Cisco-bulletin over toegepaste beperking-
Dit Toegepaste Mitigation Bulletin is een begeleidend document van de PSIRT Security Advisory Multiple Vulnerabilities in de Cisco Video Surveillance Manager en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
Cisco Video Surveillance Manager (VSM) bevat een kwetsbaarheid bij de verwerking van speciaal vervaardigde IP-pakketten, versie 4 (IPv4) en IP, versie 6 (IPv6). Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid zou een willekeurige codeuitvoering mogelijk kunnen maken en informatieopenbaarmaking mogelijk kunnen maken, waardoor een aanvaller informatie kan leren over het getroffen apparaat en netwerk. De aanvalsvectoren voor exploitatie worden via IPv4- en IPv6-pakketten gebruikt met behulp van de volgende protocollen en poorten:
- Secure Shell (SSH) met TCP-poort 22
- Cisco Video Surveillance Media Server (VSMS) met TCP-poorten 80 en 554
- Cisco Video Surveillance Operations Manager (VSOM) met TCP-poort 443
- Cisco Video Surveillance Virtual Matrix (VSVM) met TCP-poorten 1066 en 8086
- Network Time Protocol (NTP) met UDP-poort 123
- UDP-poorten 1024-1999
- UDP-poorten 600-699
- UDP-poorten 16100-16999
- UDP-poorten 18000-18999
- UDP-poorten 20000-20999
- UDP-poorten 55000-55999
Aan deze kwetsbaarheid zijn de gemeenschappelijke identificatoren voor kwetsbaarheden en blootstellingen (CVE) CVE-2013-3429, CVE-2013-3431 en CVE-2013-3430 toegekend.
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/20130724-vsm.
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
- Toegangscontrolelijsten voor douanevervoer (ACL’s)
- Unicast Reverse Path Forwarding (uRPF)
- IP-bronbeveiliging (IPSG)
De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.
Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:
- TACL’s
- uRPF
Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.
Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.
De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco IOS-routers en -Switches
- Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco Security Manager
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde ssh IPv4- en IPv6-pakketten die naar getroffen apparaten worden verzonden:
- SSH IPv4- en IPv6-pakketten op TCP-poort 22
- VSMS IPv4- en IPv6-pakketten op TCP-poorten 80 en 554
- VSOM IPv4- en IPv6-pakketten op TCP-poort 443
- VSVM IPv4- en IPv6-pakketten op TCP-poorten 1066 en 8086
- NTP IPv4- en IPv6-pakketten op UDP-poort 123
- Pakketten op UDP-poorten 1024-1999
- Packets op UDP-poorten 600-6999
- Pakketten op UDP-poorten 16100-16999
- Pakketten op UDP-poorten 18000-18999
- Pakketten op UDP-poorten 20000-20999
- Pakketten op UDP-poorten 55000-55999
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP | UDP ports | protocols ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp fout-interval interval-in-ms.
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 44
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 554
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 1066
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8086
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq ntp
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 1024 1999
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 6000 6999
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 16100 16999
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 18000 18999
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 20000 20999
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 55000 55999 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 22
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 80
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 443
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 554
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 1066
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8086
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq ntp
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 1024 1999
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 6000 6999
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 16100 16999
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 18000 18999
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 20000 20999
access-list 150 deny udp any 192.168.60.0 0.0.0.255 range 55000 55999 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP | UDP ports | protocols ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 554
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 1066
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8086
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq ntp
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 1024 1999
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 6000 6999
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 16100 16999
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 18000 18999
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 20000 20999
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 55000 55999 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 22
deny tcp any 2001:DB8:1:60::/64 eq 80
deny tcp any 2001:DB8:1:60::/64 eq 443
deny tcp any 2001:DB8:1:60::/64 eq 554
deny tcp any 2001:DB8:1:60::/64 eq 1066
deny tcp any 2001:DB8:1:60::/64 eq 8086
deny udp any 2001:DB8:1:60::/64 eq ntp
deny udp any 2001:DB8:1:60::/64 range 1024 1999
deny udp any 2001:DB8:1:60::/64 range 6000 6999
deny udp any 2001:DB8:1:60::/64 range 16100 16999
deny udp any 2001:DB8:1:60::/64 range 18000 18999
deny udp any 2001:DB8:1:60::/64 range 20000 20999
deny udp any 2001:DB8:1:60::/64 range 55000 55999 ! !-- Permit other required traffic to the infrastructure address !-- range and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
! !-- Explicit deny for all other IPv6 traffic to the global !-- infrastructure address range !
deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy inIdentificatie: Toegangscontrolelijsten voor douanevervoer
Nadat de beheerder tACL op een interface heeft toegepast, tonen IP-toegangslijsten en tonen ipv6-toegangslijsten opdrachten het aantal:
- SSH IPv4- en IPv6-pakketten op TCP-poort 22
- VSMS IPv4- en IPv6-pakketten op TCP-poorten 80 en 554
- VSOM IPv4- en IPv6-pakketten op TCP-poort 443
- VSVM IPv4- en IPv6-pakketten op TCP-poorten 1066 en 8086
- NTP IPv4- en IPv6-pakketten op UDP-poort 123
- Pakketten gefilterd op UDP-poorten 1024-1999
- Pakketten gefilterd op UDP-poorten 6000-6999
- Pakketten op UDP-poorten 16100-16999
- Pakketten die op UDP-poorten 18000-18999 zijn gefilterd
- Pakketten die op UDP-poorten 20000-20999 zijn gefilterd
- Pakketten die op UDP-poorten 55000-55999 zijn gefilterd
router#show ip access-lists 150 Extended IP access list 150
In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:
10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 (21 matches)
20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq www (232 matches)
30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 (322 matches)
40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 554 (12 matches)
50 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 1066 (32 matches)
60 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8086 (49 matches)
70 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq ntp (71 matches)
80 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 1024 1999 (255 matches)
90 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 6000 6999 (33 matches)
100 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 16100 16999 (159 matches)
110 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 18000 18999 (55 matches)
120 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 20000 20999 (63 matches)
130 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 range 55000 55999 (20 matches)
140 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (12 matches)
150 deny tcp any 192.168.60.0 0.0.0.255 eq www (14 matches)
160 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (9 matches)
170 deny tcp any 192.168.60.0 0.0.0.255 eq 554 (22 matches)
180 deny tcp any 192.168.60.0 0.0.0.255 eq 1066 (121 matches)
190 deny tcp any 192.168.60.0 0.0.0.255 eq 8086 (33 matches)
200 deny udp any 192.168.60.0 0.0.0.255 eq ntp (58 matches)
210 deny udp any 192.168.60.0 0.0.0.255 range 1024 1999 (93 matches)
220 deny udp any 192.168.60.0 0.0.0.255 range 6000 6999 (211 matches)
230 deny udp any 192.168.60.0 0.0.0.255 range 16100 16999 (8 matches)
240 deny udp any 192.168.60.0 0.0.0.255 range 18000 18999 (49 matches)
250 deny udp any 192.168.60.0 0.0.0.255 range 20000 20999 (10 matches)
260 deny udp any 192.168.60.0 0.0.0.255 range 55000 55999 (91 matches) 270 deny ip any any (533 matches) router#
- 12 SSH-pakketten op TCP-poort 22 voor ACE-lijn 14
- 14 VSMS-pakketten op TCP-poort 80 voor ACE-lijn 15
- 9 VSOM-pakketten op TCP-poort 443 voor ACE-lijn 16
- 22 VSMS-pakketten op TCP-poort 554 voor ACE-lijn 17
- 121 VSVM-pakketten op TCP-poort 1066 voor ACE-lijn 18
- 33 VSVM-pakketten op TCP-poort 8086 voor ACE-lijn 19
- 58 NTP-pakketten op UDP-poort 123 voor ACE-lijn 20
- 93 pakketten op UDP-poortbereik 1024-1099 voor ACE-lijn 21
- 211 pakketten op UDP-poortbereik 600-6999 voor ACE-lijn 22
- 8 pakketten op UDP-poortbereik 16100-16999 voor ACE-lijn 23
- 49 pakketten op UDP-poortbereik 18000-1899 voor ACE-lijn 24
- 10 pakketten op UDP-poortbereik 20000-2099 voor ACE-lijn 25
- 91 pakketten op UDP-poortbereik 55000-55999 voor ACE-lijn 26
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy
In het vorige voorbeeld heeft de toegangslijst IPv6-Transit-ACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 sequence 10
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq www sequence 20
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 sequence 30
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 554 sequence 40
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 1066 sequence 50
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8086 sequence 60
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq ntp sequence 70
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 1024 1999 sequence 80
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 6000 6999 sequence 90
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 16100 16999 sequence 100
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 18000 18999 sequence 110
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 20000 20999 sequence 120
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 range 55000 55999 sequence 130
deny tcp any 2001:DB8:1:60::/64 eq 22 (12 matches) sequence 140
deny tcp any 2001:DB8:1:60::/64 eq www (38 matches) sequence 150
deny tcp any 2001:DB8:1:60::/64 eq 443 (15 matches) sequence 160
deny tcp any 2001:DB8:1:60::/64 eq 554 (97 matches) sequence 170
deny tcp any 2001:DB8:1:60::/64 eq 1066 (33 matches) sequence 180
deny tcp any 2001:DB8:1:60::/64 eq 8086 (25 matches) sequence 190
deny udp any 2001:DB8:1:60::/64 eq ntp (23 matches) sequence 200
deny udp any 2001:DB8:1:60::/64 range 1024 1999 (88 matches) sequence 210
deny udp any 2001:DB8:1:60::/64 range 6000 6999 (94 matches) sequence 220
deny udp any 2001:DB8:1:60::/64 range 16100 16999 (29 matches) sequence 230
deny udp any 2001:DB8:1:60::/64 range 18000 18999 (76 matches) sequence 240
deny udp any 2001:DB8:1:60::/64 range 20000 20999 (10 matches) sequence 250
deny udp any 2001:DB8:1:60::/64 range 55000 55999 (15 matches) sequence 260 permit icmp any any nd-ns (80 matches) sequence 270 permit icmp any any nd-na (80 matches) sequence 280 deny ipv6 any any (21 matches) sequence 290
- 12 SSH-pakketten op TCP-poort 22 voor ACE-lijn 14
- 38 VSMS-pakketten op TCP-poort 80 voor ACE-lijn 15
- 15 VSOM-pakketten op TCP-poort 443 voor ACE-lijn 16
- 97 VSMS-pakketten op TCP-poort 554 voor ACE-lijn 17
- 33 VSVM-pakketten op TCP-poort 1066 voor ACE-lijn 18
- 25 VSVM-pakketten op TCP-poort 8086 voor ACE-lijn 19
- 23 NTP-pakketten op UDP-poort 123 voor ACE-lijn 20
- 88 UDP-pakketten op UDP-poortbereik 1024-1099 voor ACE-lijn 21
- 94 UDP-pakketten op UDP-poortbereik 600-6999 voor ACE-lijn 22
- 29 UDP-pakketten op UDP-poortbereik 16100-1699 voor ACE-lijn 23
- 76 UDP-pakketten op UDP-poortbereik 18000-1899 voor ACE-lijn 24
- 10 UDP-pakketten op UDP-poortbereik 20000-2099 voor ACE-lijn 25
- 15 UDP-pakketten op UDP-poortbereik 55000-55999 voor ACE-lijn 26
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security white paper Embedded Event Manager in een security context biedt extra informatie over hoe u deze functie kunt gebruiken.Identificatie: Vastlegging toegangslijst
De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.
Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.
Voor Cisco IOS-software kan de opdracht interval -in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [ behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.
De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.
Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het Witboek Inzicht in toegangscontrolelijst Vastlegging in Cisco Security.Beperken: bescherming tegen spoofing
Unicast doorsturen van omgekeerde paden
De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security.
IP-bronbeveiliging
IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheden die in dit document worden beschreven.
Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ip interface tonen, cef drop tonen, ip cef switching statistieken functie tonen, en ip traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.
Opmerking: vanaf Cisco IOS-softwarerelease 12.4(20)T is de opdracht ip cef-switching vervangen door de functie IP cef-switching.
Opmerking: de opdracht show | begin met regex en toon opdracht | regex -opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0 router#
Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify IPv6 verify source reachable-via rx 0 verification drop(s) (process), 10 (CEF) 0 suppressed verification drop(s) (process), 0 (CEF) -- CLI Output Truncated -- router# router#show ip cef switching statistics feature IPv4 CEF input features:
In de bovenstaande show cef interface type sleuf / poort intern, tonen cef drop, tonen ip interface type sleuf / poort en tonen ipv6 interface type sleuf / poort, tonen ip cef switching statistieken functie en tonen ipv6 cef switching statistieken functie, en tonen ip verkeer en tonen ipv6 verkeer voorbeelden, uRPF heeft de volgende pakketten die globaal ontvangen op alle interfaces met uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren binnen de het doorsturen informatiebasis van Cisco Express Forwarding.
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ipv6 cef switching statistics feature IPv6 CEF input features: Feature Drop Consume Punt Punt2Host Gave route RP LES Verify Unicast R 10 0 0 0 0 Total 10 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router# router#show ipv6 traffic | include RPF 10 RPF drops, 0 RPF suppressed, 0 forced drop router#
- 18 IPv4-pakketten
- 10 IPv6-pakketten
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om deze kwetsbaarheden te exploiteren. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 11 0984 007B 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 11 0911 0400 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 1770 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 3EE4 1 Gi0/0 10.88.226.1 Gi0/1 192.168.60.22 11 007B 4650 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 12CA 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 11 12CA 001A 1 router#In het vorige voorbeeld zijn er meerdere stromen voor NTP op UDP-poort 123 (hex-waarde 007B), UDP-poort 1024 (hex-waarde 0400), UDP-poort 6000 (hex-waarde 1770), UDP-poort 16100 (hex-waarde 3E4), UDP-poort 18000 (hex-waarde 4650).
Dit verkeer wordt afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24 adresblok, dat door getroffen apparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te exploiteren. Beheerders wordt aangeraden om deze stromen te vergelijken met het gebruik van de basislijn voor NTP-verkeer dat op UDP-poorten 123, 1024, 6000, 16100 en 18000 wordt verzonden, en ook de stromen te onderzoeken om te bepalen of ze afkomstig zijn van onbetrouwbare hosts of netwerken.
Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 0016), TCP-poort 80 (hex-waarde 0050) en TCP-poort (hex-waarde 01BB) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_06_.*(0016|0050|01B)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
TCP-stromenrouter#show ip cache flow | include SrcIf|_06_.*(0016|0050|01BB)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 06 092A 0016 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 06 0C09 0016 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 06 0B66 0050 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 06 0914 0050 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 06 0B7B 01BB 2 router#
Zoals in het volgende voorbeeld wordt getoond, om alleen de pakketten op UDP-poort 123 (hex-waarde 007B), UDP-poort 1024 (hex-waarde 0400) en UDP-poort 6000 (hex-waarde 1770) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_11_.*(007B|0400|1770)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
UDP-stromenrouter#show ip cache flow | include SrcIf|_11_.*(007B|0400|1770)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 11 092A 007B 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 11 0C09 007B 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 11 0B66 0400 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 11 0914 1770 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 11 0B7B 1770 2 router#
Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden geprobeerd om te profiteren van de kwetsbaarheden die in dit document worden beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.
De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x16C4 0x007B 1464 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0016 1522 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x11 0x1610 0x1770 1001 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x11 0x1634 0x1770 1292 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x0000 0x0016 1155 2001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1092 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 1193Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
In het vorige voorbeeld zijn er meerdere IPv6-stromen voor NTP op UDP-poort 123 (hex-waarde 007B), SSH op TCP-poort 22 (hex-waarde 0016) en UDP-poort 6000 (hex-waarde 1770).
De pakketten op UDP-poort 123 en UDP-poort 6000 zijn afkomstig van en verzonden naar adressen binnen het adresblok 2001:DB8:1:60::/64 dat door de betreffende apparaten wordt gebruikt. De pakketten in de UDP-stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te benutten. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor verkeer op UDP haven 123 en UDP haven 6000 te vergelijken en ook de stromen te onderzoeken om te bepalen of zij van onbetrouwbare gastheren of netwerken afkomstig zijn.
Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 0016), TCP-poort 80 (hex-waarde 0050) en TCP-poort (hex-waarde 01B) te bekijken, gebruikt u het cachegeheugen van de show ipv6 flow | inclusief SrcIf|_06_.*(0016|0050|01B)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
TCP-stromenrouter#show ipv6 flow cache | include SrcIf|_06_.*(0016|0050|01BB)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0016 1597 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0050 1597 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x01BB 1597 router#
Zoals in het volgende voorbeeld wordt getoond, om alleen de NTP-pakketten op UDP-poort 123 (hex-waarde 007B), UDP-poort 1024 (hex-waarde 0400) en UDP-poort 6000 (hex-waarde 1770) te bekijken, gebruikt u de show ipv6 flow cache | inclusief SrcIf|_11_.*(007B|0400|1770)_ opdracht om de verwante Cisco NetFlow-records weer te geven:
UDP-stromenrouter#show ip cache flow | include SrcIf|_11_.*(007B|0400|1770)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x16C4 0x007B 1464 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x11 0x1610 0x0400 1001 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x11 0x1634 0x1770 1292 router#
Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow
Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ========== =========== ====== ======= 192.168.10.201 192.168.60.102 1456 22 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 123 123 Gi0/0 Gi0/1 2212 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.60.28 3451 22 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.60.97 4231 1770 Gi0/0 Gi0/1 146 17 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6Als u alleen de SSH-pakketten op TCP-poort 22 wilt bekijken, gebruikt u de tabel met de cacheindeling van de Show Flow Monitor FLOW-MONITOR-ipv4 | IPV4 DST ADDR |_(22)_.*_6_ opdracht om de gerelateerde NetFlow-records weer te geven.
Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1265 22 Gi0/0 Gi0/0 1237 6 2001:DB...06::201 2001:DB...28::20 1441 443 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1890 22 Gi0/0 Gi0/0 5009 6 2001:DB...06::201 2001:DB...28::20 2856 5060 Gi0/0 Gi0/0 486 17 2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.
Als u alleen de SSH op TCP-poort 22 wilt weergeven, gebruikt u de tabel met de cacheindeling van de Show Flow Monitor FLOW-MONITOR-ipv6 | inclusief IPV6 DST ADR|_(22)_.*_6_ opdracht om de verwante Cisco IOS flexibele NetFlow-records weer te geven.Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde pakketten die naar getroffen apparaten worden verzonden:
- SSH IPv4- en IPv6-pakketten op TCP-poort 22
- VSMS IPv4- en IPv6-pakketten op TCP-poorten 80 en 554
- VSOM IPv4- en IPv6-pakketten op TCP-poort 443
- VSVM IPv4- en IPv6-pakketten op TCP-poorten 1066 en 8086
- NTP IPv4- en IPv6-pakketten op UDP-poort 123
- Pakketten op UDP-poorten 1024-1999
- Packets op UDP-poorten 600-6999
- Pakketten op UDP-poorten 16100-16999
- Pakketten op UDP-poorten 18000-18999
- Pakketten op UDP-poorten 20000-20999
- Pakketten op UDP-poorten 55000-55999
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP | UDP ports | protocols ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 554 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 1066 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8086 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 123 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 1024 1999 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 6000 6999 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 16100 16999 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 18000 18999 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 20000 20999 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 55000 55999 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 22 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 554 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 1066 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8086 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 123 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 1024 1999 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 6000 6999 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 16100 16999 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 18000 18999 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 20000 20999 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 range 55000 55999 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP | UDP ports | protocols ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 22 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 554 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 1066 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8086 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 123 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 1024 1999 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 6000 6999 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 16100 16999 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 18000 18999 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 20000 20999 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 range 55000 55999 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 22 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 554 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 1066 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8086 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 123 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 1024 1999 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 6000 6999 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 16100 16999 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 18000 18999 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 20000 20999 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 range 55000 55999 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside
Identificatie: Toegangscontrolelijsten voor douanevervoer
Nadat tACL is toegepast op een interface, kunnen de beheerders het bevel van de show toegang-lijst gebruiken om het aantal pakketten te identificeren die zijn gefiltreerd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegangslijst tACL-Policy en toont toegangslijst IPv6-tACL-Policy volgt:firewall#show access-list tACL-Policy access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ssh (hitcnt=0) 0xed1065dd access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq www (hitcnt=0) 0x22aaee1d access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq https (hitcnt=0) 0x31d6aea3 access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq rtsp (hitcnt=0) 0x63da74df access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 1066 (hitcnt=0) 0x26c96c34 access-list tACL-Policy line 6 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8086 (hitcnt=0) 0x090719ee access-list tACL-Policy line 7 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ntp (hitcnt=0) 0x78708a59 access-list tACL-Policy line 8 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 1024 1999 (hitcnt=0) 0x37587597 access-list tACL-Policy line 9 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 6000 6999 (hitcnt=0) 0x81c8fdda access-list tACL-Policy line 10 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 16100 16999 (hitcnt=0) 0xd49298bb access-list tACL-Policy line 11 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 18000 18999 (hitcnt=0) 0x3634dbeb access-list tACL-Policy line 12 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 20000 20999 (hitcnt=0) 0xdb4a4026 access-list tACL-Policy line 13 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 range 55000 55999 (hitcnt=0) 0xa267094e access-list tACL-Policy line 14 extended deny tcp any 192.168.60.0 255.255.255.0 eq ssh (hitcnt=12) 0x641e0b4e access-list tACL-Policy line 15 extended deny tcp any 192.168.60.0 255.255.255.0 eq www (hitcnt=43) 0x1c132dc0 access-list tACL-Policy line 16 extended deny tcp any 192.168.60.0 255.255.255.0 eq https (hitcnt=54) 0x992592c4 access-list tACL-Policy line 17 extended deny tcp any 192.168.60.0 255.255.255.0 eq rtsp (hitcnt=32) 0x6fef18d4 access-list tACL-Policy line 18 extended deny tcp any 192.168.60.0 255.255.255.0 eq 1066 (hitcnt=76) 0xf6d3da61 access-list tACL-Policy line 19 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8086 (hitcnt=87) 0x300f96d0 access-list tACL-Policy line 20 extended deny udp any 192.168.60.0 255.255.255.0 eq ntp (hitcnt=54) 0x92a29788 access-list tACL-Policy line 21 extended deny udp any 192.168.60.0 255.255.255.0 range 1024 1999 (hitcnt=21) 0x0bbd3439 access-list tACL-Policy line 22 extended deny udp any 192.168.60.0 255.255.255.0 range 6000 6999 (hitcnt=89) 0xc71dc0d5 access-list tACL-Policy line 23 extended deny udp any 192.168.60.0 255.255.255.0 range 16100 16999 (hitcnt=22) 0x50a3f5bd access-list tACL-Policy line 24 extended deny udp any 192.168.60.0 255.255.255.0 range 18000 18999 (hitcnt=12) 0x36abaa23 access-list tACL-Policy line 25 extended deny udp any 192.168.60.0 255.255.255.0 range 20000 20999 (hitcnt=12) 0xec77d990 access-list tACL-Policy line 26 extended deny udp any 192.168.60.0 255.255.255.0 range 55000 55999 (hitcnt=53) 0xd3041ba6 access-list tACL-Policy line 27 extended deny ip any any (hitcnt=639) 0xfb7b3a57In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:- 12 SSH-pakketten op TCP-poort 22 voor ACE-lijn 14
- 43 VSMS-pakketten op TCP-poort 80 voor ACE-lijn 15
- 54 VSOM-pakketten op TCP-poort 443 voor ACE-lijn 16
- 32 VSMS-pakketten op TCP-poort 554 voor ACE-lijn 17
- 76 VSVM-pakketten op TCP-poort 1066 voor ACE-lijn 18
- 87 VSVM-pakketten op TCP-poort 8086 voor ACE-lijn 19
- 54 NTP-pakketten op UDP-poort 123 voor ACE-lijn 20
- 211 pakketten op UDP-poortbereik 1024-1099 voor ACE-lijn 21
- 89 pakketten op UDP-poortbereik 6000-6009 voor ACE-lijn 2
- 22 pakketten op UDP-poortbereik 161000-1699 voor ACE-lijn 23
- 12 pakketten op UDP-poortbereik 18000-1899 voor ACE-lijn 24
- 12 pakketten op UDP-poortbereik 20000-2099 voor ACE-lijn 25
- 53 pakketten op UDP-poortbereik 55000-55999 voor ACE-lijn 26
firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 27 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq ssh (hitcnt=0) 0xcd5dc697 ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq www (hitcnt=0) 0xefd0a39e ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq https (hitcnt=0) 0x7e70f8fc ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq rtsp (hitcnt=0) 0x0dddc752 ipv6 access-list IPv6-tACL-Policy line 5 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq 1066 (hitcnt=0) 0xdff50a3e ipv6 access-list IPv6-tACL-Policy line 6 permit tcp host 2001:db8::100:1 2001:db8:1:60::/64 eq 8086 (hitcnt=0) 0xa8fb3866 ipv6 access-list IPv6-tACL-Policy line 7 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 eq ntp (hitcnt=0) 0xa280450c ipv6 access-list IPv6-tACL-Policy line 8 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 1024 1999 (hitcnt=0) 0x1885ac1c ipv6 access-list IPv6-tACL-Policy line 9 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 6000 6999 (hitcnt=0) 0xac3af30f ipv6 access-list IPv6-tACL-Policy line 10 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 16100 16999 (hitcnt=0) 0xc0f8a01a ipv6 access-list IPv6-tACL-Policy line 11 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 18000 18999 (hitcnt=0) 0x191d4ecc ipv6 access-list IPv6-tACL-Policy line 12 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 20000 20999 (hitcnt=0) 0xf872ee86 ipv6 access-list IPv6-tACL-Policy line 13 permit udp host 2001:db8::100:1 2001:db8:1:60::/64 range 55000 55999 (hitcnt=0) 0xf3b02511 ipv6 access-list IPv6-tACL-Policy line 14 deny tcp any 2001:db8:1:60::/64 eq ssh (hitcnt=12) 0x4e953dfe ipv6 access-list IPv6-tACL-Policy line 15 deny tcp any 2001:db8:1:60::/64 eq www (hitcnt=43) 0x68a1721d ipv6 access-list IPv6-tACL-Policy line 16 deny tcp any 2001:db8:1:60::/64 eq https (hitcnt=54) 0x3bd72116 ipv6 access-list IPv6-tACL-Policy line 17 deny tcp any 2001:db8:1:60::/64 eq rtsp (hitcnt=32) 0x65f7c96f ipv6 access-list IPv6-tACL-Policy line 18 deny tcp any 2001:db8:1:60::/64 eq 1066 (hitcnt=76) 0xbad3a01e ipv6 access-list IPv6-tACL-Policy line 19 deny tcp any 2001:db8:1:60::/64 eq 8086 (hitcnt=87) 0x42ad6174 ipv6 access-list IPv6-tACL-Policy line 20 deny udp any 2001:db8:1:60::/64 eq ntp (hitcnt=54) 0xec42313f ipv6 access-list IPv6-tACL-Policy line 21 deny udp any 2001:db8:1:60::/64 range 1024 1999 (hitcnt=211) 0xece1bbe6 ipv6 access-list IPv6-tACL-Policy line 22 deny udp any 2001:db8:1:60::/64 range 6000 6999 (hitcnt=89) 0xeb692e71 ipv6 access-list IPv6-tACL-Policy line 23 deny udp any 2001:db8:1:60::/64 range 16100 16999 (hitcnt=22) 0xc634e4bc ipv6 access-list IPv6-tACL-Policy line 24 deny udp any 2001:db8:1:60::/64 range 18000 18999 (hitcnt=12) 0x6746462b ipv6 access-list IPv6-tACL-Policy line 25 deny udp any 2001:db8:1:60::/64 range 20000 20999 (hitcnt=12) 0x8f5b5954 ipv6 access-list IPv6-tACL-Policy line 26 deny udp any 2001:db8:1:60::/64 range 55000 55999 (hitcnt=53) 0xa678e66e ipv6 access-list IPv6-tACL-Policy line 27 deny ip any any (hitcnt=889) 0xa6445d5dIn het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy de volgende pakketten verbroken die van een onbetrouwbare host of een onbetrouwbaar netwerk worden ontvangen:- 12 SSH-pakketten op TCP-poort 22 voor ACE-lijn 14
- 43 VSMS-pakketten op TCP-poort 80 voor ACE-lijn 15
- 54 VSOM-pakketten op TCP-poort 443 voor ACE-lijn 16
- 32 VSMS-pakketten op TCP-poort 554 voor ACE-lijn 17
- 76 VSVM-pakketten op TCP-poort 1066 voor ACE-lijn 18
- 87 VSVM-pakketten op TCP-poort 8086 voor ACE-lijn 19
- 54 NTP-pakketten op UDP-poort 123 voor ACE-lijn 20
- 211 pakketten op UDP-poortbereik 1024-1099 voor ACE-lijn 21
- 89 pakketten op UDP-poortbereik 6000-6009 voor ACE-lijn 2
- 22 pakketten op UDP-poortbereik 161000-1699 voor ACE-lijn 23
- 12 pakketten op UDP-poortbereik 18000-1899 voor ACE-lijn 24
- 12 pakketten op UDP-poortbereik 20000-2099 voor ACE-lijn 25
- 53 pakketten op UDP-poortbereik 55000-55999 voor ACE-lijn 26
Identificatie: berichten in Firewall Access List System
Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.firewall#show logging | grep 106023 Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 dst inside:192.168.60.191/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 dst inside:192.168.60.33/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.99/2946 dst inside:192.168.60.240/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.100/2947 dst inside:192.168.60.115/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.88/2949 dst inside:192.168.60.38/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.175/2950 dst inside:192.168.60.250/6000 by access-group "tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:2001:db8:2::2:172/2951 dst inside:2001:db8:1:60::23/6000 by access-group "IPv6-tACL-Policy" Jul 22 2013 00:15:13: %ASA-4-106023: Deny udp src outside:2001:db8:d::a85e:172/2952 dst inside:2001:db8:1:60::134/6000 by access-group "IPv6-tACL-Policy" firewall#In het vorige voorbeeld, tonen de berichten die voor tACL tACL-Policy en IPv6-tACL-Policy worden geregistreerd potentieel gespoofde pakketten voor UDP-poort 6000 die naar het adresblok wordt verzonden dat aan getroffen apparaten wordt toegewezen.
Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.
Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events voor Cisco Security.Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding
De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en de Unicast Reverse Path Forwarding Cisco Security White Paper te begrijpen.Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Firewallsyslog-bericht 106021 wordt gegenereerd voor pakketten die worden geweigerd door uRPF. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106021.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.firewall#show logging | grep 106021 Jul 22 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Jul 22 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Jul 22 2013 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outsideDe opdracht Snel zetten kan ook het aantal pakketten identificeren dat de uRPF-functie is kwijtgeraakt, zoals in het volgende voorbeeld:firewall#show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#
In het voorafgaande voorbeeld, uRPF 11 IP pakketten gedaald die op interfaces met uRPF gevormd worden ontvangen. Het ontbreken van uitvoer geeft aan dat de uRPF-functie in de firewall geen pakketten heeft laten vallen.
Voor extra informatie over het debuggen van versnelde security pad gedropte pakketten of verbindingen, verwijzen we naar de Cisco Security Appliance Command Reference voor show asp drop.Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager, gebeurtenisviewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.
Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.
- Gebruik de doelgebeurtenis filter-to-filter netwerkobjecten die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Gebruik de Destination Service-gebeurtenisfilter-naar-filter-objecten die TCP-poorten 2, 80, 443, 1066 en 8086 bevatten; en UDP-poorten 123, 1024-1099, 6000-6999, 16100-16999, 18000-18999, 20000-20999 en 55000-55999 bevatten
- ASA 5500-4-106023 (ACL-ontkenning)
Cisco Security Manager-rapportbeheer
Ook in Rapportbeheer kan het Top Services-rapport worden gebruikt met de volgende configuratie om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:
- Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Stel een actie van Deny in op de pagina Criteria instellingen
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken, zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Syslog ID zoals weergegeven in de volgende lijst:
- ASA 5500-4-106023 (ACL-ontkenning)
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Minder tonenVersie Beschrijving doorsnede Datum 1 Eerste vrijgave 2013-juli-24 16:01 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Software voor Cisco Video Surveillance Operations Manager 3,0 (,0) | 3,1 (0,0,1) | 4,0 ( 1,0) | 4,1 ( 0,0, 0,1) | 4,2 ( 1,0)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten