-
Cisco Response
Microsoft kondigde negen veiligheidsbulletins aan die 16 kwetsbaarheden als deel van het maandelijkse veiligheidsbulletin op Juli 10, 2012 richten. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms12-jul. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
De kwetsbaarheden die een client software aanvalsvector hebben; kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd; vereisen gebruikersinteractie; of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mail bedreigingen), e-mail bijlagen, of bestanden die zijn opgeslagen op netwerkaandelen zijn in de volgende lijst:
De kwetsbaarheid die een netwerkmatiging heeft is in de volgende lijst. Cisco-apparaten bieden tegenmaatregelen voor de kwetsbaarheid met een netwerkaanvalsvector, die later in dit document in detail wordt besproken.
Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden vermeld in Cisco Event Response: Microsoft Security Bulletin release voor juli 2012.
Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".
-
MS12-046, Kwetsbaarheid in Visual Basic voor Toepassingen zou de Uitvoering van de Code op afstand kunnen toestaan (2707960): Deze kwetsbaarheid is toegewezen gemeenschappelijke Kwetsbaarheid en Blootstellingen (CVE) herkenningsteken CVE-2012-1854. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Als deze kwetsbaarheid met succes wordt benut, kan willekeurige code worden uitgevoerd. De aanvalsvector voor de exploitatie van deze kwetsbaarheid is via Microsoft Server Message Block (SMB)-pakketten met TCP-poorten 139 en 445 en Web-based Distributed Authoring and Versioning (WebDAV) over HTTP-pakketten die doorgaans TCP-poort 80 gebruiken maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken. Vanwege de aard van de exploitatie is WebDAV-beperking geen haalbare oplossing, dus zal alleen de beperking van het MKB worden geboden.
Hoewel Cisco IOS-software, Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers gedeeltelijke bescherming bieden voor potentiële pogingen om deze kwetsbaarheid te exploiteren (een onderwerp dat in dit document is opgenomen), kunnen cross-site scripting en phishing ook worden gebruikt om deze kwetsbaarheid te exploiteren. Raadpleeg het Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors voor extra informatie over aanvallen met scripts op meerdere sites en de methoden die zijn gebruikt om deze kwetsbaarheid te exploiteren.
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in het Microsoft Security Bulletin Samenvatting voor juli 2012, die beschikbaar is op de volgende link: http://technet.microsoft.com/en-us/security/bulletin/ms12-jul
-
De kwetsbaarheden die een client software aanvalsvector hebben; kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd; vereisen gebruikersinteractie; of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing en web-based e-mail bedreigingen), e-mail bijlagen, of bestanden die zijn opgeslagen op netwerkaandelen zijn in de volgende lijst:
Deze kwetsbaarheden worden op het endpoint met het meeste succes verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Cisco Security Agent Host Inbraakpreventiesysteem (HIPS) of antivirusproducten.
De kwetsbaarheid die een netwerkmatiging heeft is in de volgende lijst. Cisco-apparaten bieden tegenmaatregelen voor deze kwetsbaarheid. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van transittoegangscontrolelijsten (tACL’s). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen om de kwetsbaarheid te exploiteren die een vector van de netwerkaanval heeft.
Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met (tACL’s). Deze beschermingsmechanismen filteren en laten vallen pakketten die proberen om de kwetsbaarheid te exploiteren die een vector van de netwerkaanval heeft.
Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.
Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.
Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren zoals later in dit document besproken.
De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco IOS-routers en -Switches
- Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco-inbraakpreventiesysteem
- Cisco Security Manager
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Voor MS12-046 wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren voor het uitvoeren van beleidshandhaving om het netwerk te beschermen tegen verkeer dat het netwerk binnenkomt op toegangspunten, waaronder internetverbindingspunten, partner- en leveranciersknooppunten of VPN-verbindingspunten. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het volgende tACL-beleid ontkent onbevoegde SMB-pakketten op TCP-poorten 139 en 445 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Aanvullende informatie over ACL’s is beschikbaar in Transit Access Control Lists: Filtering at Your Edge.
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable ports
!-- for MS12-046
! access-list 150 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established access-list 150 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established !
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks against MS12-046
! access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 139 access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 445
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
! access-list 150 deny ip any any !
!-- Create the corresponding IPv6 tACL
! ipv6 access-list IPv6-Transit-ACL-Policy !
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable ports
!-- for MS12-046
! permit tcp host 2001:DB8::100:1 eq 139 2001:DB8:1:60::/64 established permit tcp host 2001:DB8::100:1 eq 445 2001:DB8:1:60::/64 established !
!-- The following vulnerability-specific ACEs can
!-- aid in identification of attacks to global and
!-- link-local addresses
! deny tcp 2001:db8:1:60::/64 any eq 139 deny tcp 2001:db8:1:60::/64 any eq 445 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and configurations
!-- and allow IPv6 neighbor discovery packets, which
!-- include neighbor solicitation packets and neighbor
!-- advertisement packets
! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic
!
! deny ipv6 any any !
!-- Apply tACLs to interfaces in the ingress direction
! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy inMerk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP-onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie geen ip onbereikbaar en geen ipv6 onbereikbaar . ICMP-onbereikbare snelheidsbeperking kan vanuit de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten IP ICMP-snelheidslimiet voor onbereikbaar interval-in-ms en ipv6 icmp fout-interval interval-in-ms.
Identificatie: Toegangscontrolelijsten voor douanevervoer
Nadat de beheerder de tACL op een interface heeft toegepast, toont hij IP-toegangslijsten en toont hij ipv6-toegangslijsten met opdrachten die het aantal SMB IPv4- en IPv6-pakketten op TCP-poorten 139 en 445 identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De voorbeelduitvoer voor toont IP-toegangslijsten 150 en toont ipv6-toegangslijst IPv6-Transit-ACL-Policy als volgt:
router#show ip access-lists 150 Extended IP access list 150 10 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established 20 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established 30 deny tcp 192.168.60.0 0.0.0.255 any eq 139 (12 matches) 40 deny tcp 192.168.60.0 0.0.0.255 any eq 445 (26 matches) 50 deny ip any any router#
In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen
- 12 SMB-pakketten op TCP-poort 139 voor ACE-lijn 30
- 26 SMB-pakketten op TCP-poort 445 voor ACE-lijn 40
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy permit tcp host 2001:db8:1:100::1 eq 139 2001:db8:1:60::/64 established (55 matches) sequence 10 permit tcp host 2001:db8:1:100::1 eq 445 2001:db8:1:60::/64 established (38 matches) sequence 20 deny tcp 2001:DB8:1:60::/64 any eq 139 (30 matches) sequence 30 deny tcp 2001:DB8:1:60::/64 any eq 445 (41 matches) sequence 40 permit icmp any any nd-ns (41 matches) sequence 50 permit icmp any any nd-na (41 matches) sequence 60 deny ipv6 any any (21 matches) sequence 70
In het vorige voorbeeld heeft de toegangslijst IPv6-Transit-ACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
- 30 SMB-pakketten op TCP-poort 139 voor ACE-lijn 30
- 41 SMB-pakketten op TCP-poort 445 voor ACE-lijn 40
Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het Witboek Cisco Security Identifying Incidents Use Firewall en IOS Router Syslog Events.
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security white paper Embedded Event Manager in een security context biedt extra informatie over hoe u deze functie kunt gebruiken.
Identificatie: Vastlegging toegangslijst
De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.
Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.
Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.
De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.
Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het Witboek Inzicht in toegangscontrolelijst Vastlegging in Cisco Security.
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow
Voor MS12-046 kunnen beheerders Cisco IOS NetFlow op Cisco IOS-routers en -switches configureren als hulp bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om de in dit document beschreven kwetsbaarheid te exploiteren en die een netwerkaanvalsvector hebben. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om de kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 008B 00A1 1
Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 01BD 00A1 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 11 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 01BD 00A1 5
Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 008B 00A1 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 06 008B 00A1 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1In het bovenstaande voorbeeld zijn er meerdere stromen voor SMB op TCP-poort 139 (hex-waarde 008B) en TCP-poort 445 (hex-waarde 01BD).
Zoals in het volgende voorbeeld wordt getoond, om alleen de verkeersstromen voor SMB-pakketten op TCP-poort 139 (hex-waarde 008B) en TCP-poort 445 (hex-waarde 01BD) te bekijken, gebruikt u de cachestroom van de show ip | neem SrcIf|_06_.*(008B|01BD)_ opdracht op om de verwante Cisco NetFlow-records weer te geven:TCP-stromen
router#show ip cache flow | include SrcIf|_06_.*(008B|01BD)_
Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 008B 00A1 1
Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 01BD 00A1 3
Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 06 01BD 00A1 5
Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 008B 00A1 1
Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 06 008B 00A1 1Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow
Voor MS12-046 kunnen beheerders Cisco IOS NetFlow op Cisco IOS-routers en -switches configureren als hulp bij de identificatie van IPv6-verkeersstromen die mogelijk pogingen zijn om te profiteren van de kwetsbaarheid die in dit document wordt beschreven. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheid te exploiteren of dat ze legitieme verkeersstromen zijn.
De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added
SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x008B 0x16C4 12 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x01BD 0x160A 26
2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x01BD 0x05C5 6
2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x008B 0x05C6 7 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x11 0x1634 0x05C6 2 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 1193Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
In het vorige voorbeeld zijn er meerdere IPv6-stromen voor SMB op TCP-poort 139 (hex-waarde 008B) en TCP-poort 445 (hex-waarde 01BD).
Zoals in het volgende voorbeeld wordt getoond, om alleen de SMB-pakketten op TCP-poort 139 (hex-waarde 008B) en TCP-poort 445 (hex-waarde 01BD) te bekijken, gebruikt u de show ipv6 flow cache | neem SrcIf|_06_.*(008B|01BD)_ opdracht op om de verwante Cisco NetFlow-records weer te geven:
TCP-stromen
router#show ipv6 flow cache | include SrcIf|_06_.*(008B|01BD)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x008B 0x13C4 1597 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x008B 0x16C4 12
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x01BD 0x160A 26 router#Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS flexibele NetFlow
Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.
!
!-- Configure key and nonkey fields
!-- in the user-defined flow record
! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets !
!-- Configure the flow monitor to
!-- reference the user-defined flow
!-- record
! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 !
!-- Apply the flow monitor to the interface
!-- in the ingress direction
! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 inputDe Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot ============== ============== ============= ============= ========== =========== ==== ======= 192.168.10.201 192.168.60.102 139 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 445 123 Gi0/0 Gi0/1 2212 6 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.60.28 139 80 Gi0/0 Gi0/1 1 6 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 312 6
Als u alleen de SMB-pakketten op TCP-poorten 139 en 445 wilt bekijken, gebruikt u de tabel met de cacheindeling van de show flow monitor FLOW-MONITOR-ipv4 | met inbegrip van IPV4 SRC ADDR |_6_.*(139|445)_ opdracht om de gerelateerde NetFlow-records weer te geven.
Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15.1M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.!
!-- Configure key and nonkey fields
!-- in the user-defined flow record
! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets !
!-- Configure the flow monitor to
!-- reference the user-defined flow
!-- record
! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 !
!-- Apply the flow monitor to the interface
!-- in the ingress direction
! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 inputDe Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 139 80 Gi0/0 Gi0/0 1237 6 2001:DB...06::201 2001:DB...28::20 445 443 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 139 80 Gi0/0 Gi0/0 5009 6 2001:DB...06::201 2001:DB...28::20 2856 5060 Gi0/0 Gi0/0 486 17 2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17
Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
Als u alleen de SMB-pakketten op TCP-poorten 139 en 445 wilt bekijken, gebruikt u de tabel met de cacheindeling van de show flow monitor FLOW-MONITOR-ipv6 | inclusief IPV6 SRC ADDR|_6_.*(139|445)_ opdracht om de verwante Cisco IOS flexibele NetFlow-records weer te geven.
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Voor MS12-046 wordt beheerders aangeraden om TACL’s te implementeren voor het uitvoeren van beleidshandhaving om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, waaronder internetverbindingspunten, partner- en leveranciersknooppunten of VPN-verbindingspunten. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het volgende tACL-beleid ontkent onbevoegde SMB-pakketten op TCP-poorten 139 en 445 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 is de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable ports
!
access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 host 192.168.100.1 eq 139 access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 host 192.168.100.1 eq 445 !
!-- The following vulnerability-specific ACEs
!-- can aid in identification of attacks
!
access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 139 access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 445 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!
access-list tACL-Policy-Egress extended deny ip any any !
!-- Create the corresponding IPv6 tACL
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable ports
! ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp 2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 139 ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp 2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 445 !
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
! ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 139 ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 445 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
! ipv6 access-list IPv6-tACL-Policy-Egress deny ip any any !
!-- Apply tACLs to interfaces in the egress direction
! access-group tACL-Policy-Egress out interface outside access-group IPv6-tACL-Policy-Egress out interface outsideIdentificatie: Toegangscontrolelijsten voor douanevervoer
Nadat tACL is toegepast op een interface, kunnen beheerders de show access-list opdracht gebruiken om het aantal SMB IPv4- en IPv6-pakketten op TCP-poorten 139 en 445 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegang-lijst tACL-beleid-Uitgang en toont toegang-lijst IPv6-tACL-beleid-Uitgang volgt:
firewall#show access-list tACL-Policy-Egress access-list tACL-Policy-Egress; 5 elements access-list tACL-Policy-Egress line 1 extended permit tcp 192.168.60.0 255.255.255.0 host 192.168.100.1 eq 139 (hitcnt=34) access-list tACL-Policy-Egress line 2 extended permit tcp 192.168.60.0 255.255.255.0 host 192.168.100.1 eq 445 (hitcnt=34) access-list tACL-Policy-Egress line 3 extended deny tcp 192.168.60.0 255.255.255.0 any eq 139 (hitcnt=119) access-list tACL-Policy-Egress line 4 extended deny tcp 192.168.60.0 255.255.255.0 any eq 445 (hitcnt=101) access-list tACL-Policy-Egress line 5 extended deny ip any any (hitcnt=8) firewall#
In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy-Uitgang de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:
- 119 MKB pakketten op TCP-poort 139 voor ACE-lijn 3
- 101 SMB-pakketten op TCP-poort 445 voor ACE-lijn 4
firewall#show access-list IPv6-tACL-Policy-Egress ipv6 access-list IPv6-tACL-Policy-Egress; 5 elements ipv6 access-list IPv6-tACL-Policy-Egress line 1 permit tcp any 2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 139 (hitcnt=6) ipv6 access-list IPv6-tACL-Policy-Egress line 2 permit tcp any 2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 445 (hitcnt=6) ipv6 access-list IPv6-tACL-Policy-Egress line 3 deny tcp 2001:db8:1:60::/64 any eq 139 (hitcnt=119) ipv6 access-list IPv6-tACL-Policy-Egress line 4 deny tcp 2001:db8:1:60::/64 any eq 445 (hitcnt=123) ipv6 access-list IPv6-tACL-Policy-Egress line 5 deny ip any any (hitcnt=8) firewall#
In het vorige voorbeeld heeft de toegangslijst IPv6-tACL-Policy-uitgaande de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
- 119 SMB-pakketten op TCP-poort 139 voor ACE-lijn 3
- 123 SMB-pakketten op TCP-poort 445 voor ACE-lijn 4
Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.
Identificatie: berichten in Firewall Access List System
Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106023 Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.191/2876 dst outside:192.0.2.18/139 by access-group "tACL-Policy-Egress" Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.33/2926 dst outside:192.0.2.200/445 by access-group "tACL-Policy-Egress" Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.240/2946 dst outside:192.0.2.99/139 by access-group "tACL-Policy-Egress" Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::23/2951 dst outside:2001:db8:2::2:172/139 by access-group "IPv6-tACL-Policy-Egress" Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::134/2952 dst outside:2001:db8:d::a85e:172/445 by access-group "IPv6-tACL-Policy-Egress" firewall#
In het voorafgaande voorbeeld, tonen de berichten die voor tACL tACL-Policy-uitgaande en IPv6-tACL-Policy-uitgaande worden geregistreerd SMB-pakketten voor TCP-poorten 139 en 445 die naar het adresblok worden verzonden dat aan getroffen apparaten wordt toegewezen.
Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.
Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events voor Cisco Security.
Cisco-inbraakpreventiesysteem
Beperken: acties voor Cisco IPS-handtekeningen
Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om bepaalde kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.
CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity* Opmerkingen CVE-2012-1889 S656 1281/0 Microsoft XML Core Services Remote Code uitvoeren Ja Hoog 90 Meta 1281/1 Microsoft XML Core Services Remote Code uitvoeren Ja Hoog 90 Meta-component #1 CVE-2012-1522 S656 1329/0 Microsoft Internet Explorer 9 uitvoering van Remote-code voor gecachede objecten Ja Hoog 85 CVE-2012-1524 S656 1331/0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 90 CVE-2012-1891 S656 1334/0 Microsoft Windows ADO-overflow Ja Hoog 85 CVE-2012-0175 S656 1333/0 Kwetsbaarheid van Microsoft Windows-geregistreerde Application Handler Ja Hoog 85 CVE-2012-1858 S656 1279/0 Microsoft Internet Explorer en Lync HTML Sanization Cross-Site Scripting Ja Hoog 85 CVE-2012-1859 S656 5232/0 URL met XSS Ja Laag 85 CVE-2012-1861 S656 1335/0 Microsoft Sharepoint cross-site scripting aanval Ja Hoog 95 CVE-2012-1863 S656 1326/0 Vulbaarheid van Microsoft SharePoint-lijstparameters Ja Hoog 90 * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.
Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.
Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.
Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.
Gegevens over IPS-handtekeningen
De volgende gegevens zijn gecompileerd via externe bewakingsservices die worden geleverd door het Cisco Remote Management Services-team uit een voorbeeldgroep van Cisco IPS-sensoren waarop Cisco IPS Signature Update versie S656 of hoger wordt uitgevoerd. Het doel van deze gegevens is om inzicht te geven in pogingen om de kwetsbaarheden te exploiteren die zijn vrijgegeven als deel van de Microsoft Juli Security Update die op 10 Juli, 2012 is vrijgegeven. Deze data zijn verzameld uit gebeurtenissen die op 17 juli 2012 begonnen.
CVE-id Handtekening-ID Percentage sensoren dat de handtekening weergeeft Percentage sensoren dat de handtekening weergeeft onder de tien meest bekeken gebeurtenissen CVE-2012-1889 1281/0 0% 0% CVE-2012-1889 1281/1 0% 0% CVE-2012-1522 1329/0 0% 0% CVE-2012-1524 1331/0 0% 0% CVE-2012-1891 1334/0 0% 0% CVE-2012-0175 1333/0 0% 0% CVE-2012-1858 1279/0 0% 0% CVE-2012-1859 5232/0 1% 1% CVE-2012-1861 1335/0 0% 0% CVE-2012-1863 1326/0 0% 0% Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager Event Viewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.
Met behulp van de IPS Alert Events voorgedefinieerde weergave in de Event Viewer, kan de gebruiker de zoekstrings 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 en 1326/0 in het gebeurtenisfilter invoeren Opgenomen gebeurtenissen met betrekking tot Cisco IPS-handtekeningen 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 en 1326/0.
Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.
- Gebruik het filter van de brongebeurtenis om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Gebruik het eventfilter voor de bronservice om objecten te filteren die TCP-poorten 139 en 445 bevatten
Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.
Cisco Security Manager-rapportbeheer
Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.
Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de Signature ID is ingesteld op 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 of 1326/0, genereert Cisco Security Manager een uitgebreid rapport waarin het aantal opgeslagen waarschuwingen voor de ondertekening van rente wordt gerangschikt in vergelijking met de totale som van alle handtekeningen die in het rapport wordt weergegeven.
Ook in Rapportbeheer kan het Top Services-rapport worden gebruikt met de volgende configuratie om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- Gebruik het IP-bronnetwerkfilter om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Stel een actie van Deny in op de pagina Criteria instellingen
Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en vooraf geteste SIEM-systemen te leveren die zakelijke problemen aanpakken, zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:
- 1281/08 Microsoft XML Core Services Remote Code Uitvoering
- 1281/1 Microsoft XML Core Services Remote Code Uitvoering
- 1329/08 Microsoft Internet Explorer 9 Cached Object Remote Code Uitvoering
- 1331/100 Microsoft Internet Explorer Remote Code-uitvoering
- 1334/08 Microsoft Windows ADO-overloop
- 1333/1300 Microsoft Windows-geregistreerde ventilatoreenheid voor toepassingen
- 1279/08 Microsoft Internet Explorer en Lync HTML Sanization Cross-Site Scripting
- 5232/00 URL met XSS
- 1335/1300 Microsoft Sharepoint cross-site scripts - aanval
- 1326/08 Microsoft SharePoint-weerkaatsing van lijstparameters
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.
-
Aanvullende informatie
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 2 Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 17 juli 2012 beschikbaar voor IPS-handtekeningen.
2012-juli-19 19:53 GMT 1 : Deze eerste versie van het Cisco Applied Mitigation Bulletin richt zich op de Microsoft Security Bulletin release voor juli 2012. 2012-juli-10 17:33 GMT
-
Cisco-beveiligingsprocedures
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op Cisco.com op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Deze webpagina bevat instructies voor persvragen over Cisco Security Advisories. Alle Cisco Security Advisories zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Microsoft, Inc. Windows 7 voor 32-bits systemen (Base, SP1) | voor op x64 gebaseerde systemen (Base, SP1) Windows Server 2003 Datacenter Edition (basis, SP1, SP2) | Datacenter Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Web Edition (Base, SP1, SP2) Windows Server 2008 Datacenter Edition (basis, SP1, SP2) | Datacenter Edition, 64-bits (basis, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-bits (basis, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-bits (basis, SP1, SP2) Windows Server 2008 R2 x64-gebaseerde Systems Edition (basis, SP1) | Itanium-gebaseerde Systems Edition (Base, SP1) Windows Vista Home Basic (basis, SP1, SP2) | Home Premium (Base, SP1, SP2) | Bedrijfsactiviteiten (Base, SP1, SP2) | Ondernemingen (Base, SP1, SP2) | Uiteindelijk (basis, SP1, SP2) | Home Basic x64 Edition (basis, SP1, SP2) | Home Premium x64 Edition (basis, SP1, SP2) | Business x64 Edition (Base, SP1, SP2) | Enterprise x64 Edition (Base, SP1, SP2) | Ultieme x64-editie (basis, SP1, SP2)
Verwante producten Cisco-software Cisco Broadband Troubleshooter Oorspronkelijke release (basis) | 3.1 (Basis) | 3.2 (Basis) Cisco Building Broadband Service Manager (BSM) Oorspronkelijke release (basis) | 2,5 (0,1) | 3,0 (basis) | 4,0 (Basis, 0,1) | 4.2 (Basis) | 4.3 (Basis) | 4.4 (Basis) | 4,5 (Basis) | 5,0 (basis) | 5.1 (Basis) | 5.2 (Basis) Cisco CNS-netwerkregistratieserver 2,5 (basis) | 3,0 (basis) | 3,5 (Basis, 0,1) | 5,0 (basis) | 5,5 (Basis, 0,13) | 6,0 (0,5, 0,5,2, 0,5,3, 0,5,4) | 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4) Cisco Collaboration Server voor dynamische contentadapter (DCA) Oorspronkelijke release (basis) | 1,0 (Basis) | 2.0 (Basis, (1)_SR2) Cisco Computer Telephony Integration optie (CTI) 4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) | 7,0 ((0)_SR1, (0)_SR2) | 7.1, leden 2, 3, 4 en 5 Cisco-vergaderverbinding 1.1 (3), (3)spA) | 1.2 (Basis, (1), (2), (2)SR1, (2)SR2) Cisco E-mailbeheer Oorspronkelijke release (basis) | 4,0 (Basis, .5i, .6) | 5.0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7) Cisco Noodrespons 1.1 (Basis, (3), (4)) | 1.2 (Basis, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) | 1.3 (Basis, 1a, 2) Cisco Intelligent Contact Manager (ICM) Oorspronkelijke release (basis) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) | 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 7.1, leden 2, 3, 4 en 5 Cisco Unified contactcenters Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1(1) , 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3)_SR1, 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) | Hosted Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) Cisco Unified IP IVR 2,0 (0,2) | 2,1 (0,1a, 0,2, 0,3) | 2.2 (5), .1, .2, .3b, .3b_spE, .5, .4) | 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4.0 ((1)_SR1, (4)_SR1) | 4.1 (1)_SR1) | 4.5 ((2)_SR1, (2)_SR2) | 5,0 ((1)_SR1) Cisco IP-interoperabiliteit en -samenwerkingssysteem (IPICS) 1,0 (1,1) Cisco IP-wachtrijbeheer 2.2 (Basis) Cisco IP/VC 3540 toepassingsservermodule 3,2 (0,0,1,138) | 3,5 (0,8) Cisco IP/VC 3540 snelheidsaanpassingsmodule 3,0 (,9) Cisco-mediaspeler Oorspronkelijke release (basis) | 3,0 (basis) | 4,0 (basis) | 5.0 (Basis, (0)_SR1, (0)_SR2) Cisco-netwerkservices voor Active Directory Oorspronkelijke release (basis) Cisco uitgaande optie Oorspronkelijke release (basis) Cisco Personal Assistant 1.0 (Basis, (1)) | 1.1 (Basis) | 1.3 (Basis, .1, .2, .3, .4) | 1,4 (Basis, .2, .3, .4, .5, .6) Optie voor Cisco Remote Monitoring Suite 1,0 (basis) | 2.0 (Basis, (0)_SR1) Cisco Secure Access Control Server (ACS) voor Windows 2.6 (Basis) | 2.6.3.2 (Basis) | 2.6.4 (Basis) | 2.6.4.4 (Basis) | 3,0 (basis) | 3.0.1 (Basis) | 3.0.1.40 (Basis) | 3.0.2 (Basis) | 3.0.3 (Basis) | 3.0.3.6 (basis) | 3.0.4 (Basis) | 3.1.1 (Basis) | 3.1.1.27 (basis) | 3.1.2 (Basis) | 3.2 (Basis) | 3.2.1 (Basis) | 3.2.3 (Basis) | 3.3.1 (Basis) | 3.3.2.2 (Basis) | 3.3.1.16 (basis) | 3.3.3.11 (basis) | 4,0 (basis) | 4.0.1 (Basis) | 4.0.1.27 (Basis) | 4.1.1.23 (basis) Cisco Secure Access Control Server Solution Engine (ACSE) 3.1 (Basis, .1) | 3.2 (Basis, .1.20, .2.5, .3) | 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) | 4.0 (Basis, .1, .1.42, .1.44, .1.49) | 4.1 (Basis, .1.23, .1.23.3, .3, .3.12) Cisco Secure User Registration Tool (PST) Oorspronkelijke release (basis) | 1,2 (Basis, 0,1) | 2,0 (Basis, 0,7, 0,8) | 2.5 (Basis, .1, .2, .3, .4, .5) Cisco SN 5420 opslagrouter 1.1 (Basis, .3, .4, .5, .7, .8) | 2,1 (0,1, 0,2) Cisco SN 5428-2 opslagrouter 3,2 (0,1, 0,2) | 3,3 (0,1, 0,2) | 3,4 (0,1) | 3.5 (Basis, .1, .2, .3, .4) Cisco-trailhead Oorspronkelijke release (basis) | 4,0 (basis) Cisco Unified Communications Manager Oorspronkelijke release (basis) | 1,0 (Basis) | 2,0 (basis) | 3,0 (basis) | 3.0.3 a) (basis) | 3.1 (Basis, .1, .2, .3a) | 3.1(1) (Basis) | 3.1(2) (Basis) | 3.1(2)SR3 (basis) | 3.1(3) (Basis) | 3.1(3)SR2 (Basis) | 3.1(3)SR4 (basis) | 3.2 (Basis) | 3.2(3)SR3 (basis) | 3.3 (Basis) | 3.3(2)SPc (basis) | 3.3(3) (Basis) | 3.3(3)ES61 (basis) | 3.3(3)SR3 (basis) | 3.3(3)SR4a (basis) | 3.3(3a) (Basis) | 3.3(4) (Basis) | 3.3(4)ES25 (Basis) | 3.3(4)SR2 (Basis) | 3.3(4c) (basis) | 3.3(5) (Basis) | 3.3(5)ES24 (Basis) | 3.3(5)SR1 (basis) | 3.3(5)SR1a (basis) | 3.3(5)SR2 (Basis) | 3.3(5)SR2a (basis) | 3.3(5)SR3 (basis) | 3.3(59) (basis) | 3.3(61) (basis) | 3.3(63) (Basis) | 3.3(64) (basis) | 3.3(65) (basis) | 3.3(66) (basis) | 3.3(67.5) (Basis) | 3.3(68.1) (Basis) | 3.3(71.0) (Basis) | 3.3(74.0) (Basis) | 3.3(78) (basis) | 3.3(76) (basis) | 4,0 (0,1, 0,2) | 4.0(2a)ES40 (basis) | 4.0(2a)ES56 (basis) | 4.0(2a)SR2b (basis) | 4.0(2a)SR2c (basis) | 4.1 (Basis) | 4.1(2) (Basis) | 4.1(2)ES33 (Basis) | 4.1(2)ES50 (basis) | 4.1(2)SR1 (Basis) | 4.1(3) (Basis) | 4.1(3)ES (basis) | 4.1(3)ES07 (basis) | 4.1(3)ES24 (Basis) | 4.1(3)SR (basis) | 4.1(3)SR1 (Basis) | 4.1(3)SR2 (Basis) | 4.1(3)SR3 (basis) | 4.1(3)SR3b (basis) | 4.1(3)SR3c (basis) | 4.1(3)SR4 (basis) | 4.1(3)SR4b (basis) | 4.1(3)SR4d (basis) | 4.1(3)SR5 (Basis) | 4.1(4) (Basis) | 4.1(9) (Basis) | 4.1(17) (Basis) | 4.1(19) (Basis) | 4.1(22) (Basis) | 4.1(23) (Basis) | 4.1(25) (Basis) | 4.1(26) (Basis) | 4.1(27.7) (Basis) | 4.1(28.2) (Basis) | 4.1(30.4) (Basis) | 4.1(36) (Basis) | 4.1(39) (Basis) | 4.2(1) (Basis) | 4.2(1)SR1b (basis) | 4.2(1.02) (Basis) | 4.2(1.05.3) (Basis) | 4.2(1.06) (Basis) | 4.2(1.07) (Basis) | 4.2(3) (Basis) | 4.2(3)SR1 (Basis) | 4.2(3)SR2 (Basis) | 4.2(3.08) (Basis) | 4.2(3.2.3) (Basis) | 4.2(3.3) (Basis) | 4.2(3.13) (Basis) | 4.3(1) (Basis) | 4.3(1)SR (basis) | 4.3(1.57) (Basis) Cisco Unified Customer Voice Portal (CVP) 3,0 ((0), (0)SR1, (0)SR2) | 3.1 (0), (0)SR1, (0)SR2) | 4,0 (0), (1), (1)SR1, (2) Cisco Unified MeetingPlace 4.3 (Basis) | 5.3 (Basis) | 5.2 (Basis) | 5.4 (Basis) | 6,0 (basis) Cisco Unified MeetingPlace Express 1.1 (Basis) | 1.2 (Basis) | 2,0 (basis) Cisco Unity Oorspronkelijke release (basis) | 2,0 (basis) | 2.1 (Basis) | 2.2 (Basis) | 2.3 (Basis) | 2,4 (Basis) | 2,46 (basis) | 3,0 (basis, 0,1) | 3.1 (Basis, .2, .3, .5, .6) | 3.2 (Basis) | 3.3 (Basis) | 4.0 (Basis, .1, .2, .3, .3b, .4, .5) | 4.1 (Basis, 0,1) | 4.2 (Basis, .1, .1 ES27) | 5,0 (1) | 7,0 (2) Cisco Unity Express 1.0.2 (Basis) | 1.1.1 (Basis) | 1.1.2 (Basis) | 2.0.1 (Basis) | 2.0.2 (Basis) | 2.1.1 (Basis) | 2.1.2 (Basis) | 2.1.3 (Basis) | 2.2.0 (Basis) | 2.2.1 (Basis) | 2.2.2 (Basis) | 2.3.0 (Basis) | 2.3.1 (Basis) Software voor Cisco Wireless Control System (WCS) 1,0 (basis) | 2,0 (basis, 44.14, 44.24) | 2,2 ( 0,0, 0,111,0) | 3,0 (Basis, 0,101,0, 0,105,0) | 3.1 (basis, 0,20,0, 33,0, 35,0) | 3.2 (Basis, 0,23,0, 0,25,0, 40,0, 0,51,0, 0,64,0) | 4.0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1 (Basis, 0,83,0) CiscoWorks IP-telefoniemilieumonitor (ITEM) 1.3 (Basis) | 1,4 (Basis) | 2,0 (basis) CiscoWorks LAN-beheeroplossing (LMS) 1.3 (Basis) | 2.2 (Basis) | 2,5 (Basis) | 2,6 (basis) CiscoWorks QoS Policy Manager (QPM) 2.0 (Basis, .1, .2, .3) | 2,1 (0,2) | 3,0 (basis, 0,1) | 3.1 (Basis) | 3.2 (Basis, .1, .2, .3) CiscoWorks Routed WAN-beheeroplossing (RWAN) 1,0 (basis) | 1.1 (Basis) | 1.2 (Basis) | 1,3 (Basis, 0,1) CiscoWorks Small Network Management-oplossing (SNMS) 1,0 (basis) | 1,5 (Basis) CiscoWorks VPN/Security Management Solution (VMS) 1,0 (basis) | 2,0 (basis) | 2.1 (Basis) | 2.2 (Basis) | 2.3 (Basis) Cisco Collaboration Server 3,0 (basis) | 3,01 (basis) | 3,02 (basis) | 4,0 (basis) | 5,0 (basis) Cisco DOCSIS CPE-configurator 1,0 (basis) | 1.1 (Basis) | 2,0 (basis) Cisco Unified IP Interactive Voice Response (IVR) 2.0 (Basis) | 2.1 (Basis) Cisco Service Control Engine 3,0 (basis) | 3.1 (Basis) Cisco Transport Manager Oorspronkelijke release (basis) | 2,0 (basis) | 2.1 (Basis) | 2,2 (Basis, 0,1) | 3,0 (Basis, .1, .2) | 3.1 (Basis) | 3.2 (Basis) | 4,0 (basis) | 4.1 (Basis, .4, .6, .6.6.1) | 4,6 (basis) | 4,7 (Basis) | 5.0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6,0 (basis, 0,405,1, 0,407,1, 0,412,1) | 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) | 7.2 (Basis, 0,199,1)
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten