-
Dit Toegepaste Matiging Bulletin is een begeleidend document bij de PSIRT Security Advisory Cisco Unified IP-telefoon Local Kernel System Call Input Validation Vulnerability en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
De Cisco Unified IP-telefoons 7900 Series, ook bekend als Cisco VPN-telefoons, bevatten een kwetsbaarheid voor invoervalidatie. Deze kwetsbaarheid is te wijten aan het falen om input goed te valideren die wordt doorgegeven aan kernel systeemaanroepen van toepassingen die in gebruikersruimte draaien. Zo'n aanval zou voortkomen uit een onbevoorrechte context. Een aanvaller zou dit probleem kunnen exploiteren door lokale toegang te verkrijgen via de AUX-poort aan de achterkant van het apparaat of door authenticatie aan het apparaat via SSH en het uitvoeren van een aanvaller-gecontroleerd binair systeem dat is ontworpen om het probleem te exploiteren. De SSH-methode wordt standaard uitgeschakeld op het apparaat zodra deze is geleverd door een Cisco Unified Call Manager.
De aanvalsvectoren voor exploitatie worden door de lokale console en pakketten gebruikt met de volgende protocollen en poorten:
- SSH met TCP-poort 22
- TFTP met willekeurige UDP-poorten groter dan 1023
Aan deze kwetsbaarheid is de identificatiecode CVE-2012-5445 voor gemeenschappelijke kwetsbaarheden en blootstellingen (Common Vulnerabilities and Exposations — CVE) toegekend.
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-uipphone.
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Een risicobeoordelings- en risicobeperkingsproces van een organisatie kan rekening houden met de volgende aspecten van de in dit document geschetste kwetsbaarheid:- Om succesvol te zijn, moet de SSH-verificatie plaatsvinden via het netwerk of de AUX-poort aan de achterkant van het apparaat.
- SSH is uitgeschakeld zodra de Cisco Unified IP-telefoon is geleverd.
- Na succesvolle verificatie aan de telefoon, moet de aanvaller proberen om de telefoon te dwingen om een kwaadaardig, niet ondertekend binair bestand te downloaden door het IP-adres van de legitieme TFTP-server te spoofen.
- Cisco Unified Communications Manager 8.0.1 en hoger ondertekent configuratiebestanden die standaard via TFTP naar telefoons worden verzonden en ondersteunt beveiliging voor codering van telefoonconfiguratiebestanden. De ondertekening en de encryptie van de dossiers van de apparatenconfiguratie verhinderen manipulatie of vervanging van de dossiers door een server of serverreactie van TFTP voor de gek te houden, omdat de cryptografische handtekening wordt geverifieerd alvorens de dossiers door een apparaat worden gebruikt.
De Cisco Unified Communications Manager kan met de volgende methoden een effectieve bescherming van de exploitatie bieden:
- De Cisco Unified IP-telefoon SSH-server uitschakelen
- Versleutelde configuratiebestanden voor telefoon configureren
Deze beschermingsmechanismen verhinderen consoletoegang, evenals verifiëren de integriteit en de geldigheid van configuratiedossiers die proberen om op de telefoons te lopen.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
- Toegangslijsten voor infrastructuur (iACL’s)
- VLAN-toegangslijsten (vACL’s)
- Unicast Reverse Path Forwarding (uRPF)
- DHCP-controle
- Dynamische ARP-inspectie (DAI)
- IP-bronbeveiliging
- 802.1x
Deze beschermingsmechanismen filteren en vallen, evenals verifiëren de bron-MAC- en IP-adressen van pakketten die deze kwetsbaarheid proberen te exploiteren.
De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.
De juiste inzet en configuratie van DAI biedt een effectieve bescherming tegen spoofingaanvallen op Layer 2. De implementatie van DAI vereist de implementatie van DHCP-spionage. DAI zal alle ARP-pakketten met ongeldige IP-naar-MAC-adresbanden laten vallen.
De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag
Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:
- Toegangscontrolelijsten voor douanevervoer (ACL’s)
- Unicast Reverse Path Forwarding (uRPF)
Deze beschermingsmechanismen filteren en laten vallen, en verifiëren het IP-adres van de bron van pakketten die deze kwetsbaarheid proberen te exploiteren.
-
Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco Unified Communications Manager
- Cisco IOS-routers en -Switches
- Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco Security Manager
Cisco Unified Communications Manager
Het beveiligen van de componenten in een Cisco Unified Communications System is noodzakelijk voor het beschermen van de integriteit en vertrouwelijkheid van spraakoproepen. Er zijn beveiligingsrichtlijnen die specifiek betrekking hebben op Unified Communications-technologie en het spraaknetwerk beschikbaar om beheerders te helpen hun Cisco Unified Communications-systemen beter te beveiligen. Deze security guideline resources omvatten:
- Cisco Unified Communications System 9.x/SRND - Unified Communications Security Appliance
- Cisco Unified Communications Manager security handleiding, release 8.6(1)
- Cisco IP-telefooncertificaten en beveiligde communicatie
Er zijn specifieke instellingen beschikbaar binnen Cisco Unified Communications Manager om de kwetsbaarheid te verminderen die in dit document wordt beschreven. De instellingen worden hieronder besproken.
Beperken: Schakel de pc-poort voor Cisco Unified IP-telefoon uit
Om onbevoegde toegang tot het netwerk van de organisatie te voorkomen, wordt beheerders aangeraden de pc-poort uit te schakelen op lobby, conferentieruimte en andere fysiek onbeveiligde Cisco Unified IP-telefoons. Beheerders kunnen de volgende stappen uitvoeren om de pc-poort uit te schakelen:
Stap 1: Kies Apparaat > Telefoon in de Cisco Unified Communications Manager-beheerinterface
Stap 2: Maak een lijst van de telefoons die de PC poort uitgeschakeld zouden moeten hebben met behulp van de juiste zoekcriteria en selecteer Zoeken
Stap 3: Selecteer de apparaatnaam om het venster Phone Configuration te openen
Stap 4: Zoek de PC-poort productspecifieke parameter
Stap 5: Selecteer Uitgeschakeld in de vervolgkeuzelijst voor de PC Port parameter
Stap 6: Selecteer Opslaan
Stap 7: Selecteer Reset
Aanvullende informatie over het uitschakelen van de pc-poort op Cisco Unified IP-telefoons kunt u vinden in de sectie Poortinstelling uitschakelen van het document van de Cisco Unified Communications Manager Security Guide.
Beperken: Schakel de Cisco Unified IP-telefoon SSH-server uit
Standaard is de Cisco Unified IP-telefoon SSH-server uitgeschakeld. Deze instelling dient te worden geverifieerd om pogingen voor externe toegang te voorkomen om de in dit document beschreven kwetsbaarheid te exploiteren. Beheerders kunnen de volgende stappen uitvoeren om de instelling te verifiëren:
Stap 1: Kies Apparaat > Telefoon in de Cisco Unified Communications Manager-beheerinterface
Stap 2: Maak een lijst van de telefoons die moeten worden geverifieerd met behulp van de juiste zoekcriteria en selecteer Zoeken
Stap 3: Selecteer de apparaatnaam om het venster Phone Configuration te openen
Stap 4: Zoek de SSH Access-productspecifieke parameter
Stap 5: Controleer dat Uitgeschakeld is geselecteerd in de vervolgkeuzelijst voor de SSH Access parameter
Aanvullende informatie over het uitschakelen van de SSH-server op Cisco Unified IP-telefoons is te vinden in de sectie SSH in- en uitschakelen van de beheershandleiding van Cisco Unified IP-telefoon 8961, 9951 en 9971 voor Cisco Unified Communications Manager.
Beperken: versleutelde telefoonconfiguratiebestanden configureren
De beheerders moeten encryptie van het de configuratiedossier van de Cisco Unified IP-telefoon vormen om privacy te verzekeren. De configuratiebestanden worden gedownload van de Unified Communications Manager TFTP-server. Het configureren van codering is ook een beperking van de kwetsbaarheid die in dit document wordt beschreven, omdat configuratiebestanden die niet zijn versleuteld, digitaal ondertekend en ontvangen van een geverifieerde bron, worden genegeerd en verwijderd.
Cisco Unified Communications Manager softwarerelease 8.0(1) en hoger biedt de mogelijkheid om configuratiebestanden voor de telefoon te ondertekenen en ondersteuning te bieden voor de standaardinstelling van coderingsbestanden voor telefoonconfiguratie. Aanvullende informatie over de standaardfuncties voor beveiliging is te vinden in de sectie Beveiliging per standaard van het document met de Cisco Unified Communications Manager Security Guide.
De stappen voor het configureren van versleutelde telefoonconfiguratiebestanden worden volledig afgedekt in de controlelijst Bestandsconfiguratie versleutelen. Aanvullende informatie over versleutelde telefoonconfiguratiebestanden vindt u in de secties Configuratie versleutelde telefoon configureren en Een telefoonbeveiligingsprofiel configureren van het document van de Cisco Unified Communications Manager Security Guide.
De beheerders kunnen de volgende stappen uitvoeren om de gecodeerde dossiers van de telefoonconfiguratie te verifiëren:
Stap 1: Kies in de Cisco Unified Communications Manager-beheerinterface Systeem > Beveiligingsprofiel > Beveiligingsprofiel via telefoon
Stap 2: Voer zoekcriteria in om de juiste record in de database te vinden en selecteer Zoeken
Stap 3: Selecteer de record die moet worden bekeken
Stap 4: Bepaal de plaats van de TFTP Versleuteld Config-beveiligingsprofielparameter
Stap 5: Controleer dat het aankruisvakje voor de parameter TFTP Encrypted Config is ingeschakeld
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor infrastructuur
Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen te minimaliseren, wordt beheerders aangeraden om lijsten met toegangscontroles voor de infrastructuur (iACL’s) te implementeren om beleidshandhaving uit te voeren van verkeer dat naar infrastructuurapparatuur wordt verzonden. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Cisco VLAN-technologie scheidt het fysieke netwerk in meerdere logische netwerken. Afzonderlijke spraak- en gegevens-VLAN’s worden om de volgende redenen aanbevolen:
- Behoud van adresruimte en bescherming van spraakapparaten tegen externe netwerken Privé-adressering van telefoons op de spraak of het hulpnetwerk VLAN zorgt voor adrebehoud en dat telefoons niet direct toegankelijk zijn via openbare netwerken. PC's en servers worden doorgaans geadresseerd met publiekelijk gerouteerde subnetadressen; spraak-endpoints kunnen echter worden geadresseerd met behulp van RFC 1918 privé-subnetadressen.
- QoS-vertrouwensuitbreiding (Quality of Service) voor spraakapparaten Cisco-switches kunnen IP-telefoons detecteren met Cisco Discovery Protocol en automatisch het QoS-vertrouwen uitbreiden naar de telefoonpoort op dynamische wijze.
- Bescherming tegen kwaadaardige netwerkaanvallen VLAN-toegangscontrole, 802.1Q- en 802.1p-tagging kunnen spraakapparaten beschermen tegen kwaadaardige interne en externe netwerkaanvallen zoals wormen, DoS-aanvallen (Denial of Service) en pogingen van gegevensapparaten om toegang te krijgen tot prioriteitswachtrijen door middel van pakkettagging.
- Eenvoudig beheer en configuratie Afzonderlijke VLAN’s voor spraak- en dataapparaten op de toegangslaag bieden beheergemak en vereenvoudigde QoS-configuratie.
In de onderstaande voorbeelden van iACL ontkennen toegangslijsten Infrastructuur-ACLdata-Policy en IPv6-Infrastructuur-ACLdata-Policy ongeautoriseerde SSH IPv4- en IPv6-pakketten op TCP-poort 22 en TFTP IPv4- en IPv6-pakketten op UDP-poorten boven 1023 die van het gegevensnetwerk naar getroffen apparaten op het spraaknetwerk worden verzonden. In de toegangslijsten Infrastructuur-ACLspraakbeleid en IPv6-Infrastructuur-ACLspraakbeleid worden onbevoegde RTP IPv4- en IPv6-pakketten op UDP-poorten boven 1023 geweigerd die van getroffen apparaten op het spraaknetwerk naar het gegevensnetwerk kunnen worden verzonden in een poging spraakcommunicatie te exfiltreren. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die wordt gebruikt door de betreffende apparaten op het spraaknetwerk, en interface Gigabit Ethernet0/0 is de interface met de kant van het gegevensnetwerk van een router die wordt geïmplementeerd tussen de gegevens- en spraaknetwerken. De interface Gigabit Ethernet0/1 is de interface die met de kant van het spraaknetwerk van de router wordt geconfronteerd die tussen de gegevens en spraaknetwerken wordt opgesteld. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.
Aanvullende informatie over iACL’s is te vinden in Protected Your Core: Infrastructure Protection Access Control Lists.
ip access-list extended Infrastructure-ACLdata-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !-- This includes softphones, web access to the phone (if allowed), !-- the Attendant Console or other applications communication end-points !-- that need access to the voice VLAN subnets ! permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 permit udp host 192.168.100.1 gt 1023 192.168.60.0 0.0.0.255 gt 1023 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! deny tcp any 192.168.60.0 0.0.0.255 eq 22 deny udp any 192.168.60.0 0.0.0.255 gt 1023 ! !-- Explicit deny ACE for traffic sent to addresses configured within !-- the infrastructure address space ! deny ip any 192.168.60.0 0.0.0.255 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! ! !-- Create the corresponding IPv6 iACL ! ipv6 access-list IPv6-Infrastructure-ACLdata-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !-- This includes softphones, web access to the phone (if allowed), !-- the Attendant Console or other applications communication end-points !-- that need access to the voice VLAN subnets ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 permit udp host 2001:DB8::100:1 gt 1023 2001:DB8:1:60::/64 gt 1023 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 22 deny udp any gt 1023 2001:DB8:1:60::/64 gt 1023 ! !-- Permit other required traffic to the infrastructure address !-- range and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic to the global !-- infrastructure address range !
deny ipv6 any 2001:DB8:1:60::/64 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic !-- in accordance with existing security policies and configurations ! ! !-- Apply iACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACLdata-Policy in ipv6 traffic-filter IPv6-Infrastructure-ACLdata-Policy inip access-list extended Infrastructure-ACLvoice-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !-- This includes softphones, web access to the phone (if allowed), !-- the Attendant Console or other applications communication end-points !-- that need access to the voice VLAN subnets ! permit udp 192.168.60.0 0 0.0.0.255 gt 1023 host 192.168.100.1 gt 1023 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! deny udp 192.168.60.0 0.0.0.255 gt 1023 any gt 1023 ! ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! ! !-- Create the corresponding IPv6 iACL ! ipv6 access-list IPv6-Infrastructure-ACLvoice-Policy ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !-- This includes softphones, web access to the phone (if allowed), !-- the Attendant Console or other applications communication end-points !-- that need access to the voice VLAN subnets ! permit udp 2001:DB8:60::/64 gt 1023 2001:DB8::100::1 gt 1023 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks to global and !-- link-local addresses ! deny udp 2001:DB8::60::/64 gt 1023 any gt 1023 ! !-- Permit other required traffic to the infrastructure address !-- range and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Permit or deny all other Layer 3 and Layer 4 traffic !-- in accordance with existing security policies and configurations ! ! !-- Apply iACLs to interfaces in the ingress direction ! interface GigabitEthernet0/1 ip access-group Infrastructure-ACLvoice-Policy in ipv6 traffic-filter IPv6-Infrastructure-ACLvoice-Policy in
Identificatie: Toegangscontrolelijsten voor infrastructuur
Nadat de beheerder iACL op een interface heeft toegepast, zal de opdracht IP-toegangslijsten tonen het aantal SSH-pakketten op TCP-poort 2 en TFTP-pakketten op UDP-poorten groter dan 1023 identificeren die zijn gefilterd op interfaces waarop iACL is toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten Infrastructuur-ACL-gegevens-Beleid volgt:
router#show ip access-lists Infrastructure-ACLdata-Policy Extended IP access list Infrastructure-ACLdata-Policy 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 20 permit udp host 192.168.100.1 gt 1023 192.168.60.0 0.0.0.255 gt 1023 30 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (11 matches) 40 deny udp any gt 1023 192.168.60.0 0.0.0.255 gt 1023 (43 matches) 50 deny ip any 192.168.60.0 0.0.0.255
router#In het vorige voorbeeld is de toegangslijst Infrastructuur-ACL-databeleid 11 SSH-pakketten op TCP-poort 22 voor regel 30 van de toegangscontrolelijst (ACE) gevallen en zijn 43 TFTP-pakketten op UDP-poorten groter dan 1023 voor regel 40 van de toegangscontrolelijst (ACE) gevallen.
Nadat de beheerder iACL op een interface heeft toegepast, zal de opdracht show ipv6 access-list IPv6-Infrastructure-ACLdata-Policy het aantal SSH-pakketten op TCP-poort 22 en TFTP-pakketten op UDP-poorten groter dan 1023 identificeren die zijn gefilterd op interfaces waarop iACL is toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten IPv6-Infrastructuur-ACLdata-Policy volgt:
router#show ipv6 access-list IPv6-Infrastructure-ACLdata-Policy IPv6 access list IPv6-Infrastructure-ACLdata-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 sequence 10 permit udp host 2001:DB8::100:1 gt 1023 2001:DB8:1:60::/64 gt 1023 sequence 20 deny tcp any 2001:DB8:1:60::/64 eq 22 (1240 matches) sequence 30 deny udp any gt 1023 2001:DB8:1:60::/64 gt 1023 (740 matches) sequence 40 permit icmp any any nd-ns sequence 50 permit icmp any any nd-na sequence 60 deny ipv6 any 2001:DB8:1:60::/64 sequence 70 router#
In het bovenstaande voorbeeld heeft de toegangslijst IPv6-Infrastructure-ACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
- 1240 IPv6-pakketten op TCP-poort 22 voor ACE-lijn 30
- 740 IPv6 TFTP-pakketten op UDP-poorten van meer dan 1023 voor ACE-lijn 40
Nadat de beheerder iACL op een interface toepast, zal de opdracht IP-toegangslijsten tonen het aantal RTP-pakketten op UDP-poorten groter dan 1023 identificeren die zijn gefilterd op interfaces waarop iACL wordt toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten Infrastructuur-ACL-spraak-Beleid volgt:
router#show ip access-lists Infrastructure-ACLvoice-Policy Extended IP access list Infrastructure-ACL-Policy 10 permit udp 192.168.60.0 0 0.0.0.255 gt 1023 host 192.168.100.1 gt 1023 20 deny udp 192.168.60.0 0.0.0.255 gt 1023 any gt 1023 (87 matches)
30 deny ip any 192.168.60.0 0.0.0.255
router#In het vorige voorbeeld heeft de toegangslijst Infrastructuur-ACL spraakbeleid 87 RTP-pakketten op UDP-poorten groter dan 1023 voor lijn 20 van de toegangscontrolelijst (ACE) laten vallen.
Nadat de beheerder iACL op een interface heeft toegepast, zal de opdracht ipv6-toegangslijsten tonen het aantal RTP-pakketten op UDP-poorten groter dan 1023 identificeren die zijn gefilterd op interfaces waarop iACL is toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ipv6 toegang-lijst IPv6-infrastructuur-ACLvoice-Policy volgt:
router#show ipv6 access-list IPv6-Infrastructure-ACLvoice-Policy IPv6 access list IPv6-Infrastructure-ACLvoice-Policy permit udp 2001:DB8:60::/64 gt 1023 2001:DB8::100::1 gt 1023 sequence 10 deny udp 2001:DB8::60::/64 gt 1023 any gt 1023 (52 matches) sequence 20 permit icmp any any nd-ns sequence 30 permit icmp any any nd-na sequence 40 deny ipv6 any 2001:DB8:1:60::/64 sequence 50 router#
In het vorige voorbeeld heeft de toegangslijst IPv6-Infrastructure-ACL Voice-Policy 52 RTP-pakketten op UDP-poorten groter dan 1023 voor regel 20 van de toegangscontrolelijst (ACE) laten vallen.
Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het Witboek Cisco Security Identifying Incidents Use Firewall en IOS Router Syslog Events.
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security white paper Embedded Event Manager in een security context biedt extra informatie over hoe u deze functie kunt gebruiken.
Beperking: VLAN-toegangscontrolelijsten (VACL’s)
Om het netwerk te beschermen tegen alle pakketten die binnen een VLAN worden overbrugd of die in of uit een VLAN worden gerouteerd, wordt beheerders aangeraden om VLAN-toegangscontrolelijsten (VACL’s) te implementeren om beleidshandhaving uit te voeren. Als u van plan bent een VACL te implementeren, moet u controleren welke poorten nodig zijn om de telefoons te laten functioneren met elke toepassing die wordt gebruikt in uw IP-telefonienetwerk. Normaal gesproken zou elke VACL worden toegepast op het VLAN dat de telefoons gebruiken, wat controle op de toegangshaven zou toestaan. De beheerders kunnen een VACL construeren door slechts geautoriseerd verkeer uitdrukkelijk toe te laten om binnen VLAN worden overbrugd of in of uit VLAN in overeenstemming met bestaand veiligheidsbeleid en configuraties worden gerouteerd. Een VACL-tijdelijke oplossing kan geen volledige bescherming bieden tegen kwetsbaarheden die een IPv4-netwerkaanvalsvector hebben wanneer de aanval afkomstig is van een vertrouwd bronadres.
N.B.: VACL’s verschillen van traditionele Cisco IOS ACL’s in die zin dat ze alleen van toepassing zijn op alle pakketten in plaats van op gerouteerde pakketten. Naast unicastverkeer zijn VACL’s ook van toepassing op multicast- en broadcast-verkeer; deze typen pakketten moeten worden verwerkt in de VACL-configuratie.
Het beleid VACL ontkent onbevoegde SSH-pakketten op TCP-poort 22 die worden verzonden naar getroffen apparaten binnen het spraak-VLAN (zoals het geval is wanneer een gecompromitteerd apparaat probeert SSH in een telefoon). In het volgende voorbeeld, 192.168.60.0/24 is de IP adresruimte die door de beïnvloede apparaten in VLAN 60 wordt gebruikt. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Er is aanvullende informatie over VACL’s beschikbaar in het hoofdstuk Configureerbare poortACL’s en VLAN ACL’s van de Catalyst 6500 release 12.2SRE en de latere documentatie voor softwareconfiguratie.
! !-- Create an access list policy that will be applied in a !-- VLAN access map that includes vulnerability-specific !-- access control entries (ACEs) that can aid in !-- identification of attacks ! ip access-list extended VACL-deny permit TCP any 192.168.60.0 0.0.0.255 eq 22 ! !-- Create an access list policy that will be applied !-- in a VLAN access map that permits all other !-- Layer 2 and Layer 3 traffic in accordance with !-- existing security polices and configurations. ! !-- Broadcast and multicast traffic must be accounted !-- for as well !-- !-- This access list policy could be implemented as an !-- explicit permit statement allowing all other IP traffic !-- as shown here ! ip access-list extended Permit-All permit ip any any ! !-- Define the VLAN access map that will be used to !-- perform policy enforcement (either permit or deny) !-- on the traffic matched by the previously defined !-- access control lists ! ! vlan access-map VACL 10 match ip address VACL-deny action drop ! vlan access-map VACL 20 match ip address Permit-All action forward ! !-- Apply the VACL policy to the VLAN or list of VLANs !-- to filter traffic (Note: The 'vlan-list' operator !-- is a single VLAN or comma separated list of VLANs) ! vlan filter VACL vlan-list 60 !
Opmerking: in het voorafgaande voorbeeld VACL resulteren de vermeldingen in de toegangscontrolelijst (ACE’s) die overeenkomen met de potentiële exploitatiepakketten met de verklaring van de vergunning in het feit dat deze pakketten worden verworpen door de verklaring van de VLAN-toegangskaart.
Identificatie: VLAN-toegangscontrolelijsten
Nadat de beheerder VACL op een VLAN of een lijst van VLAN’s heeft toegepast, zal de show tcam interface VLAN vlan-interface-number acl in ip opdracht het aantal pakketten identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. Voorbeeld uitvoer voor toon tcam interface vlan 60 acl in ip volgt:
Opmerking: een beheerder kan extra toegangscontrole invoerstatistieken zien met behulp van de show tcam interface vlan vlan-interface-nummer acl in ip detail opdracht.
switch#show tcam interface vlan 60 acl in ip * Global Defaults shared Entries from Bank 0 Entries from Bank 1 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (35 matches) permit ip any any (379 matches) switch#
In het voorafgaande voorbeeld, hebben de regels voor VACL beleid VACL 35 SSH-pakketten op TCP-poort 22 laten vallen.
Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security white paper Embedded Event Manager in een security context biedt extra informatie over hoe u deze functie kunt gebruiken.
Beperken: bescherming tegen spoofing
Beheerders kunnen de volgende spoofingbescherming gebruiken om te beschermen tegen gecompromitteerde apparaten die TFTP-serververkeer proberen te paren.
Unicast doorsturen van omgekeerde paden
De kwetsbaarheid die in dit document wordt beschreven, kan worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.
Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ip interface tonen, cef drop tonen, ip cef switching statistieken functie tonen, en ip traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.
Opmerking: beginnend met Cisco IOS-softwarerelease 12.4(20)T is de opdracht ip cef-switching vervangen door de functie IP cef-switching.
Opmerking: de opdracht show | begin met regex en toon opdracht | regex-opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.
router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router#
router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0
Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#In de bovenstaande show cef interface Gigabit Ethernet 0/0 intern, toon ip interface Gigabit Ethernet 0/0, toon cef drop, toon ip cef switching statistieken functie, en toon ip traffic voorbeelden, uRPF heeft laten vallen 18 IP pakketten globaal ontvangen op alle interfaces met uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren binnen de het door:sturen informatiebasis van Cisco Express Forwarding.
Aanvullende informatie vindt u in de Unicast Reverse Path Forwarding Losse Mode functiehandleiding.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security.
De functies voor beperking in dit document die tegen een Layer 2-aanval worden gebruikt, zijn DHCP-spionage en Dynamic ARP Inspection (DAI). Merk op dat het configureren van DHCP-snuffelen een voorwaarde is voor het configureren van DAI.
DHCP-controle
DHCP-snuffelen is een beveiligingsfunctie die DHCP-berichten onderschept die een switch doorkruisen en onbetrouwbare DHCP-aanbiedingen blokkeert. DHCP-spionage gebruikt het concept van vertrouwde en onvertrouwde poorten. Meestal worden vertrouwde poorten gebruikt om DHCP-servers of relay-agents te bereiken, terwijl onbetrouwbare poorten worden gebruikt om verbinding te maken met clients. Alle DHCP-berichten zijn toegestaan op vertrouwde poorten, terwijl alleen DHCP-clientberichten worden geaccepteerd op onvertrouwde poorten. Aangezien noch servers noch relay agents verondersteld worden verbinding te maken met onbetrouwbare poorten, worden serverberichten zoals DHCPOFFER, DHCPACK en DHCPNAK op onbetrouwbare poorten gedropt. Bovendien, DHCP-snuffelen bouwt en onderhoudt een MAC-to-IP bindende tabel die wordt gebruikt om DHCP-pakketten te valideren die worden ontvangen van onbetrouwbare poorten. De DHCP-snoopingbindende tabel bevat het MAC-adres, IP-adres, leasetijd in seconden en VLAN-poortinformatie voor de DHCP-clients op de niet-vertrouwde poorten van een switch. De informatie die in een DHCP-snuffelbindende tabel is opgenomen, wordt verwijderd uit de bindende tabel wanneer de leaseovereenkomst verloopt of DHCP-snuffelen is uitgeschakeld in het VLAN.
Gebruik de opdracht show ip dhcp snooping om de DHCP-snooping instellingen en de opdracht show ip dhcp snooping binding weer te geven om de bindingsitems die corresponderen met niet-vertrouwde poorten weer te geven.
Aanvullende informatie over de implementatie en configuratie van DHCP-snuffelen is te vinden in Configureren van DHCP-functies en IP Source Guard.
Dynamische ARP-inspectie (DAI)
De juiste inzet en configuratie van DAI biedt een effectieve bescherming tegen spoofingaanvallen op Layer 2. De implementatie van DAI vereist de implementatie van DHCP-spionage. DAI zal alle ARP-pakketten laten vallen met ongeldige IP-naar-MAC-adresbanden die de inspectie niet doorstaan.
DAI vertrouwt op de ingangen in het DHCP snooping bindende gegevensbestand om IP-aan-MAC adresbanden te verifiëren. Configureer elke beveiligde interface zoals vertrouwd met de configuratieopdracht van de IP-arp inspectie trust. De vertrouwde interfaces omzeilen de ARP-inspectie validatiecontroles en alle andere pakketten zijn onderworpen aan inspectie wanneer ze op onbetrouwbare interfaces aankomen. Het volgende voorbeeld toont hoe te om een interface te vormen zoals vertrouwd op en hoe te om DAI voor VLANs 5 door 10 toe te laten.
Voorbeeld DAI-configuratie:
Switch(config)#interface GigabitEthernet 1/0/1 Switch(config-if)#ip arp inspection trust Switch(config)#ip arp inspection vlan 5-10
IP-bronbeveiliging
IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheid die in dit document wordt beschreven.
De functie IP Source Guard is ingeschakeld in combinatie met de DHCP-snuffelfunctie op Layer 2-interfaces, inclusief toegangs- en trunkpoorten.
Configuratie-voorbeeld van IP-bronbeveiligingSwitch(config)#interface GigabitEthernet 1/0/1 Switch(config-if)#ip verify source port-security
Het voorbeeld hierboven laat zien hoe u de IPSG met dynamische bron-IP en MAC-adresfiltering inschakelt.
Gebruik de opdracht IP verify-bron om de IPSG-configuratie en de opdracht IP-bronbinding tonen om de IP-bronbindingen op de switch weer te geven.
Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.
Op identiteit gebaseerde netwerken met IEEE 802.1X-Enabled netwerken
IEEE 802.1x is een protocolstandaardkader voor bekabelde en draadloze LAN’s dat gebruikers of netwerkapparaten authenticeert en beleidsafdwingingsfuncties op poortniveau biedt om beveiligde netwerktoegangscontrole te bieden. De IEEE 802.1x-standaard, in combinatie met de mogelijkheid van netwerkapparaten om te communiceren via bestaande protocollen zoals EAP en RADIUS, biedt verbeterde beveiliging en controle van de toegang tot netwerksegmenten en resources door de identiteit van een netwerkverbonden entiteit te koppelen aan een corresponderende reeks beleidsregels.
Aanvullende informatie over de implementatie en configuratie van 802.1x vindt u in de Identity-Based Networking Services: IP-telefonie in de Implementatie- en configuratiehandleiding voor IEEE 802.1X-Enabled Networks.
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches die verkeer doorsturen tussen de data- en spraaknetwerken als hulp bij de identificatie van IPv4-verkeersstromen die pogingen kunnen zijn om deze kwetsbaarheid te exploiteren door een apparaat op het datanetwerk of gegevensstromen die zijn gegenereerd door een gecompromitteerde spraaknetwerktelefoon. Beheerders wordt aangeraden om deze stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheden te exploiteren of dat ze legitieme verkeersstromen zijn.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1023 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.60.10 Gi0/1 192.168.60.102 11 1785 1941 12 Gi0/1 192.168.60.28 Gi0/0 192.168.13.97 11 1B3E 2A53 5391 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 2B89 0016 45 Gi0/1 192.168.60.158 Gi0/0 192.168.11.54 06 0911 3628 1612 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 router#
In het bovenstaande voorbeeld kunnen we stromen zien met
- 12 pakketten op hoge UDP-poorten (hexadecimale waarden 1785 en 1941) van 192.168.60.10 bestemd voor 192.168.60.102. Als dit twee telefoonendpoints zijn die naar verwachting via UDP hoge poorten zullen communiceren (d.w.z. RTP-spraakstromen), dan kunnen dit legitieme transacties zijn.
- 5391 pakketten op hoge UDP-poorten (hexadecimale waarden 1B3E en 2A53) van 192.168.60.28 bestemd voor 192.168.13.97. Als 192.168.13.97 geen TFTP-server of spraakeindpunt of gateway is die naar verwachting met telefoon 192.168.60.28 zal communiceren, dan kan dit een poging zijn om deze kwetsbaarheid te exploiteren door een TFTP-transactie te spoofen om gegevens te exfiltreren van een gecompromitteerde telefoon (192.168.60.28). Er zal nader onderzoek nodig zijn.
- 45 SSH-pakketten op TCP-poort 22 (hex-waarde 0016) tussen 192.168.10.17 en telefoon 192.168.60.97. Als 192.168.10.17 niet wordt verwacht om telefoon 192.168.60.97 via SSH te beheren, dan zou dit een poging kunnen zijn om deze kwetsbaarheid te exploiteren. Er zal nader onderzoek nodig zijn.
- 1612 pakketten hoge TCP poort (hexadecimale waarden 0911 en 3628) tussen 192.168.60.158 en 192.168.11.54. Als 192.168.11.54 geen spraakeindpunt of gateway is die naar verwachting met telefoon 192.168.60.158 zal communiceren via deze hoge TCP-poorten, dan kan de telefoon gecompromitteerd zijn en kan hij proberen gegevens te extraheren. Er zal nader onderzoek nodig zijn.
Legitieme TFTP-gegevensverkeer dat van de gegevens naar het spraaknetwerk wordt verzonden, is afkomstig van het IP-adres van de vertrouwde spraak-TFTP-server en wordt naar adressen binnen het 192.168.60.0/24-adresblok verzonden, dat door de betrokken apparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheid te exploiteren. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor netwerkverkeer te vergelijken dat van de gegevens naar stemnetwerken wordt verzonden en ook de stromen te onderzoeken om te bepalen of zij van onbetrouwbare gastheren of netwerken afkomstig zijn.
Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 16) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_06_.*0016 opdracht om de verwante Cisco NetFlow-records weer te geven:
router#show ip cache flow | include SrcIf|_06_.*0016 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 2B89 0016 45 router#
Zoals in het volgende voorbeeld wordt getoond, om alleen pakkettransacties te bekijken waarbij telefoonadressen worden gebruikt, toont ip cachestroom | inclusief Src_if|192.168.60 opdracht om de verwante Cisco NetFlow-records weer te geven:
router#show ip cache flow | include Src_If|192.168.60 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.60.10 Gi0/1 192.168.60.102 11 1785 1941 12 Gi0/1 192.168.60.28 Gi0/0 192.168.13.97 11 1B3E 2A53 5391 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 2B89 0016 45 Gi0/1 192.168.60.158 Gi0/0 192.168.11.54 06 0911 3628 1612 router#
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden geprobeerd om te profiteren van de kwetsbaarheden die in dit document worden beschreven. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheid te exploiteren of dat ze legitieme verkeersstromen zijn.
De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512 544 576 1023 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added
SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...128::201 Gi0/0 2001:DB..128::20 Gi0/1 0x11 0x16C4 0x13C4 12 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 841 2001:DB...128::10 Gi0/1 1445:DB...17::121 Gi0/0 0x11 0x4281 0x4510 5101 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...128::15 Gi0/1 3411:DB...22::44 Gi0/0 0x10 0x4281 0x0016 6814 2001:DB...6A::15B Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x134A 1597 2001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1092
Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
In het bovenstaande voorbeeld kunnen we stromen zien met
- 12 pakketten op hoge UDP-poorten (hex-waarden 16C4 en 13C4) van 2001:DB8:1:60:128:201 bestemd voor 2001:DB8:1:60:128:20. Als dit twee telefoonendpoints zijn die naar verwachting via hoge UDP-poorten zullen communiceren (d.w.z. RTP-spraakstromen), dan kunnen dit legitieme transacties zijn.
- 5101 pakketten op hoge UDP-poorten (hexadecimale waarden 1B3E en 2A53) van 2001:DB8:1:60:128:10 bestemd voor 2001:DB8:17:121. Als 2001:DB8:17:121 geen TFTP-server is of een spraak-eindpunt of gateway die naar verwachting zal communiceren met telefoon 2001:DB8:1:60:128:10, dan zou dit een poging kunnen zijn om deze kwetsbaarheid te exploiteren door een TFTP-transactie te spoofen om gegevens te exfiltreren van een gecompromitteerde telefoon (2001:DB8:1:60:128:10). Er zal nader onderzoek nodig zijn.
- 6814 SSH-pakketten op TCP-poort 22 (hex-waarde 0016) tussen 2001:DB8:1:128:15 en telefoon 2001:DB8:1:60:22:44. Indien 2001:DB8:1:128:15 naar verwachting geen telefoon 2001:DB8:1:60:22:44 via SSH zal beheren, dan zou dit een poging kunnen zijn om deze kwetsbaarheid te exploiteren. Er zal nader onderzoek nodig zijn.
- 1597 pakketten op hoge TCP poort (hexadecimale waarden 160A en 134A) tussen 2001:DB8:1:60:6A::15B en 2001:DB8:3:128:2. Als 2001:DB8:3:128::2 geen spraakeindpunt of gateway is die naar verwachting zal communiceren met telefoon 2001:DB8:1:60:6A::15B via deze hoge TCP-poorten, dan kan de telefoon gecompromitteerd zijn en proberen gegevens te extraheren. Er zal nader onderzoek nodig zijn.
De lezer moet opmerken dat legitiem TFTP-dataverkeer dat van de gegevens naar het spraaknetwerk wordt verzonden, afkomstig is van het IP-adres van de vertrouwde spraak-TFTP-server en naar adressen binnen het adresblok 2001:DB8:1:60::/64 wordt verzonden, dat door getroffen apparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheid te exploiteren. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor netwerkverkeer te vergelijken dat van de gegevens naar stemnetwerken wordt verzonden en ook de stromen te onderzoeken om te bepalen of zij van onbetrouwbare gastheren of netwerken afkomstig zijn.
Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 16) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_06_.*0016 opdracht om de verwante Cisco NetFlow-records weer te geven:
router#show ip cache flow | include SrcIf|_06_.*0016 SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...128::15 Gi0/1 3411:DB...22::44 Gi0/0 0x10 0x4281 0x0016 6814 router#
Zoals in het volgende voorbeeld wordt getoond, om alleen pakkettransacties te bekijken waarbij telefoonadressen worden gebruikt, toont ip cachestroom | inclusief Src_if|2001:DB8:1:60 opdracht om de verwante Cisco NetFlow-records weer te geven:
router#show ip cache flow | include Src_If|2001:DB8:1:60 SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...128::201 Gi0/0 2001:DB..128::20 Gi0/1 0x11 0x16C4 0x13C4 12 2001:DB...128::10 Gi0/1 1445:DB...17::121 Gi0/0 0x11 0x4281 0x4510 5101 2001:DB...128::15 Gi0/1 3411:DB...22::44 Gi0/0 0x10 0x4281 0x0016 6814 2001:DB...6A::15B Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x134A 1597
Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow
Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot ============== ============= ============= ============= ========== =========== ==== ======= 192.168.60.10 192.168.60.201 1456 7631 Gi0/0 Gi0/1 1128 17 192.168.60.28 192.168.13.97 8123 33112 Gi0/0 Gi0/1 5391 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.10.17 192.168.60.97 1289 22 Gi0/0 Gi0/1 45 6 192.168.60.158 192.168.11.54 32211 3628 Gi0/0 Gi0/1 1612 6
Om alleen de SSH-stromen te bekijken op TCP poort 22, gebruik de show flow monitor FLOW-MONITOR-ipv4 cache formaat tabel | IPV4 DST ADDR |_22_.*_6_ opdracht om de gerelateerde NetFlow-records weer te geven.
Om slechts pakkettransacties te bekijken die telefoonadressen impliceren gebruik de stroom van het showip geheim voorgeheugen | inclusief Src_if|192.168.60 opdracht om de verwante Cisco NetFlow-records weer te geven.
Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15.1M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 ipv6 src addr ipv6 dst addr trns src prt trns dst prt intf inpt intf outpt pkts ip prot ================ =============== ============ ============ ========= ========== ==== ======= 2001:DB...128::201 2001:DB..128::20 Gi0/0 Gi0/1 21345 12134 222 17 2001:DB...6A:5BA6 2001:DB...28::21 Gi0/0 Gi0/1 12134 23 841 6 2001:DB...128::10 20015:DB...17::121 Gi0/1 Gi0/0 23254 45234 56 17 2001:DB...6A:5BA6 2001:DB...134::3 Gi0/0 Gi0/1 1231 53 135 17 2001:DB...128::15 2001:DB...22::44 Gi0/1 Gi0/0 4234 22 234 6 2001:DB...6A::15B 2001:DB...128::2 Gi0/0 Gi0/1 21431 12134 843 6 2001:DB...6A:5BA6 2001:DB...146::3 Gi0/0 Gi0/1 48212 121 1092 17 To permit display of the full 128-bit IPv6 address, use the terminal width 132 exec mode command.
Als u alleen de SSH-stromen op TCP-poort 2 wilt weergeven, gebruikt u de tabel met het cacheformaat FLOW-MONITOR-IPV6-cachegeheugen voor de monitor | de opdracht IPV6 DST ADR.|_22_.*_6_ te omvatten om de verwante Cisco IOS flexibele NetFlow-records weer te geven.
Om slechts pakkettransacties te bekijken die het gebruik van telefoonadressen impliceren toon ip cachestroom | includeSrc_if|2001:DB8:1:60 opdracht om de verwante Cisco NetFlow-records weer te geven.
Cisco ASA en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
De eerste toegangslijsten tACL-Policy-Data en IPv6-tACL-Policy-Data ontkennen onbevoegde SSH IPv4- en IPv6-pakketten op TCP-poorten 22 en TFTP IPv4- en IPv6-pakketten op UDP-poorten groter dan 1023 die van het gegevensnetwerk naar getroffen apparaten op het spraaknetwerk worden verzonden. De tweede toegangslijsten tACL-Policy-Voice en IPv6-tACL-Policy-Voice ontkennen onbevoegde RTP IPv4- en IPv6-pakketten op UDP-poorten groter dan 1023 die van getroffen apparaten op het spraaknetwerk naar het gegevensnetwerk worden verzonden en die een poging kunnen zijn om spraakcommunicatie te exfiltreren. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die wordt gebruikt door de betreffende apparaten op het spraaknetwerk, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports !-- This includes softphones and other communication end-points !-- deployed on the data network
!
access-list tACL-Policy-Data extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy-Data extended permit udp host 192.168.100.1 gt 1023 192.168.60.0 255.255.255.0 gt 1023 !
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
access-list tACL-Policy-Data extended deny tcp any 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy-Data extended deny udp any gt 1023 192.168.60.0 255.255.255.0 gt 1023 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!
access-list tACL-Policy-Data extended deny ip any any !
!-- Create the corresponding IPv6 tACL
! !
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports !-- This includes softphones and other communication end-points !-- deployed on the data network
! ipv6 access-list IPv6-tACL-Policy-Data permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 ipv6 access-list IPv6-tACL-Policy-Data permit udp host 2001:DB8::100:1 gt 1023 2001:DB8:1:60::/64 gt 1023
!
!-- The following vulnerability-specific ACEs can
!-- aid in identification of attacks to global and
!-- link-local addresses
! ipv6 access-list IPv6-tACL-Policy-Data deny tcp any 2001:DB8:1:60::/64 eq 22 ipv6 access-list IPv6-tACL-Policy-Data deny udp any gt 1023 2001:DB8:1:60::/64 gt 1023
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and configurations
!
!-- Explicit deny for all other IPv6 traffic
!
ipv6 access-list IPv6-tACL-Policy-Data deny ip any any !
!
!-- Apply tACLs to interfaces in the ingress direction
! access-group tACL-Policy-Data in interface outside access-group IPv6-tACL-Policy-Data in interface outside
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports
!-- This includes softphones and other communication end-points !-- deployed on the data network.
! access-list tACL-Policy-Voice permit udp 192.168.60.0 255.255.255.0 gt 1023 host 192.168.100.1 gt 1023 !
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
! access-list tACL-Policy-Voice deny udp 192.168.60.0 255.255.255.0 gt 1023 any gt 1023 !
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!
access-list tACL-Policy-Voice deny ip any any !
!-- Create the corresponding IPv6 tACL
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports !-- This includes softphones and other communication end-points !-- deployed on the data network
! ipv6 access-list IPv6-tACL-Policy-Voice permit udp 2001:DB8:60::/64 gt 1023 host 2001:DB8:1:100::1 gt 1023
!
!-- The following vulnerability-specific ACEs can
!-- aid in identification of attacks to global and
!-- link-local addresses
! ipv6 access-list IPv6-tACL-Policy-Voice deny udp 2001:DB8:60::/64 gt 1023 any gt 1023
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and configurations
!
!-- Explicit deny for all other IPv6 traffic
!
ipv6 access-list IPv6-tACL-Policy-Voice deny ip any any !
!-- Apply tACLs to interfaces in the ingress direction! access-group tACL-Policy-Voice in interface inside access-group IPv6-tACL-Policy-Voice in interface inside
Identificatie: Vastlegging toegangslijst
Nadat de tACL’s zijn toegepast op een interface, kunnen beheerders de IP-toegangslijsten van de show gebruiken om het aantal SSH IPv4- en IPv6-pakketten op TCP-poorten 22 en TFTP IPv4- en IPv6-pakketten op UDP-poorten groter dan 1023 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten tACL-Policy-Data en toont toegang-lijst IPv6-tACL-Policy-Data volgt:
Firewall#show ip access-lists tACL-Policy-Data access-list tACL-Policy-Data; 5 elements; name hash: 0x47502853 access-list tACL-Policy-Data line 1 extended permit tcp host 192.168.100.1 gt 1023 192.168.60.0 0.0.0.255 eq 22 access-list tACL-Policy-Data line 2 extended permit udp host 192.168.100.1 gt 1023 192.168.60.0 0.0.0.255 gt 1023 access-list tACL-Policy-Data line 3 extended deny tcp any 192.168.60.0 0.0.0.255 eq 22 (hitcnt=57) access-list tACL-Policy-Data line 4 extended deny udp any gt 1023 192.168.60.0 0.0.0.255 gt 1023 (hitcnt=40) access-list tACL-Policy-Data line 5 extended deny ip any any Firewall#
In het voorafgaande voorbeeld, heeft de toegangslijst aan ACL-Policy-Data de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk worden ontvangen verbroken:
- 57 SSH-pakketten op TCP-poort 22 voor ACE-lijn 3
- 40 TFTP-pakketten op UDP-poorten die groter zijn dan 1023 voor ACE-lijn 4
Firewall#show ipv6 access-list IPv6-tACL-Policy-Data ipv6 access-list IPv6-tACL-Policy-Data; 5 elements; name hash: 0x342aba4c Ipv6 access-list IPv6-tACL-Policy-Data line 1 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 (hitcnt=55) Ipv6 access-list IPv6-tACL-Policy-Data line 2 permit udp host 2001:DB8::100:1 gt 1023 2001:DB8:1:60::/64 gt 1023 (hitcnt=38) Ipv6 access-list IPv6-tACL-Policy-Data line 3 deny tcp any 2001:DB8:1:60::/64 eq 22 (hitcnt=18) Ipv6 access-list IPv6-tACL-Policy-Data line 4 deny udp any gt 1023 2001:DB8:1:60::/64 gt 1023 (hitcnt=21) Ipv6 access-list IPv6-tACL-Policy-Data line 5 deny ip any any (hitcnt=21)
In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy-Data de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:
- 18 SSH-pakketten op TCP-poort 22 voor ACE-lijn 3
- 21 TFTP-pakketten op TCP-poorten groter dan 1023 voor ACE-lijn 4
Firewall#show access-list tACL-Policy-Voice access-list tACL-Policy-Voice; 3 elements; name hash: 0xef0bf5e access-list tACL-Policy-Voice line 1 extended permit udp 192.168.60.0 255.255.255.0 gt 1023 host 192.168.100.1 gt 1023 (hitcnt=0) access-list tACL-Policy-Voice line 2 extended deny udp 192.168.60.0 255.255.255.0 gt 1023 any gt 1023 (hitcnt=29) access-list tACL-Policy-Voice line 3 extended deny ip any any (hitcnt=0) Firewall#
In het bovenstaande voorbeeld heeft de toegangslijst IPv6-tACL-Policy-Voice de volgende pakketten die van een onbetrouwbare host of netwerk zijn ontvangen, verbroken:
- 29 RTP-pakketten op UDP-poorten groter dan 1023 voor ACE-lijn 2
Firewall#router#show ipv6 access-list IPv6-tACL-Policy-Voice ipv6 access-list IPv6-tACL-Policy-Voice line 1 permit udp 2001:db8:60::/64 gt 1023 host 2001:db8:1:100::1 gt 1023 (hitcnt=0) ipv6 access-list IPv6-tACL-Policy-Voice line 2 deny udp 2001:db8:60::/64 gt 1023 any gt 1023 (hitcnt=44) ipv6 access-list IPv6-tACL-Policy-Voice line 3 deny ip any any (hitcnt=0)
In het bovenstaande voorbeeld heeft de toegangslijst IPv6-tACL-Policy-Voice de volgende pakketten die van een onbetrouwbare host of netwerk zijn ontvangen, verbroken:
- 44 RTP-pakketten op UDP-poorten groter dan 1023 voor ACE-lijn 2
Identificatie: berichten in Firewall Access List System
Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106023 Jan 09 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 dst inside:192.168.60.191/6281 by access-group "tACL-Policy-Data" Jan 09 2013 00:15:13: %ASA-4-106023: Deny udp src inside:192.168.60.33/5298 dst outside:192.0.2.200/2834 by access-group "tACL-Policy-Voice" Jan 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:2::2:172/2951 dst inside:2001:db8:1:60::23/22 by access-group "IPv6-tACL-Policy-Data" Jan 09 2013 00:15:13: %ASA-4-106023: Deny udp src inside:2001:db8:1:60::134/7528 dst outside:2001:db8:d::a85e:172/4752 by access-group "IPv6-tACL-Policy-Voice" firewall#
Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.
Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding
De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en de Unicast Reverse Path Forwarding Cisco Security White Paper te begrijpen.
Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Firewallsyslog-bericht 106021 wordt gegenereerd voor pakketten die worden geweigerd door uRPF. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106021.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106021 Jan 09 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.99 on interface outside Jan 09 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.99 on interface outside Jan 09 2013 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.99 on interface outside
De opdracht Snel zetten kan ook het aantal pakketten identificeren dat de uRPF-functie is kwijtgeraakt, zoals in het volgende voorbeeld:
firewall#show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#
In het voorafgaande voorbeeld, uRPF 11 IP pakketten gedaald die op interfaces met uRPF gevormd worden ontvangen. Het ontbreken van uitvoer geeft aan dat de uRPF-functie in de firewall geen pakketten heeft laten vallen.
Voor extra informatie over het debuggen van versnelde security pad gedropte pakketten of verbindingen, verwijzen we naar de Cisco Security Appliance Command Reference voor show asp drop.
Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager, gebeurtenisviewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.
Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.
- Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Gebruik het gebeurtenisfilter Bestemming Service om objecten te filteren die TCP-poort 2 en UDP-poorten 1023 - 65535 bevatten
Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- ASA 5500-40-106021 (uRPF-spoofing)
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:
- ASA 5500-40-106021 (uRPF-spoofing)
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 1 Eerste vrijgave 2013-januari-09 16:01 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco Unified IP-telefoon 7906G 7,2 | 8.0 (3), (4), (4)SR1, (4)SR2, (4)SR3A | 8.2 (1), (2) SR1, (2) SR2, (2) SR4, (2) SR3) | 8.3 (1), (2), (2) SR1, (2) SR2, (2) SR3, (2) SR4, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7911G 7.2 (1), (2)SR2, (3)) | 8.0 (1), (2)SR2, (3), (4)SR1, (4)SR2, (4)SR3A | 8.2 (1), (2) SR1, (2) SR2, (2) SR3, (2) SR4) | 8.3 (1), (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7931G 8.3 (1), (2), (2)SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7941G 7,0 (2), (2)SR1, (3) | 8.0 (1), (2)SR1, (3), (4), SR1, (4)SR2, (4)SR3A | 8.2 (1), (2) SR1, (2) SR2, (2) SR3, (2) SR4) | 8.3 (1), (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7942G 8.3 (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7945G 8.3 (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7961G 7,0 (2), (2) SR1, (3) | 8.0 (1), (2)SR1, (3), (4)SR1, (4)SR2, (4)SR3A | 8.2 (1), (2) SR1, (2) SR2, (2) SR3, (2) SR4) | 8.3 (1), (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7962G 8.3 (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7965G 8.3 (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7970G 5,0 (1, 3) | 6.0 (1), (1)SR1, (2), (2)SR1, (3)SR1) | 7,0 (1), (2), (2)SR1, (3) | 8.0 (1), (2)SR1, (3), (4)SR1, (4)SR2, (4)SR3A | 8.3 (1), (2), (2) SR1, (3), (3) SR2) | 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7971G-GE 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7961G-GE 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7941G-GE 9.0 (9.0(2)SR1, 9.0(2)SR2, 9.0(3), 9.1(1)SR1, 9.2(1)) Cisco Unified IP-telefoon 7975G 8.3(2) (Basis, SR1) | 8.3(3) (Basis, SR2) | 8.3(4) (Basis, SR1) | 8.3(5) (Basis) | 8.4(1) (Basis, SR1, SR2) | 8.4(2) (Basis) | 8.4(3) (Basis) | 8.4(4) (Basis) | 8.5(2) (Basis, SR1) | 8.5(3) (Basis, SR1) | 8.5(4) (Basis) | 9.0(2) (Basis, SR1, SR2) | 9.0(3) (Basis) | 9.1(1) (Basis, SR1) | 9.2(1) (Base, SR2) | 9.2(3) (Basis) | 9.3(1) (Basis, SR1)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten