-
Cisco Response
Dit Toegepaste Matiging Bulletin is een begeleidend document aan de volgende PSIRT Security Advisories:
Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
Kwetsbaarheid Kenmerken
-
Overzicht Mitigation Technique
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden met. Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.
Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.
-
Risicobeheer
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco-inbraakpreventiesysteem
- Sourcefire inbraakpreventiesysteem
- Cisco Ironport cloudbeveiliging
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor infrastructuur
Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen te minimaliseren, wordt beheerders aangeraden om iACL’s te implementeren voor het uitvoeren van beleidshandhaving van verkeer dat naar infrastructuurapparatuur wordt verzonden. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het iACL-beleid ontkent onbevoegde IPv4- en IPv6-pakketten op en die naar getroffen apparaten worden verzonden. In het volgende voorbeeld staat 192.168.60.0/242001:DB8:1:60::/64 voor de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de host op 192.168.100.1 2001:DB8::100:1 wordt beschouwd als een vertrouwde bron die toegang tot de betreffende apparaten vereist. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.
Zie Uw kern beveiligen: Toegangscontrolelijsten voor infrastructuurbescherming voor aanvullende informatie over iACL’s.
ip access-list extended Infrastructure-ACL-Policy
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! deny ip any 192.168.60.0 0.0.0.255 ! ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any 2001:DB8:1:60::/64 ! ! !-- Apply tACLs to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACL-Policy in ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy inMerk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp error-interval interval-in-ms.
Zie het witboek Cisco Security Intelligence Operations Identificeert de effectiviteit van beveiligingsbeperkingen met Cisco IOS-software voor informatie over het gebruik van de Cisco IOS-opdrachtregelinterface voor het meten van de effectiviteit van beveiligingsbeperkingen.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 1 Waarschuwingsgeschiedenis
Eerste vrijgave2014-maart-05 16:02 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco draadloze LAN-controller (WLC) 4.0 (.108, .155.0, .155.5, .179.8, .179.11, .196, .206.0, .217.0, .219.0) | 4.1 (Basis, .171.0, .181.0, .185.0) | 4.2 (Basis, .61.0, .99.0, .112.0, .117.0, .130.0, .173.0, .174.0, .176.0, .182.0) | 5,0 ( 0,148,0, 0,148,2) | 5,1 ( 0,151,0, 0,152,0, 0,160,0) | 5,2 ( 0,157,0, 0,169,0) | 6.0 (Base, 182.0, 188.0, 196.0, 199.4, 202.0) | 7.0 (Basis, 98.0, 98.218, 116.0, 220.0) | 7.1 (Basis, 91.0) | 7.2 (Basis, 103.0) | 7.3 (Basis, 0,101,0, 0,112) | 7.4 (Basis, 1.54, 100, 100.60, 110.0) | 7,5 (basis, 0,102,0)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten