060 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5061 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5060 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5061 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5050 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5620 ! !-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-Transit-ACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-Transit-ACL-Policy in interface outside
이 문서에 설명된 취약성은 스푸핑된 IP 패킷으로 악용될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 유니캐스트 RPF를 구축하고 구성할 수 있습니다.
유니캐스트 RPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 관리자는 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 유니캐스트 RPF 지원 인터페이스를 통해 네트워크에 진입할 수 있으므로 완벽한 스푸핑 보호를 제공하기 위해 유니캐스트 RPF에 의존해서는 안 됩니다. 엔터프라이즈 환경에서는 인터넷 에지와 사용자 지원 레이어 3 인터페이스의 내부 액세스 레이어에서 유니캐스트 RPF가 활성화될 수 있습니다.
유니캐스트 RPF의 컨피그레이션 및 사용에 대한 자세한 내용은 Cisco Security Appliance Command Reference for ip verify reverse-path 및 Understanding Unicast Reverse Path Forwarding Applied Intelligence 백서를 참조하십시오.
TCP 정규화 기능은 보안 어플라이언스가 탐지될 때 작동할 수 있는 비정상 패킷을 식별합니다. 예를 들어, 보안 어플라이언스는 패킷을 허용, 삭제 또는 지울 수 있습니다. TCP 노멀라이저에는 구성 불가능한 작업과 구성 가능한 작업이 포함됩니다. 일반적으로 연결을 삭제 또는 지우는 구성 불가능한 작업은 악성으로 간주되는 패킷에 적용됩니다. TCP 정규화는 Cisco ASA 5500 Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.0(1)부터, 방화벽 서비스 모듈의 경우 소프트웨어 릴리스 3.1(1)부터 사용할 수 있습니다.
TCP 정규화는 기본적으로 활성화되어 있으며 이러한 취약성을 악용할 수 있는 패킷을 삭제합니다. 이러한 취약성을 악용할 수 있는 패킷에 대한 보호는 이 기능을 활성화하는 데 컨피그레이션 변경이 필요하지 않은 구성 불가능한 TCP 정규화 작업입니다.
TCP 정규화 기능을 사용하여 Cisco Unified Communications Manager로의 TCP 연결에 대한 동시 연결 제한 및 유휴 시간 제한을 제한함으로써 DoS 조건을 방지할 수 있습니다. Cisco Unified Communications Manager에 대해 관찰된 최대 정상 연결 수에 따라 제한을 구성해야 합니다. Cisco Unified Communications Manager에 대한 비정상적인 연결 수를 방지하기 위해 TCP 노멀라이저를 구성한다고 해서 지속적 공격자가 허용된 연결 수를 소진하는 것을 막을 수는 없지만 유휴 연결이 많아 Cisco Unified Communications Manager의 메모리 부족을 방지할 수 있다는 점에 유의해야 합니다.
참고: 각 환경에 설정된 제한에 주의해야 합니다. 특정 환경에 대한 올바른 최대 제한을 준수하도록 설정되지 않은 경우 올바른 연결을 거부할 수 있으므로 주의해야 합니다.
다음 예에서 192.168.60.200/24은 영향을 받는 디바이스의 IP 주소입니다. 컨피그레이션은 디바이스에 대한 TCP 동시 연결을 1000으로 제한하고 연결 유휴 시간 제한을 30분으로 설정합니다. 각 환경에 설정된 제한에 주의해야 합니다. 특정 환경에 대한 일반적인 최대 제한을 준수하도록 설정되지 않은 경우 정상적인 연결을 거부할 수 있기 때문입니다.
! !-- Match TCP traffic to the Cisco Unified Communications Manager ! access-list CVE-2011-2560-acl extended permit tcp any host 192.168.60.200 class-map CVE-2011-2560-cm match access-list CVE-2011-2560-acl ! !-- Configure the connection limits for TCP !-- traffic to the Cisco Unified Communications Manager ! policy-map global_policy class CVE-2011-2560-cm set connection conn-max 1000 set connection timeout idle 0:30:00 service-policy global_policy global
TCP 정규화에 대한 추가 정보는 CLI 8.2를 사용한 Cisco ASA 5500 Series 컨피그레이션 가이드의 TCP 정규화 구성 섹션에 있습니다.
인터페이스에 tACL이 적용되면 관리자는 show access-list 명령을 사용하여 필터링된 TCP 및 UDP 포트 5060 및 5061의 SIP 및 SIP-TLS 패킷 수를 식별할 수 있습니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show access-list tACL-Policy의 출력 예는 다음과 같습니다.
firewall#show access-list tACL-Policy access-list tACL-Policy; 9 elements access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq sip (hitcnt=34) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 (hitcnt=24) access-list tACL-Policy line 3 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq sip (hitcnt=4) access-list tACL-Policy line 4 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 (hitcnt=2) access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq sip (hitcnt=44) access-list tACL-Policy line 6 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 (hitcnt=61) access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq sip (hitcnt=5) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061 (hitcnt=2) access-list tACL-Policy line 9 extended deny udp any 192.168.60.0 255.255.255.0 eq sip (hitcnt=7) access-list tACL-Policy line 10 extended deny udp any 192.168.60.0 255.255.255.0 eq 5061 (hitcnt=4) access-list tACL-Policy line 11 extended deny tcp any 192.168.60.0 255.255.255.0 eq 5050 (hitcnt=6) access-list tACL-Policy line 12 extended deny tcp any 192.168.60.0 255.255.255.0 eq 5620 (hitcnt=1) access-list tACL-Policy line 13 extended deny ip any any (hitcnt=8) firewall#
앞의 예에서 액세스 목록 tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.
IPv6 tACL에 대한 해당 출력은 매우 유사하며, 여기서는 간략한 설명을 위해 생략합니다.
log 키워드가 없는 ACE(Access Control Entry)에서 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106023에 있습니다.
Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.
다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.
정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
firewall#show logging | grep 106023 Aug 28 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2924 dst inside:192.168.60.191/sip by access-group "tACL-Policy" Aug 28 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 dst inside:192.168.60.33/5061 by access-group "tACL-Policy" Aug 24 2011 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.19/2934 dst inside:192.168.60.191/sip by access-group "tACL-Policy" Aug 24 2011 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 dst inside:192.168.60.33/5061 by access-group "tACL-Policy" Aug 24 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/3961 dst inside:192.168.60.197/5050 by access-group "tACL-Policy" Aug 24 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.201/2939 dst inside:192.168.60.185/5620 by access-group "tACL-Policy" firewall#
앞의 예에서 tACL tACL 정책에 대해 로깅된 메시지는 영향받는 디바이스에 할당된 주소 블록으로 전송되는 TCP 및 UDP 포트 5060 및 5061에 대해 스푸핑된 SIP 및 SIP-TLS 패킷을 보여줍니다.
ASA 보안 어플라이언스용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Messages, 8.2에 있습니다. FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series Switch 및 Cisco 7600 Series Router Firewall Services Module Logging System Log Messages에 있습니다.
syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence 백서를 참조하십시오.
유니캐스트 RPF에서 거부된 패킷에 대해 방화벽 syslog 메시지 106021이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106021에 있습니다.
Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.
다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.
정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
firewall#show logging | grep 106021 Aug 24 2010 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Aug 24 2010 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Aug 24 2010 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside
다음 예와 같이 show asp drop 명령은 유니캐스트 RPF 기능이 삭제한 패킷의 수를 식별할 수도 있습니다.
firewall#show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#
앞의 예에서 Unicast RPF는 Unicast RPF가 구성된 인터페이스에서 수신된 11개의 IP 패킷을 삭제했습니다. 출력이 없으면 방화벽의 유니캐스트 RPF 기능에서 패킷을 삭제하지 않았음을 나타냅니다.
가속화된 보안 경로 삭제 패킷 또는 연결 디버깅에 대한 자세한 내용은 Cisco Security Appliance Command Reference for show asp drop을 참조하십시오.
Cisco ASA 5500 Series Adaptive Security Appliance의 경우 show service-policy 명령은 다음 예와 같이 TCP 정규화 기능이 삭제된 패킷 수를 식별할 수 있습니다.
firewall# show service-policy set connection detail Global policy: Service-policy: global_policy Class-map: CVE-2011-2560-cm Set connection policy: conn-max 1000 current conns 15, drop 5 Set connection timeout policy: idle 0:30:00 DCD: disabled, retry-interval 0:00:15, max-retries 5 DCD: client-probe 0, server-probe 0, conn-expiration 0 11 firewall#
앞의 예에서 TCP 정규화는 연결 제한을 초과하는 5개의 새 연결을 삭제했습니다.
TCP 정규화는 Cisco ACE가 흐름의 다양한 단계에서 수행하는 일련의 확인으로 구성된 레이어 4 기능으로, 연결이 닫히는 것을 통한 초기 연결 설정부터 시작합니다. 하나 이상의 고급 TCP 연결 설정을 구성하여 많은 세그먼트 검사를 제어하거나 변경할 수 있습니다. ACE는 이러한 TCP 연결 설정을 사용하여 수행할 검사와 검사 결과에 따라 TCP 세그먼트의 폐기 여부를 결정합니다. ACE는 비정상이거나 형식이 잘못된 것으로 보이는 세그먼트를 폐기합니다.
TCP 정규화는 기본적으로 활성화되어 있으며 이러한 취약성을 악용할 수 있는 패킷을 삭제합니다. 이러한 취약성을 악용할 수 있는 패킷에 대한 보호는 구성할 수 없는 TCP 정규화 작업입니다. 이 기능을 활성화하는 데 컨피그레이션을 변경할 필요가 없습니다.
TCP 정규화 기능을 사용하여 Cisco Unified Communications Manager로의 TCP 연결에 대한 동시 연결 제한, 연결 속도 및 유휴 시간 제한을 제한함으로써 DoS 상태를 방지할 수 있습니다. 제한은 Cisco Unified Communications Manager에 대해 관찰된 최대 정상 연결 수 및 속도에 따라 구성해야 합니다. Cisco Unified Communications Manager에 대한 비정상적인 연결 수를 방지하기 위해 TCP 노멀라이저를 구성한다고 해서 지속적 공격자가 허용된 연결 수를 소진하는 것을 막을 수는 없지만 유휴 연결이 많아 Cisco Unified Communications Manager의 메모리 부족을 방지할 수 있다는 점에 유의해야 합니다.
참고: 각 환경에 설정된 제한에 주의해야 합니다. 특정 환경에 대한 올바른 최대 제한을 준수하도록 설정되지 않은 경우 올바른 연결을 거부할 수 있으므로 주의해야 합니다.
다음 예에서 192.168.60.200/24은 영향을 받는 디바이스의 IP 주소입니다. 컨피그레이션은 디바이스에 대한 TCP 동시 연결을 1000으로 제한하고, 연결 속도를 초당 100000개의 연결로 제한하며, 연결 유휴 시간 제한을 30분으로 설정합니다.
! !-- Create a connection parameter map to group together TCP/IP !-- normalization and termination parameters ! parameter-map type connection CVE-2011-2560-parameter-map limit-resource conc-connections 1000 set timeout inactivity 1800 rate-limit connection 100000 ! !-- Match TCP traffic to the Cisco Unified Communications Manager ! class-map match-any CVE-2011-2560-cm match destination-address 192.168.60.200 ! !-- Configure the connection limits for TCP !-- traffic to the Cisco Unified Communications Manager ! policy-map multi-match CVE-2011-2560_policy class CVE-2011-2560-cm connection advanced-options CVE-2011-2560-parameter-map ! !-- Apply the policy to the interface ! interface vlan 50 service-policy input CVE-2011-2560_policy
TCP 정규화에 대한 자세한 내용은 Cisco ACE 4700 Series Appliance Security Configuration Guide의 Configuring TCP/IP Normalization and IP Reassembly Parameters 섹션에 있습니다.
Cisco ACE Application Control Engine 어플라이언스 및 모듈은 이러한 취약성을 악용하려고 시도하는 동안 삭제된 패킷에 대해 show 명령 출력을 제공하지 않습니다.
관리자는 Cisco IPS(Intrusion Prevention System) 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 취약성 중 하나를 악용하려는 시도를 방지할 수 있습니다. Cisco IPS 버전 6.x 이상을 실행하는 센서에 대한 시그니처 업데이트 S590부터 시그니처 38386/0(시그니처 이름: Cisco Intercompany Media Engine Denial of Service)으로 취약성을 탐지할 수 있습니다. 시그니처 38386/0은 기본적으로 활성화되어 중간 심각도 이벤트를 트리거하고 SFR(Signature Fidelity Rating)이 15이며 기본 이벤트 작업인 Produce Alert로 구성됩니다.
시그니처 38386/0은 TCP 포트 5620을 사용하여 전송된 특정 악성 패킷이 탐지될 때 발생합니다. 이 서명의 실행은 이러한 취약성의 잠재적인 익스플로잇을 나타낼 수 있습니다.
관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 이 문서에 설명된 취약성을 악용하려는 공격으로부터 보호하기 위해 예방 또는 억제 제어를 수행합니다.
스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업으로 인해 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.
Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축된 Automatic Threat Prevention for Cisco IPS 6.x 이상 센서는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.
위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
Cisco Security MARS(Monitoring, Analysis, and Response System) 어플라이언스는 IPS 서명 38386/0(서명 이름: Cisco Intercompany Media Engine Denial Of Service)을 사용하여 이 문서에 설명된 취약성과 관련된 이벤트와 관련된 인시던트를 생성할 수 있습니다. S590 동적 시그니처 업데이트가 다운로드된 후 IPS 시그니처 38386/0의 경우 키워드 NR-38386/0을 사용하고 쿼리 유형은 < All Matching Events를 사용합니다 Cisco Security MARS Appliance의 | All Matching Event Raw Messages(일치하는 모든 이벤트 원시 메시지)>는 IPS 서명에 의해 생성된 인시던트를 나열하는 보고서를 제공합니다.
Cisco Security MARS 어플라이언스의 4.3.1 및 5.3.1 릴리스부터 Cisco IPS 동적 서명 업데이트 기능에 대한 지원이 추가되었습니다. 이 기능은 Cisco.com 또는 로컬 웹 서버에서 새 서명을 다운로드하고, 해당 서명과 일치하는 수신된 이벤트를 정확하게 처리 및 분류하며, 이를 검사 규칙 및 보고서에 포함합니다. 이러한 업데이트는 이벤트 표준화 및 이벤트 그룹 매핑을 제공하며 MARS 어플라이언스에서 IPS 디바이스의 새 서명을 구문 분석할 수 있게 합니다.
주의: 동적 서명 업데이트가 구성되지 않은 경우 이러한 새 서명과 일치하는 이벤트는 쿼리와 보고서에서 알 수 없는 이벤트 유형으로 표시됩니다. MARS는 이러한 이벤트를 검사 규칙에 포함하지 않으므로 네트워크 내에서 발생하는 잠재적인 위협이나 공격에 대한 인시던트가 생성되지 않을 수 있습니다.
기본적으로 이 기능은 활성화되어 있지만 컨피그레이션이 필요합니다. 구성되지 않은 경우 다음 Cisco 보안 MARS 규칙이 트리거됩니다.
System Rule: CS-MARS IPS Signature Update Failure
이 기능을 활성화하고 구성하면 관리자는 도움말 > 정보를 선택하고 IPS 서명 버전 값을 검토하여 MARS에서 다운로드한 현재 서명 버전을 결정할 수 있습니다.
동적 서명 업데이트에 대한 추가 정보 및 동적 서명 업데이트 구성에 대한 지침은 Cisco Security MARS 4.3.1 및 5.3.1 릴리스에 제공됩니다.
개정 1.1 |
2011년 11월 2일 |
수정된 문서 URL |
개정 1.0 |
2011년 8월 24일 |
초기 공개 |
Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.