Aktualisiert:13. September 2012

Dokument-ID:1470489910950157

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Cisco Applied Mitigation Bulletin

Identifizieren und Eindämmen der Ausnutzung der Anfälligkeit von Cisco ASA-CX und Cisco PRSM für die Protokollaufbewahrung bei Denial of Service

Dokument-ID:

26840

Zuerst veröffentlicht:

2012 12. September 16:00 Uhr GMT

Letzte Aktualisierung:

2012 13. September 16:08 Uhr GMT

Version:

CVE 2012 4629

Antwort von Cisco

Dieses "Applied Mitigation Bulletin" ist ein Begleitdokument zu den PSIRT-Sicherheitsempfehlungen Cisco ASA-CX und Cisco PRSM für die Protokollaufbewahrung von Schwachstellen bei Denial-of-Service-Angriffen und bietet Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten einsetzen können.

Merkmale der Schwachstelle

Die Cisco ASA-CX Context-Aware Security Appliance und der Cisco Prime Security Manager (PRSM) enthalten eine DoS-Schwachstelle (Denial of Service) in Versionen vor 9.0.2-103. Eine erfolgreiche Ausnutzung dieser Schwachstelle auf der Cisco ASA-CX kann dazu führen, dass das Gerät den Benutzerdatenverkehr nicht mehr verarbeitet und den Verwaltungszugriff auf die Cisco ASA-CX verhindert. Wenn diese Schwachstelle erfolgreich auf Cisco PRSM ausgenutzt wird, kann die Software u. U. nicht mehr reagieren und nicht mehr verfügbar sein.

Die Schwachstelle ist in der Cisco Bug-ID CSCub70603 (nur registrierte Kunden) für Cisco ASA-CX Context-Aware Security und Cisco Prime Security Manager dokumentiert und wurde mit der Common Vulnerabilities and Exposures (CVE)-ID CVE-2012-4629 identifiziert.

Überblick über Sicherheitslücken

Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory, die unter folgendem Link verfügbar ist: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120905-asacx.

Überblick über die Risikominderungstechnik

Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.

Die Cisco IOS Software bietet mithilfe von Infrastruktur-Zugriffskontrolllisten (Infrastructure Access Control Lists, iACLs) effektive Möglichkeiten zur Verhinderung von Exploits. Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstelle auszunutzen.

Eine effektive Exploit-Abwehr kann auch durch die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 gewährleistet werden, wenn eine ASA ohne das CX-Services-Modul eine ASA CX mit einer Services-Modul.

Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.

Die Firewalls Cisco IOS Software, Cisco ASA, Cisco ASASM und Cisco FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der Befehle show angezeigt werden.

Risikomanagement

Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

Vorsicht: Die Effektivität jeder Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

Cisco IOS-Router und -Switches
Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

Cisco IOS-Router und -Switches

Eindämmung: Infrastruktur-Zugriffskontrolllisten

Um Infrastrukturgeräte zu schützen und das Risiko, die Auswirkungen und die Effektivität direkter Angriffe auf die Infrastruktur zu minimieren, sollten Administratoren Infrastruktur-Zugriffskontrolllisten (iACLs) implementieren, um die Durchsetzung von Richtlinien für den an Infrastrukturgeräte gesendeten Datenverkehr zu ermöglichen. Administratoren können eine iACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen an die Geräte der Infrastruktur gesendet wird. Um einen maximalen Schutz für Infrastrukturgeräte zu gewährleisten, sollten bereitgestellte iACLs in Eingangsrichtung auf alle Schnittstellen angewendet werden, für die eine IP-Adresse konfiguriert wurde. Eine iACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die unten stehende iACL-Richtlinie verweigert nicht autorisierte IPv4- und IPv6-Pakete auf den TCP-Ports 22, TCP 443, UDP-Port 3799 und ICMP-Echo-Anfragen, die an betroffene ASA-CX-Management-Schnittstellen gesendet werden, sowie zusätzlich TCP-Port 446 und UDP-Port 514-Anfragen, die an betroffene PRSM-Server-Management-Schnittstellen gesendet werden. Im folgenden Beispiel ist 192.168.60.0/24 das Netzwerk, in dem sich die ASA-CX-Management-Schnittstelle befindet. 192.168.60.6/32 ist die PRSM-Server-Management-Schnittstelle. 2001:DB8:1:60::/64 steht für den IPv6-Adressraum, der von der betroffenen ASA-CX-Verwaltungsschnittstelle und PRSM Server-Verwaltungsschnittstelle verwendet wird. Die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Wenn möglich, sollte sich der Infrastruktur-Adressraum vom Adressraum unterscheiden, der für Benutzer- und Service-Segmente verwendet wird. Mit dieser Adressierungsmethode können Sie iACLs erstellen und bereitstellen.

Weitere Informationen zu iACLs finden Sie unter Protecting Your Core: Infrastructure Protection Access Control Lists (Schützen Ihres Kerns: Zugriffskontrolllisten für Infrastrukturschutz).

ip access-list extended Infrastructure-ACL-Policy
!
!-- Include explicit permit statements for trusted sources
!-- that require access to the management port on the ASA-CX
!
permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799
permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8
!
!-- Include additional permit statements for trusted sources
!-- that require access on the PRSM server
!
permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466
permit udp host 192.168.100.1 host 192.168.60.6 eq 514
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
deny tcp any 192.168.60.0 0.0.0.255 eq 22
deny tcp any 192.168.60.0 0.0.0.255 eq 443
deny udp any 192.168.60.0 0.0.0.255 eq 3799
deny icmp any 192.168.60.0 0.0.0.255 8
deny tcp any host 192.168.60.6 eq 4466
deny udp any host 192.168.60.6 eq 514
!
!-- Explicit deny ACE for traffic sent to addresses configured within
!-- the infrastructure address space
!
deny ip any 192.168.60.0 0.0.0.255  
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!
!-- Create the corresponding IPv6 tACL
!
ipv6  access-list IPv6-Infrastructure-ACL-Policy
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable protocol and port
!
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514
permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks to global and
!-- link-local addresses
!
deny tcp any 2001:DB8:1:60::/64 eq 22
deny tcp any 2001:DB8:1:60::/64 eq 443
deny tcp any 2001:DB8:1:60::/64 eq 4466
deny udp any 2001:DB8:1:60::/64 eq 3799
deny udp any 2001:DB8:1:60::/64 eq 514
!
!-- Permit other required traffic to the infrastructure address
!-- range and allow IPv6 neighbor discovery packets, which
!-- include neighbor solicitation packets and neighbor
!-- advertisement packets
!
permit icmp any any nd-ns
permit icmp any any nd-na
! 
!-- Explicit deny for all other IPv6 traffic to the global
!-- infrastructure address range
!
deny ipv6 any 2001:DB8:1:60::/64
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic
!-- in accordance with existing security policies and configurations
!
!
!-- Apply tACLs to interfaces in the ingress direction
!
interface GigabitEthernet0/0
ip access-group Infrastructure-ACL-Policy in
ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp error-interval-interval-in-ms vom Standard geändert werden.

Identifikation: Infrastruktur-Zugriffskontrolllisten

Nachdem der Administrator die iACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der IPv4- und IPv6-Pakete, die auf Schnittstellen gefiltert wurden, auf die die iACL angewendet wird. Administratoren sollten gefilterte Pakete untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show ip access-lists Infrastructure-ACL-Policy und show ipv6 access-list IPv6-Infrastructure-ACL-Policy:

router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 (60 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 (38 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799 (47 matches)
    40 permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8 (60 matches)
    50 permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466 (45 matches)
    60 permit udp host 192.168.100.1 host 192.168.60.6 eq 514 (46 matches)
    70 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (9 matches)
    80 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (27 matches)
    90 deny udp any 192.168.60.0 0.0.0.255 eq 3799(13 matches)
    100 deny icmp any 192.168.60.0 0.0.0.255 8 (55 matches)
    110 deny tcp any host 192.168.60.6 eq 4466(11 matches)
    120 deny udp any host 192.168.60.6 eq 514 (12 matches)
    130 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
router#

Im vorherigen Beispiel wurde die Zugriffsliste Infrastructure-ACL-Policy gelöscht.

9 SSH-Pakete auf TCP-Port 22 für Zugriffskontrolllisteneintrag (ACE) 70.
27 HTTPS-Pakete auf TCP-Port 443 für Zugriffskontrolllisteneintrag (ACE), Zeile 80.
13 Pakete auf UDP-Port 3799 für Zugriffskontrolllisteneintrag (ACE) 90.
55 ICMP-Pakete für Zugriffskontrolllisteneintrag (ACE), Leitung 100.
11 TCP-Pakete am TCP-Port 4466 für Zugriffskontrolllisteneintrag (ACE) 110.
12 SYSLOG-Pakete am UDP-Port 514 für die Zugriffskontrolllisten-Eingangsleitung (ACE) 120.

router#show ipv6 access-list IPv6-Infrastructure-ACL-Policy 
IPv6 access list IPv6-Infrastructure-ACL-Policy
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 (71 matches) sequence 10
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 (71 matches) sequence 20
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466 (71 matches) sequence 30
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799 (71 matches) sequence 40
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514 (71 matches) sequence 50
    permit icmp6 any 2001:DB8:1:60::/64 (71 matches) sequence 60
    deny tcp any 2001:DB8:1:60::/64 eq 22 (9 matches) sequence 70
    deny tcp any 2001:DB8:1:60::/64 eq 443 (27 matches) sequence 80
    deny tcp any 2001:DB8:1:60::/64 eq 4466 (13 matches) sequence 90
    deny udp any 2001:DB8:1:60::/64 eq 3799 (55 matches) sequence 100
    deny udp any 2001:DB8:1:60::/64 eq 514 (12 matches) sequence 101
    permit icmp any any nd-ns (80 matches) sequence 102
    permit icmp any any nd-na (80 matches) sequence 103
    deny ipv6 any 2001:DB8:1:60::/64 (5 matches) sequence 104

Im vorherigen Beispiel wurde die Zugriffsliste IPv6-Infrastructure-ACL-Policy gelöscht.

9 SSH-Pakete auf TCP-Port 22 für Zugriffskontrolllisteneintrag (ACE), Zeile 70.
27 HTTPS-Pakete auf TCP-Port 443 für Zugriffskontrolllisteneintrag (ACE), Zeile 80.
13 Pakete am TCP-Port 4466 für Zugriffskontrolllisteneintrag (ACE) 90.
55 TCP-Pakete auf UDP-Port 3799 für Zugriffskontrolllisteneintrag (ACE), Leitung 100.
12 SYSLOG-Pakete am UDP-Port 514 für die Zugriffskontrolllisteneingangsleitung (ACE) 101.

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security.

Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.

Cisco IOS NetFlow und Cisco IOS Flexible NetFlow

Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow

Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, die diese Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  01 0984 0800     9
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  01 0911 0000     4
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 01BB     1
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 0ED7     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 0016     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1
router#

Im vorherigen Beispiel gibt es mehrere Datenflüsse für SSH auf TCP-Port 22 (Hexadezimalwert 0016), HTTPS auf TCP-Port 443 (Hexadezimalwert 01BB), UDP-Port 3799 (Hexadezimalwert 0ED7) sowie ICMP-Echoanforderungen und Echoantworten (Hexadezimalwerte 0 B. 800 und 0000), in der Regel in der Regel nicht mehr enthalten sein.

Um nur die SSH-Pakete auf TCP-Port 22 (Hexadezimalwert 0016) und die TCP-Port 4466-Pakete (Hexadezimalwert 1172) anzuzeigen, verwenden Sie den Befehl show ip cache flow. | include SrcIf|_06_.*(0016|1172)_ command to display the related Cisco NetFlow records:

TCP-Flows

router#show ip cache flow | include SrcIf|_06_.*(0016|1172)
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 0016     3
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 1172     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 1172     3
router#

Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow

Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebene Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.

router#show ipv6 flow cache

IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added>
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Go0/1    0x06 0x16C4 0x0016 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x11 0x0000 0x0ED7 1168
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0016 1597
2001:DB...06::201 Gi0/0    2001:DB...28::20 Go0/1    0x06 0x16C4 0x1172 1466
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155

Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

Im vorherigen Beispiel gibt es mehrere IPv6-Flows für SSH an TCP-Port 22 (Hexadezimalwert 0016), UDP-Port 3799 (Hexadezimalwert 0ED7), TCP an Port 4466 (Hexadezimalwert 1172) .

Um nur die SSH-Pakete auf TCP-Port 22 (Hexadezimalwert 0016) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcIf|_06_.*0016_ command to display the related Cisco NetFlow records:

TCP-Flows

router#show ipv6 flow cache | include SrcIf|_06_.*0016_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x16C4 0x0016 1464 
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0016 1597
router#

Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco Flexible NetFlow

Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.

Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input

Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR  ipv4 dst addr  trns src port  trns dst port  intf input intf output pkts  ip prot
============== ============== =============  =============  ========== =========== ===== =======
192.168.10.201 192.168.60.102          1456             22       Gi0/0       Gi0/1 10128 6
192.168.10.201 192.168.60.102          1316            443       Gi0/0       Gi0/1 1898  6
192.168.10.201 192.168.60.102          1456           4466       Gi0/0       Gi0/1 1128  6
192.168.10.17  192.168.60.97           4231            514       Gi0/0       Gi0/1 14606 17
192.168.10.17  192.168.60.97           4231           3799       Gi0/0       Gi0/1 10223 17
10.88.226.1    192.168.202.22          2678             53       Gi0/0       Gi0/1 10567 17  
10.89.16.226   192.168.150.60          3562             80       Gi0/0       Gi0/1 30012 6

Um nur die SSH-Pakete auf dem TCP-Port 22 anzuzeigen, verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv4. | IPV4 DST-ADDR einschließen |_22_.*_6_, um die zugehörigen NetFlow-Datensätze anzuzeigen.

Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow-Konfigurationsleitfaden, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow-Konfigurationsleitfaden, Version 12.4T.

Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15,1-Tonnen-Zug . Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse auf der Grundlage der IPv6-Quelladresse, wie in der IPv6-Quelladresse zuordnen Schlüsselfeldaussage. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv6
 match ipv6 source address
 collect ipv6 protocol
 collect ipv6 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv6
 record FLOW-RECORD-ipv6
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
  ipv6 flow monitor FLOW-MONITOR-ipv6 input

Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                2

  Flows added:                                   539
  Flows aged:                                    532
    - Active timeout      (  1800 secs)          350
    - Inactive timeout    (    15 secs)          182
    - Event aged                                   0
    - Watermark aged                               0
    - Emergency aged                               0

IPV6 SRC ADDR     ipv6 dst addr    trns src port trns dst port intf input intf output pkts ip prot
================= ================ ============= ============= ========== =========== ==== =======
2001:DB...06::201 2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
2001:DB...06::201 2001:DB...28::20          1265            22      Gi0/0       Gi0/0 1237       6
2001:DB...06::201 2001:DB...28::20          1890           443      Gi0/0       Gi0/0 5009       6
2001:DB...06::201 2001:DB...28::20          1043          4466      Gi0/0       Gi0/0  501       6
2001:DB...06::201 2001:DB...28::20          2044          3799      Gi0/0       Gi0/0 4522      17
2001:DB...06::201 2001:DB...28::20          2856           514      Gi0/0       Gi0/0  486      17

Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

Um nur die SSH-Pakete auf dem TCP-Port 22 anzuzeigen, verwenden Sie die Formattabelle für den Flow Monitor FLOW-MONITOR-ipv6-Cache. | fügen Sie den IPV6 DST ADDR|_22_.*_6_-Befehl ein, um die zugehörigen Cisco IOS Flexible NetFlow-Datensätze anzuzeigen.

Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

Eindämmung: Transit-Zugriffskontrolllisten

Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die tACL-Richtlinie verweigert nicht autorisiertes SSH. Pakete an den TCP-Ports 22, TCP 443, UDP-Port 3799 und ICMP-Echoanfragen, die an betroffene ASA-CX-Managementschnittstellen gesendet werden, sowie zusätzlich TCP-Port 446 und UDP-Port 514-Anfragen, die an betroffene PRSM-Servermanagementschnittstellen gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocol and port !
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799
access-list tACL-Policy extended permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8
access-list tACL-Policy extended permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466
access-list tACL-Policy extended permit udp host 192.168.100.1 host 192.168.60.6 eq 514
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 22
access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 443
access-list tACL-Policy extended deny udp any 192.168.60.0 0.0.0.255 eq 3799
access-list tACL-Policy extended deny tcp any host 192.168.60.6 eq 4466
access-list tACL-Policy extended deny udp any host 192.168.60.6 eq 514
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations

access-list tACL-Policy extended permit icmp any any nd-ns
access-list tACL-Policy extended permit icmp any any nd-na
! !-- Explicit deny for all other IP traffic !
access-list tACL-Policy extended deny ip any any
access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

!
!-- Create the corresponding IPv6 tACL
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable protocols and ports
!
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514
ipv6 access-list IPv6-tACL-Policy permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 22
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 443
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 4466
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 3799
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 514
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!

ipv6 access-list IPv6-tACL-Policy permit icmp any any nd-ns
ipv6 access-list IPv6-tACL-Policy permit icmp any any nd-na
!-- Explicit deny for all other IP traffic
!
ipv6 access-list IPv6-tACL-Policy deny ip any any
!
!--

Identifizierung: Transit-Zugriffskontrolllisten

Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der an den TCP-Port 22, TCP 443, UDP-Port 3799 und ICMP-Echo-Anfragen, die an betroffene ASA-CX-Managementschnittstellen gesendet werden, sowie zusätzlich an den TCP-Port 446 und UDP-Port 514 gesendete Anfragen identifizieren. an betroffene PRSM-Serververwaltungsschnittstellen, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show access-list tACL-Policy und show access-list IPv6-tACL-Policy:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 14 elements; name hash: 0x3452703d
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq ssh (hitcnt=31)
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq https (hitcnt=13) 
access-list tACL-Policy line 3 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq 3799 (hitcnt=8)
access-list tACL-Policy line 4 extended permit icmp host 192.168.100.1 192.168.60.0 255.255.255.0 8 
  (hitcnt=8)
access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.6 255.255.255.255 
  eq 4466 (hitcnt=8)
access-list tACL-Policy line 6 extended permit udp host 192.168.100.1 192.168.60.6 255.255.255.255 
  eq syslog (hitcnt=8)
access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 0.0.0.255 eq ssh (hitcnt=9)
access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 0.0.0.255 eq https (hitcnt=27)
access-list tACL-Policy line 9 extended deny udp any 192.168.60.0 0.0.0.255 eq 3799 (hitcnt=13)
access-list tACL-Policy line 10 extended deny tcp any 192.168.60.6 0.0.0.0 eq 4466 (hitcnt=11)
access-list tACL-Policy line 11 extended deny udp any 192.168.60.6 0.0.0.0 eq syslog (hitcnt=12)
access-list tACL-Policy line 12 extended permit icmp any any nd-ns (hitcnt=144)
access-list tACL-Policy line 13 extended permit icmp any any nd-na (hitcnt=128)
access-list tACL-Policy line 14 extended deny ip any any (hitcnt=8)

Im vorherigen Beispiel wurde die Zugriffsliste "tACL-Policy" verworfen.

9 SSH-Pakete auf TCP-Port 22 für Zugriffskontrolllisteneintrag (ACE) 7
27 HTTPS-Pakete auf TCP-Port 443 für ACE-Leitung 8
13 Pakete auf UDP-Port 3799 für ACE-Leitung 9
11 TCP-Pakete am TCP-Port 4466 für ACE-Leitung 10
12 SYSLOG-Pakete auf UDP-Port 514 für ACE-Leitung 11

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 14 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 22 (hitcnt=52)
ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 443 (hitcnt=59)
ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 4466 (hitcnt=12)
ipv6 access-list IPv6-tACL-Policy line 4 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 3799 (hitcnt=22)
ipv6 access-list IPv6-tACL-Policy line 5 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 514 (hitcnt=11)
ipv6 access-list IPv6-tACL-Policy line 6 permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64 
  (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:DB8:1:60::/64 eq 22 (hitcnt=53)
ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:DB8:1:60::/64 eq 443 (hitcnt=133)
ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:DB8:1:60::/64 eq 4466 (hitcnt=11)
ipv6 access-list IPv6-tACL-Policy line 10 deny udp any 2001:DB8:1:60::/64 eq 3799 (hitcnt=35)
ipv6 access-list IPv6-tACL-Policy line 11 deny udp any 2001:DB8:1:60::/64 eq 514 (hitcnt=159)
ipv6 access-list IPv6-tACL-Policy line 12 permit icmp any any nd-ns (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 13 permit icmp any any nd-na (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 14 deny ipv6 any 2001:DB8:1:60::/64 (hitcnt=89)

Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

53 SSH-Pakete am TCP-Port 22 für ACE-Leitung 7
133 HTTPS-Pakete am TCP-Port 443 für ACE-Leitung 8
11 Pakete am TCP-Port 4466 für ACE-Leitung 9
35 Pakete auf UDP-Port 3799 für ACE-Leitung 10
159 SYSLOG-Pakete auf UDP-Port 514 für ACE-Leitung 11

Identifizierung: Firewall Access List, Syslog-Meldungen

Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.

Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

firewall#show logging | grep 106023
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/ssh by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 
         dst inside:192.168.60.33/443 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2946 
         dst inside:192.168.60.33/4466 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2947 
         dst inside:192.168.60.33/514 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2948 
         dst inside:192.168.60.33/3799 by access-group "tACL-Policy"
firewall#

Im vorherigen Beispiel zeigen die für die tACL-tACL-Richtlinie protokollierten Nachrichten SSH-Pakete für den TCP-Port 22, Pakete für den TCP-Port 443, Pakete für den TCP-Port 4466, Syslog-Pakete für den UDP-Port 514 und Pakete für den UDP-Port 3799 an. an den Adressblock gesendet, der den betroffenen Geräten zugewiesen ist.

Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Cisco Security Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events.

Cisco Security Manager, Ereignisanzeige

Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit der in diesem Dokument beschriebenen Schwachstelle zusammenhängen.

Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen.

Verwenden Sie den Zielereignisfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die TCP-Port 22 enthalten.
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die den TCP-Port 443 enthalten.
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die den TCP-Port 4466 enthalten.
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die den UDP-Port 3799 enthalten.
Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die den UDP-Port 514 enthalten.

Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.

Cisco Security Manager Report Manager

Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.

Im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebene Schwachstelle auszunutzen:

Verwenden Sie den Ziel-IP-Netzwerkfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"

Zusätzliche Informationen

Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

In diesem Bulletin

Schwachstellen bei Denial-of-Service-Protokollaufbewahrung von Cisco ASA-CX und Cisco PRSM

Revisionsverlauf

Version	Beschreibung	Abschnitt	Datum
2	Diese Version des Cisco Applied Mitigation Bulletin wurde aktualisiert, um ein Formatierungsproblem zu beheben.		13. September 2012, 16:08 Uhr GMT
1	Cisco Applied Mitigation Bulletin (erste öffentliche Version)		12. September 2012, 16:00 Uhr GMT

Weniger anzeigen

Cisco Sicherheitsverfahren

Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

Zugehörige Informationen

Betroffene Produkte

Die Sicherheitslücke betrifft die folgenden Produktkombinationen.

Primäre Produkte
Cisco	Cisco ASA CX Context-Aware Security Software	9,0 (.1-40, .2-68)
	Cisco Prime Security Manager (PRSM)	9,0 (.1-40, .2-68)

Zugehörige Produkte

Haftungsausschluss

Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.

Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.