-
Dit Toegepaste Matiging Bulletin is een begeleidend document aan de volgende PSIRT Security Advisories:
- Meervoudige kwetsbaarheden in Cisco e-mail security applicatie
- Meervoudige kwetsbaarheden in Cisco Content Security Management-applicatie
- Meervoudige kwetsbaarheden in Cisco Web Security applicatie
Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
Er zijn meerdere kwetsbaarheden in Cisco e-mail security applicatie. De volgende subsecties vatten deze kwetsbaarheden samen:
Web Framework Authenticated Command Injection Vulnerability: Deze kwetsbaarheid kan op afstand worden geëxploiteerd met verificatie en vereist interactie met de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid zou de uitvoering van willekeurige codes kunnen toestaan.
De aanvalsvectoren voor exploitatie worden via IPv4- en IPv6-pakketten gebruikt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 80
- HTTPS met TCP-poort 443
Aan deze kwetsbaarheid is de code CVE-2013-3384 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Kwetsbaarheid van de Ontkenning van de Dienst van IronPort Spam: Deze kwetsbaarheid kan op afstand zonder authentificatie en zonder eindgebruikersinteractie worden geëxploiteerd. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4- en IPv6-pakketten gebruikt met behulp van de volgende protocollen en poorten:
- TCP-poort 82
- TCP-poort 83
Aan deze kwetsbaarheid is de code CVE-2013-3386 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Kwetsbaarheid in beheer-GUI ontkenning van service: deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder verificatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4- en IPv6-pakketten gebruikt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 80
- HTTPS met TCP-poort 443
Aan deze kwetsbaarheid is de code CVE-2013-3385 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Er zijn meerdere kwetsbaarheden in Cisco Content Security Management-applicatie. De volgende subsecties vatten deze kwetsbaarheden samen:
Web Framework Authenticated Command Injection Vulnerability: Deze kwetsbaarheid kan op afstand worden geëxploiteerd met verificatie en met interactie met de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid zou de uitvoering van willekeurige codes kunnen toestaan.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 80
- HTTPS met TCP-poort 443
Aan deze kwetsbaarheid is de code CVE-2013-3384 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Kwetsbaarheid van de Ontkenning van de Dienst van IronPort Spam: Deze kwetsbaarheid kan op afstand zonder authentificatie en zonder eindgebruikersinteractie worden geëxploiteerd. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- TCP-poort 82
- TCP-poort 83
Aan deze kwetsbaarheid is de code CVE-2013-3386 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Kwetsbaarheid in beheer-GUI ontkenning van service: deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder verificatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 80
- HTTPS met TCP-poort 443
Aan deze kwetsbaarheid is de code CVE-2013-3385 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Er zijn meerdere kwetsbaarheden in Cisco Web Security Applicatie. De volgende subsecties vatten deze kwetsbaarheden samen:
Verified Command Injection Vulnerabilities: Deze kwetsbaarheden kunnen op afstand worden benut met verificatie en met interactie van de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheden zou de uitvoering van willekeurige codes kunnen toestaan.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 8080
- HTTPS met TCP-poort 8443
Aan deze kwetsbaarheden zijn de gemeenschappelijke identificatoren voor kwetsbaarheden en blootstellingen (CVE) CVE-2013-3383 en CVE-2013-3384 toegekend.
Kwetsbaarheid in beheer-GUI ontkenning van service: deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder verificatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- HTTP met TCP-poort 8080
- HTTPS met TCP-poort 8443
Aan deze kwetsbaarheid is de code CVE-2013-3385 van de Common Vulnerabilities and Exposations (CVE) toegekend.
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisories, die beschikbaar zijn via de volgende koppelingen:
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van transittoegangscontrolelijsten (tACL’s).
Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheden te exploiteren.
Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die tACL’s gebruiken.
Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.
De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.
-
Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco IOS-routers en -Switches
- Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco Security Manager
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde HTTP- en HTTPS-poorten 80 en 443, samen met TCP-poorten 82, 83, 8080 en 8443 via IPv4- en IPv6-pakketten die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 80 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 82 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 83 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 443 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8080
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 80 deny tcp any 2001:DB8:1:60::/64 eq 82 deny tcp any 2001:DB8:1:60::/64 eq 83 deny tcp any 2001:DB8:1:60::/64 eq 443 deny tcp any 2001:DB8:1:60::/64 eq 8080 deny tcp any 2001:DB8:1:60::/64 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy inMerk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp fout-interval interval-in-ms.
Identificatie: Toegangscontrolelijsten voor douanevervoer
Nadat de beheerder de tACL op een interface heeft toegepast, toont hij IP-toegangslijsten en toont hij ipv6-toegangslijsten met opdrachten die het aantal HTTP- en HTTPS-poorten 80 en 443 identificeren, samen met TCP-poorten 82 en 83 via IPv4 en IPv6-pakketten die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De voorbeelduitvoer voor toont IP-toegangslijsten 150 en toont ipv6-toegangslijst IPv6-Transit-ACL-Policy als volgt:
router#show ip access-lists 150
Extended IP access list 150 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 50 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 60 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443
70 deny tcp any 192.168.60.0 0.0.0.255 eq 80 (221 matches) 80 deny tcp any 192.168.60.0 0.0.0.255 eq 82 (11 matches) 90 deny tcp any 192.168.60.0 0.0.0.255 eq 83 (10 matches) 100 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (120 matches) 110 deny tcp any 192.168.60.0 0.0.0.255 eq 8080 (100 matches) 120 deny tcp any 192.168.60.0 0.0.0.255 eq 8443 (97 matches)
130 deny ip any anyrouter#
In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:
- 221 HTTP-pakketten op TCP-poort 80 voor ACE-lijn 70
- 11 pakketten op TCP-poort 82 voor ACE-lijn 80
- 10 pakketten op TCP-poort 83 voor ACE-lijn 90
- 120 HTTPS-pakketten op TCP-poort 443 voor ACE-lijn 100
- 100 pakketten op TCP-poort 8080 voor ACE-lijn 110
- 97 pakketten op TCP-poort 8443 voor ACE-lijn 120
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 (205 matches) sequence 10 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 (18 matches) sequence 20 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 (21 matches) sequence 30 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 (159 matches) sequence 40 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 (52 matches) sequence 50 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 (102 matches) sequence 60 deny tcp any 2001:DB8:1:60::/64 eq 80 (121 matches) sequence 70 deny tcp any 2001:DB8:1:60::/64 eq 82 (31 matches) sequence 80 deny tcp any 2001:DB8:1:60::/64 eq 83 (23 matches) sequence 90 deny tcp any 2001:DB8:1:60::/64 eq 443 (131 matches) sequence 100 deny tcp any 2001:DB8:1:60::/64 eq 8080 (101 matches) sequence 110 deny tcp any 2001:DB8:1:60::/64 eq 8443 (120 matches) sequence 120 permit icmp any any nd-ns (41 matches) sequence 130 permit icmp any any nd-na (41 matches) sequence 140 deny ipv6 any any (21 matches) sequence 150
In het vorige voorbeeld heeft de toegangslijst IPv6-Transit-ACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
- 121 HTTP-pakketten op TCP-poort 80 voor ACE-lijn 70
- 31 pakketten op TCP-poort 82 voor ACE-lijn 80
- 23 pakketten op TCP-poort 83 voor ACE-lijn 90
- 131 HTTPS-pakketten op TCP-poort 443 voor ACE-lijn 100
- 101 pakketten op TCP-poort 8080 voor ACE-lijn 110
- 120 pakketten op TCP-poort 8443 voor ACE-lijn 120
Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.
Identificatie: Vastlegging toegangslijst
De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.
Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.
Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.
De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.
Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het witboek Inzicht in toegangscontrolelijst en Cisco Security Intelligence Operations.
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om deze kwetsbaarheden te exploiteren. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.
router#show ip cache flow
IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 11 0984 00A1 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 11 0911 00A1 3 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0016 0052 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 00A1 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 00A1 1 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F93 20FB 19
Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 06 00AB 1F90 9 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 00A1 1Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 01BB 22
router#In het bovenstaande voorbeeld zijn er meerdere stromen voor HTTP en HTTPS op TCP-poorten 80 (hex-waarde 50) en 443 (hex-waarde 1BB), samen met TCP-poorten 82 (hex-waarde 52), 83 (hex-waarde 53), 8080 (hex-waarde 1F90) en 8443 (hex-waarde 0x20FB).
Zoals in het volgende voorbeeld wordt getoond, om alleen de HTTP- en HTTPS-poorten 80 (hex-waarde 50) en 443 (hex-waarde 1BB) samen met TCP-poorten 82 (hex-waarde 52), 83 (hex-waarde 53), 8080 (hex-waarde 1F90) en 8443 (hex-waarde 0x20FB) te bekijken, gebruikt u de show ip-cachestroom | inclusief SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
TCP-stromenrouter#show ip cache flow | include SrcIf|_6_.*(50|52|53|1BB|1F90|20FB)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0052 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A16 01BB 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A17 1F90 15 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A18 20FB 10 router#
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden geprobeerd om te profiteren van de kwetsbaarheden die in dit document worden beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.
De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x16C4 0x0050 1001 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0052 1092 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x0053 1009 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1634 0x01BB 1341 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1611 0x1F90 1000 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1612 0x20FB 1010
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155
Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
In het bovenstaande voorbeeld zijn er meerdere IPv6-stromen voor HTTP en HTTPS op TCP-poorten 80 (hex-waarde 50) en 443 (hex-waarde 1BB) samen met TCP-poorten 82 (hex-waarde 52), 83 (hex-waarde 53), 8080 (hex-waarde 1F90) en 8443 (hex-waarde 0x20FB).
Zoals in het volgende voorbeeld wordt getoond, om alleen de HTTP- en HTTPS-poorten 80 (hex-waarde 50) en 443 (hex-waarde 1BB) samen met TCP-poorten 82 (hex-waarde 52), 83 (hex-waarde 53), 8080 (hex-waarde 1F90) en 8443 (hex-waarde 0x20FB) te bekijken, gebruikt u de show ipv6 flow cache | inclusief SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
TCP-stromen
router#show ipv6 flow cache | include SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0050 1032 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x160B 0x0052 1291 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1734 0x0053 2123 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A1 0x01BB 1374 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A2 0x1F90 1201 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A3 0x20FB 1011 router#
Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow
Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ========== =========== ====== ======= 192.168.10.201 192.168.0.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.0.158 123 82 Gi0/0 Gi0/1 2212 6 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.0.28 3451 22 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.0.97 4231 83 Gi0/0 Gi0/1 146 6 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 192.168.10.18 192.168.150.60 1233 8080 Gi0/0 Gi0/1 1021 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6 192.168.10.18 192.168.150.60 1234 8443 Gi0/0 Gi0/1 1452 6
Als u alleen de pakketten HTTP en HTTPS wilt bekijken op TCP-poorten 80 en 443 samen met TCP-poorten 82, 83, 8080 en 8443 gebruikt u detabel met de flow-monitor-ipv4-cache. | IPV4 DST ADDR |_(80|82|83|443|8080|8443)_.*_06_ opdracht om de verwante NetFlow-records weer te geven.
Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1265 80 Gi0/0 Gi0/0 1237 6 2001:DB...06::201 2001:DB...28::20 1441 443 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1890 82 Gi0/0 Gi0/0 5009 6 2001:DB...06::201 2001:DB...28::20 2856 83 Gi0/0 Gi0/0 486 6 2001:DB...06::201 2001:DB...28::20 2858 8080 Gi0/0 Gi0/0 511 6 2001:DB...06::201 2001:DB...28::20 2859 8443 Gi0/0 Gi0/0 612 6
2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
Als u alleen de pakketten HTTP en HTTPS wilt bekijken op TCP-poorten 80 en 443 samen met TCP-poorten 82, 83, 8080 en 8443, gebruikt u de tabel met de flow-monitor-ipv6-cache. | inclusief IPV6 DST ADR|_(80|82|83|443|8080|843)_.*_06_ opdracht om de verwante Cisco IOS Flexibele NetFlow-records weer te geven.
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde HTTP- en HTTPS-poorten 80 en 443, samen met TCP-poorten 82, 83, 8080 en 8443 via IPv4- en IPv6-pakketten die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outsideIdentificatie: Toegangscontrolelijsten voor douanevervoer
Nadat tACL is toegepast op een interface, kunnen beheerders de opdracht show access-list gebruiken om het aantal HTTP- en HTTPS-pakketten op TCP-poorten 80 en 443 en TCP-pakketten op poorten 82 en 83 over IPv4 en IPv6 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegangslijst tACL-Policy en toont toegangslijst IPv6-tACL-Policy volgt:
firewall#show access-list tACL-Policy access-list tACL-Policy; 13 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq www (hitcnt=31) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 (hitcnt=61) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 (hitcnt=131) access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq https (hitcnt=57) access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=99) access-list tACL-Policy line 6 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=34)
access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq http (hitcnt=18) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 (hitcnt=10) access-list tACL-Policy line 9 extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 (hitcnt=22) access-list tACL-Policy line 10 extended deny tcp any 192.168.60.0 255.255.255.0 eq https (hitcnt=9) access-list tACL-Policy line 11 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=19) access-list tACL-Policy line 12 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=12) access-list tACL-Policy line 13 extended deny ip any any (hitcnt=8)In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
- 18 HTTP-pakketten op TCP-poort 80 voor ACE-lijn 7
- 10 pakketten op TCP-poort 443 voor ACE-lijn 8
- 22 pakketten op TCP-poort 82 voor ACE-lijn 9
- 9 HTTPS-pakketten op TCP-poort 83 voor ACE-lijn 10
- 19 pakketten op TCP-poort 8080 voor ACE-lijn 11
- 12 pakketten op TCP-poort 8443 voor ACE-lijn 12
firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 13 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq www (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 82 (hitcnt=28) ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 83 (hitcnt=124) ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq https (hitcnt=81) ipv6 access-list IPv6-tACL-Policy line 5 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8080 (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 6 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8443 (hitcnt=23) ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:db8:1:60::/64 eq www (hitcnt=39) ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:db8:1:60::/64 eq 82 (hitcnt=32) ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:db8:1:60::/64 eq 83 (hitcnt=43) ipv6 access-list IPv6-tACL-Policy line 10 deny tcp any 2001:db8:1:60::/64 eq https (hitcnt=123) ipv6 access-list IPv6-tACL-Policy line 11 deny tcp any 2001:db8:1:60::/64 eq 8080 (hitcnt=90) ipv6 access-list IPv6-tACL-Policy line 12 deny tcp any 2001:db8:1:60::/64 eq 8443 (hitcnt=87)
ipv6 access-list IPv6-tACL-Policy line 13 deny ip any any (hitcnt=27)In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy de volgende pakketten verbroken die van een onbetrouwbare host of een onbetrouwbaar netwerk worden ontvangen:
- 39 HTTP-pakketten op TCP-poort 80 voor ACE-lijn 7
- 32 pakketten op TCP-poort 82 voor ACE-lijn 8
- 43 pakketten op TCP-poort 83 voor ACE-lijn 9
- 123 HTTPS-pakketten op TCP-poort 443 voor ACE-lijn 10
- 90 pakketten op TCP-poort 8080 voor ACE-lijn 11
- 87 pakketten op TCP-poort 8443 voor ACE-lijn 12
Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.
Identificatie: berichten in Firewall Access List System
Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106023 Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 dst inside:192.168.60.33/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 dst inside:192.168.60.240/83 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 dst inside:192.168.60.115/443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2949 dst inside:192.168.60.38/8443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950 dst inside:192.168.60.250/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:2::2:172/2951 dst inside:2001:db8:1:60::23/443 by access-group "IPv6-tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:d::a85e:172/2952 dst inside:2001:db8:1:60::134/8080 by access-group "IPv6-tACL-Policy" firewall#
In het vorige voorbeeld, tonen de berichten die voor tACL tACL-Policy en IPv6-tACL-Policy zijn geregistreerd HTTP- en HTTPS-pakketten voor TCP-poorten 80 en 443 en pakketten voor TCP-poorten 82, 83, 8080 en 8443 verzonden naar het adresblok dat aan de betreffende apparaten is toegewezen.
Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.
Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager, gebeurtenisviewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls verzamelen en het Event Viewer leveren, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.
Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.
- Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Gebruik het gebeurtenisfilter Bestemming Service om objecten te filteren die TCP-poorten 80, 82, 83, 443, 8080 en 8443 bevatten
Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.
Cisco Security Manager-rapportbeheer
In de Rapportbeheer kan het Top Services-rapport met de volgende configuratie worden gebruikt om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Stel een actie van Deny in op de pagina Criteria instellingen
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die zijn gemaakt door syslog-berichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 1 2013-juni-26 16:03 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco Web Security applicatie (WSA) 7.1 (.0, .1, .2, .3, .4) | 7,5 ( 0,0-000,1-000) | 7,7 ( 0,0-000) Cisco e-mail security applicatie (ESA) 7.1 (.0, .1, .2, .3, .4, .5) | 7,3 ( 0,0, 0,1, 0,2) | 7,5 ( 3,0, 1,2) | 7,6 ( 0,0, 0,1-000, 0,2) Cisco Content Security Management-applicatie (SMA) 7,2 (,0, .1, .2) | 7,7 ( 0,0, 0,1) | 7,9 ( 0,0, 0,1) | 8,0 ( 1,0)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten