Cisco Applied Mitigation Bulletin: Het identificeren en verzachten van de Siemens SCALANCE Private Escalation kwetsbaarheden

Bijgewerkt:6 augustus 2016
Document-id:1470489965534195

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Cisco-bulletin over toegepaste beperking

Cisco Applied Mitigation Bulletin: Het identificeren en verzachten van de Siemens SCALANCE Private Escalation kwetsbaarheden

Doc ID:
29514
Voor het eerst gepubliceerd:
2013 juni 3 19:37 GMT
Laatst bijgewerkt:
2013 juni 4 20:42 GMT
Versie: 
2
CVE-2013-363
CVE-2013-3634
CVE-2013-363
CVE-2013-3634

Cisco Response

  • Dit Toegepaste Matiging Bulletin is een begeleidend document bij de meldingen 29501 en 29502 en biedt identificatie- en mitigatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

  • Details van deze kwetsbaarheid worden beschreven in Waarschuwing 29501 en 29502.

Overzicht van kwetsbaarheden

  • Een kwetsbaarheid in Siemens SCALANCE X200 IRT Series-apparaten zou een niet-geverifieerde, externe aanvaller ongeautoriseerde toegang kunnen verlenen. De kwetsbaarheid bestaat door een implementatiefout in SNMPv3. Dit kon de aanvaller toestaan om SNMP-opdrachten uit te voeren zonder de juiste referenties op het doelsysteem. De aanvalsvector is het SNMPv3-protocol via UDP-poort 161. Aan deze kwetsbaarheid is de code CVE-2013-3634 van de Common Vulnerabilities and Exposations (CVE) toegekend.

    Bovendien kan een kwetsbaarheid in Siemens SCALANCE X200 IRT Series-apparaten een geauthenticeerde, externe aanvaller in staat stellen verhoogde rechten te verwerven. De kwetsbaarheid bestaat omdat de apparaatfirmware er niet in slaagt voldoende verificaties te implementeren op door de gebruiker verstrekte opdrachten. Dit kon de aanvaller op een aangrenzend netwerk toestaan om bevoorrechte opdrachten op het gerichte systeem via de webinterface uit te voeren met behulp van een onbevoorrechte account. Aan deze kwetsbaarheid is de identificatiecode CVE-2013-3633 voor gemeenschappelijke kwetsbaarheden en blootstellingen (Common Vulnerabilities and Exposations — CVE) toegekend. Er is geen bijbehorende beperking voor CVE-2013-3633.

Overzicht Mitigation Technique

  • Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
    • Toegangscontrolelijsten voor douanevervoer (ACL’s)
    • Unicast Reverse Path Forwarding (uRPF)
    • IP-bronbewaking (IPSG)
    Deze beschermingsmechanismen filteren en laten vallen, en verifiëren het IP-adres van de bron van pakketten die deze kwetsbaarheid proberen te exploiteren.

    De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met gespoofde bron IP-adressen gebruiken. Unicast RPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.

    De juiste plaatsing en configuratie van IPSG biedt een effectief middel van bescherming tegen spoofed pakketten op de toegangslaag.

    Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die Application Layer Protocol inspection gebruiken.

    Dit beschermingsmechanisme filtert en laat vallen, evenals verifieert het bron IP adres van, pakketten die proberen om de kwetsbaarheid te exploiteren.

    Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

    Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

Risicobeheer

  • Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

  • Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

    Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

    Cisco IOS-routers en -Switches

    Beperking: toegangscontrolelijsten voor douanevervoer

    Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

    Het tACL-beleid ontkent onbevoegde SNMP IPv4-pakketten via UDP-poort 161 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP adresruimte die door de beïnvloede apparaten wordt gebruikt, en de gastheer in 192.168.100.1 wordt beschouwd als een vertrouwde op bron die toegang tot de beïnvloede apparaten vereist. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

    Aanvullende informatie over ACL’s is beschikbaar in Transit Access Control Lists: Filtering at Your Edge. 
    !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable port and protocol !
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 161
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 161
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
access-list 150 deny ip any any
! !-- Apply tACLs to interfaces in the ingress direction !
interface GigabitEthernet0/0
 ip access-group 150 in
    Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdracht interfaceconfiguratie zonder IP-onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan worden gewijzigd ten opzichte van de standaardinstelling met behulp van de algemene opdracht voor configuratie ip icmp-snelheidslimiet voor onbereikbare interval-in-ms.

    Identificatie: Toegangscontrolelijsten voor douanevervoer

    Nadat de beheerder de tACL op een interface heeft toegepast, identificeert de opdracht IP-toegangslijsten tonen het aantal SNMP IPv4-pakketten op UDP-poort 161 die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten 150 volgt: 
    router#show ip access-lists 150
Extended IP access list 150
    10 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 161
    20 deny udp any 192.168.60.0 0.0.0.255 eq 161 (12 matches)
    30 deny ip any any
router#
    In het vorige voorbeeld is toegangslijst 150 12 SNMP-pakketten gevallen op UDP-poort 161 voor lijn 20 van de toegangscontrolelijst (ACE).

    Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Using Firewall en Cisco IOS Router Syslog Events Cisco Security Intelligence Operations.

    Beheerders kunnen de Ingesloten Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.

    Identificatie: Vastlegging toegangslijst

    De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming. Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.

    Voor Cisco IOS-software kan de opdracht interval -in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [ behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.

    De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.

    Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het witboek Inzicht in toegangscontrolelijst en Cisco Security Intelligence Operations.

    Beperken: bescherming tegen spoofing

    Unicast doorsturen van omgekeerde paden

    De kwetsbaarheid die in dit document wordt beschreven, kan worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.

    uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.

    Aanvullende informatie is beschikbaar in de Unicast Reverse Path Forwarding Losse Mode functiehandleiding.

    Voor extra informatie over de configuratie en het gebruik van uRPF-referenties wordt het Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations-witboek gebruikt.

    IP-bronbeveiliging

    IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig geconfigureerde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Als IPSG op de juiste manier wordt geïmplementeerd en geconfigureerd, in combinatie met de strikte modus uRPF, biedt het de meest effectieve bescherming tegen spoofing voor de kwetsbaarheid die in dit document wordt beschreven.

    Aanvullende informatie over de implementatie en configuratie van IPSG is beschikbaar in Configureren van DHCP-functies en IP Source Guard.

    Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

    Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ip interface tonen, cef drop tonen, ip cef switching statistieken functie tonen, en ip traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.

    Opmerking: beginnend met Cisco IOS-softwarerelease 12.4(20)T is de opdracht ip cef-switching vervangen door de functie IP cef-switching.

    Opmerking: de opdracht show | begin met regex en toon opdracht | regex -opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals. 
    router#show cef interface GigabitEthernet 0/0 internal | include drop
  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 
router#
    Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar. 
    router#show cef drop
CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP            27           0           0          18           0           0
router#

router#show ip interface GigabitEthernet 0/0 | begin verify

  IP verify source reachable-via RX, allow default, allow self-ping
  18 verification drops
  0 suppressed verification drops
router#

router#show ip cef switching statistics feature

IPv4 CEF input features:
    Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
    RP PAS uRPF                     18          0          0          0          0
Total                           18          0          0          0          0
    --      CLI Output Truncated       --  
router#


router#show ip traffic | include RPF
         18 no route, 18 unicast RPF, 0 forced drop
router#
    In het bovenstaande tonen cef interface type sleuf/poort intern, tonen cef drop, tonen ip interface type sleuf/poort, tonen ip cef switching statistieken functie, en tonen ip verkeer voorbeelden, uRPF heeft laten vallen 18 IP pakketten globaal ontvangen op alle interfaces met uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren binnen de het door:sturen informatiebasis van Cisco Express Forwarding.

    Cisco IOS NetFlow en Cisco IOS flexibele NetFlow

    Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow

    Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die pogingen kunnen zijn om te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om de kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn. 
    router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 00A1     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  11 0911 00A1     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   11 0B3E 00A1     5
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   11 0B89 00A1     1
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  11 0BD7 00A1     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1
    In het bovenstaande voorbeeld zijn er meerdere stromen voor SNMP op UDP-poort 161 (hex-waarde 00A1).

    Dit verkeer wordt afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24 adresblok, dat door getroffen apparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheid te exploiteren. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor SNMP-verkeer te vergelijken dat op UDP-poort 161 wordt verzonden en ook de stromen te onderzoeken om te bepalen of zij afkomstig zijn van onbetrouwbare hosts of netwerken.

    Zoals in het volgende voorbeeld wordt getoond, om alleen de verkeersstromen voor SNMP-pakketten op UDP-poort 161 (hex-waarde 00A1) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_PrHex_.*00A1 opdracht om de verwante Cisco NetFlow-records weer te geven:

    UDP-stromen 
    router#show ip cache flow | include SrcIf|_11_.*00A1

SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  11 092A 00A1     6
Gi0/0         192.168.11.230   Gi0/1         192.168.60.20   11 0C09 00A1     1
Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  11 0B66 00A1    18
Gi0/0         192.168.13.7     Gi0/1         192.168.60.162  11 0914 00A1     1
Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   11 0B7B 00A1     2

    Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS flexibele NetFlow

    Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow door de mogelijkheid toe te voegen om parameters voor verkeersanalyse aan te passen voor de specifieke vereisten van een beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.

    De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom. 
    ! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
! !-- Apply the flow monitor to the interface !-- in the ingress direction !

interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input
    De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt: 
    router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR   ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot
============== ============== ============= ============= ========== =========== ==== =======
 192.168.11.54 192.168.60.158          1123           161      Gi0/0       Gi0/1 2212      17
192.168.150.60   10.89.16.226          2567           443      Gi0/0       Gi0/1   13       6
 192.168.10.17  192.168.60.97          4231           161      Gi0/0       Gi0/1  146      17
   10.88.226.1 192.168.202.22          2678           443      Gi0/0       Gi0/1 8567       6
  10.89.16.226 192.168.150.60          3562            80      Gi0/0       Gi0/1 4012       6
    Alleen SNMP op UDP bekijken poort 161, gebruik de show flow monitor FLOW-MONITOR-ipv4 cache formaat tabel | IPV4 DST ADDR |_161_.*_17 opdracht om de gerelateerde NetFlow-records weer te geven.

    Raadpleeg de Flexibele NetFlow-configuratiehandleiding, Cisco IOS release 15.1M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T voor meer informatie over Cisco IOS Flexibele NetFlow.

    Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

    Beperking: Application Layer Protocol Inspectie

    Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Beheerders kunnen een inspectiebeleid opstellen voor toepassingen die een speciale behandeling vereisen door middel van de configuratie van kaarten van inspectieklasse en kaarten van het inspectiebeleid, die door middel van een globaal of interfacedienstenbeleid worden toegepast.

    Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.

    Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

    Simple Network Management Protocol-toepassingsinspectie

    Met behulp van de Simple Network Management Protocol (SNMP)-toepassingsinspectietool op de Cisco ASA 5500 Series adaptieve security applicaties en de Cisco Firewall Services Modules kunnen beheerders een beleid configureren dat SNMPv3-berichten voorkomt terwijl ze SNMPv1-, SNMPv2- en SNMPv2c-berichten toestaan door de firewall te lopen. De volgende SNMP-toepassingsinspectie gebruikt het Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op UDP-poort 161. Het SNMP-inspectiebeleid laat SNMPv3-verbindingen vallen. 
    ! !-- Configure an SNMP map to deny SNMPv3 connections ! 
snmp-map deny_SNMPv3 
deny version 3
! !-- Add the above-configured SNMP map to the default policy !-- "global_policy" and default class "inspection_default"
!-- and use it to inspect SNMP traffic that transits the firewall !  
policy-map global_policy
 class inspection_default
  inspect snmp deny_SNMPv3 
! !-- By default, the policy "global_policy" is applied globally, !-- which results in the inspection of traffic that enters the !-- firewall from all interfaces ! 
service-policy global_policy global
    Aanvullende informatie over SNMP-toepassingsinspectie en MPF is in de sectie SNMP-inspectie van de Cisco ASA 5500 Series configuratiehandleiding waarin de CLI, 8.2 wordt gebruikt.

    Identificatie: Application Layer Protocol Inspection

    Er wordt een firewallsyslog-bericht 416001 gegenereerd wanneer een Simple Network Management Protocol (SNMP)-pakket wordt gedropt. Het syslogbericht zal de SNMP-versie van het gedropte pakket identificeren. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 416001.

    Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. De informatie over het configureren van syslog op Cisco FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

    In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

    Simple Network Management Protocol-toepassingsinspectie

    firewall# show logging | grep 416001
  May 30 2013 22:03:49: %ASA-4-416001: Dropped UDP SNMP packet
         from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
         version (3) is not allowed thru the firewall
  May 30 2032 22:03:50: %ASA-4-416001: Dropped UDP SNMP packet 
         from outside:192.168.60.63/32769 to inside:192.168.60.42/161; 
         version (3) is not allowed thru the firewall
  May 30 2013 22:03:51: %ASA-4-416001: Dropped UDP SNMP packet 
         from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
         version (3) is not allowed thru the firewall
  May 30 2013 22:03:52: %ASA-4-416001: Dropped UDP SNMP packet 
         from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
         version (3) is not allowed thru the firewall
    Als SNMP-inspectie is ingeschakeld, zal de opdracht show service policy het aantal SNMP-pakketten identificeren dat door deze functie is geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy: 
    firewall# show service-policy | include snmp             

     Inspect: snmp deny_SNMPv3, packet 236, drop 6, reset-drop 0
firewall#
    In het vorige voorbeeld zijn 236 SNMP-pakketten geïnspecteerd en zijn 6 SNMP-pakketten gevallen.

Aanvullende informatie

  • DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Gerelateerd aan dit bericht

Revisiegeschiedenis

  • Versie Beschrijving doorsnede Datum
    2 Cisco heeft verduidelijkt dat er geen geassocieerde informatie over risicobeperking beschikbaar is voor CVE-2013-3633 in hun Toegepaste Matiging Bulletin: Identificeren en verzachten van de Siemens SCALANCE Privilege Escalation Vulnerabilities. 2013-juni-04 20:42 GMT
    1 Cisco Applied Mitigation Bulletin eerste publieke release 2013-juni-03 19:37 GMT
    1

    Waarschuwingsgeschiedenis

    Eerste vrijgave    		 2013-juni-03 19:37 GMT
    Minder tonen

Cisco-beveiligingsprocedures

Gerelateerde informatie

Betrokken producten

  • De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.

    Primaire producten
    Siemens Corp Firmware voor Scalance X Switches 3.7 (.0, .1, .2, Basis) | 4,0 (basis) | 4.1 (Basis) | 4.2 (Basis) | 4.3 (Basis) | 4.4 (Basis) | 4,5 (Basis) | 5,0 (basis)


    Verwante producten

Gerelateerd aan dit bericht