Antwort von Cisco

• Die Router und Switches von HP, 3Com und H3C enthalten eine Schwachstelle, die es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen könnte, auf sensible Informationen in einem Zielsystem zuzugreifen.
  
  Die Schwachstelle ist auf einen nicht spezifizierten Fehler in der betroffenen Software zurückzuführen. Ein nicht authentifizierter, entfernter Angreifer könnte diese Schwachstelle ausnutzen, indem er erstellte Pakete vom Simple Network Management Protocol (SNMP), IP Version 4 (IPv4) und IP Version 6 (IPv6), die auf dem UDP-Port 161 installiert sind, an das Zielsystem sendet. Bei der Verarbeitung können die Anforderungen dem Angreifer den Zugriff auf vertrauliche Informationen im System ermöglichen.

Merkmale der Schwachstelle

• Details dieser Verwundbarkeit werden in Alert 27254 beschrieben.

Überblick über Sicherheitslücken

• HP hat das Security Bulletin c03515685 unter folgendem Link veröffentlicht: HPSBHF02819 SSRT100920
  
  Die betroffenen Produkte sind im HP Advisory aufgeführt.

Überblick über die Risikominderungstechnik

• Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
  

  • InfrastrukturZugriffskontrolllisten (iACLs)
  • Unicast Reverse Path Forwarding (URPF)
  • IP Source Guard (IPSG)

  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
  
  Mit den folgenden Methoden können zudem Cisco Adaptive Security Appliances der Serie ASA 5500, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 einen effektiven Schutz vor Exploits gewährleisten:
  

  • Transit-Zugriffskontrolllisten (tACLs)
  • Protokollüberprüfung auf Anwendungsebene
  • uRPF

  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
  
  Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
  
  Die Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM-Firewalls sowie die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

Risikomanagement

• Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

• Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

  Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

  • Cisco IOS-Router und -Switches
  • Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
  • Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Cisco IOS-Router und -Switches

  Eindämmung: Infrastruktur-Zugriffskontrolllisten

  Um Infrastrukturgeräte zu schützen und das Risiko, die Auswirkungen und die Effektivität direkter Angriffe auf die Infrastruktur zu minimieren, sollten Administratoren Infrastruktur-Zugriffskontrolllisten (iACLs) implementieren, um die Durchsetzung von Richtlinien für den an Infrastrukturgeräte gesendeten Datenverkehr zu ermöglichen. Administratoren können eine iACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen an die Geräte der Infrastruktur gesendet wird. Um einen maximalen Schutz für Infrastrukturgeräte zu gewährleisten, sollten bereitgestellte iACLs in Eingangsrichtung auf alle Schnittstellen angewendet werden, für die eine IP-Adresse konfiguriert wurde. Eine iACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die iACL-Richtlinie verweigert nicht autorisierte SNMP IPv4- und IPv6-Pakete auf dem UDP-Port 161, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Wenn möglich, sollte sich der Infrastruktur-Adressraum vom Adressraum unterscheiden, der für Benutzer- und Service-Segmente verwendet wird. Mit dieser Adressierungsmethode können Sie iACLs erstellen und bereitstellen.

  Weitere Informationen zu iACLs finden Sie unter Protecting Your Core: Infrastructure Protection Access Control Lists (Schützen Ihres Kerns: Zugriffskontrolllisten für Infrastrukturschutz).

  ip access-list extended Infrastructure-ACL-Policy
    !
   !-- Include explicit permit statements for trusted sources
   !-- that require access on the vulnerable port
   !
    permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 161
   !
   !-- The following vulnerability-specific access control entry
   !-- (ACE) can aid in identification of attacks
   !
    deny udp any 192.168.60.0 0.0.0.255 eq 161
   !
   !-- Explicit deny ACE for traffic sent to addresses configured within
   !-- the infrastructure address space
   !
    deny ip any 192.168.60.0 0.0.0.255  
   !
   !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
   !-- with existing security policies and configurations
   !
  !
  !-- Create the corresponding IPv6 iACL 
  !
  ipv6  access-list IPv6-Infrastructure-ACL-Policy
   !
   !-- Include explicit permit statements for trusted sources
   !-- that require access on the vulnerable port
   !
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 161
   !
   !-- The following vulnerability-specific access control entry
   !-- (ACE) can aid in identification of attacks to global and
   !-- link-local addresses
   !
    deny udp any 2001:DB8:1:60::/64 eq 161
   !
   !-- Permit other required traffic to the infrastructure address
   !-- range and allow IPv6 neighbor discovery packets, which
   !-- include neighbor solicitation packets and neighbor
   !-- advertisement packets
   !
    permit icmp any any nd-ns
    permit icmp any any nd-na
    ! 
   !-- Explicit deny for all other IPv6 traffic to the global
   !-- infrastructure address range
   !
    deny ipv6 any 2001:DB8:1:60::/64
    !
   !-- Permit or deny all other Layer 3 and Layer 4 traffic
   !-- in accordance with existing security policies and configurations
   ! !
   !-- Apply iACLs to interfaces in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group Infrastructure-ACL-Policy in
   ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

  Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls vom Standard abweichen.s ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp-Fehlerintervall-Intervall in ms.

  Identifikation: Infrastruktur-Zugriffskontrolllisten

  Nachdem der Administrator die iACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der SNMP IPv4- und IPv6-Pakete auf dem UDP-Port 161, die auf Schnittstellen gefiltert wurden, auf die die iACL angewendet wird. Administratoren sollten gefilterte Pakete untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists Infrastructure-ACL-Policy und show ipv6 access-list IPv6-Infrastructure-ACL-Policy:

  router#show ip access-lists Infrastructure-ACL-Policy
  Extended IP access list Infrastructure-ACL-Policy
      10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (60 matches)
      20 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (9 matches)
      30 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
  router#

  Identifizierung: Protokollierung der Zugriffsliste

  Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.

  Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.

  Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.

  Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.

  Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security.

  Eindämmung: Spoofing-Schutz

  Unicast Reverse Path Forwarding

  Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.

  uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.

  Weitere Informationen finden Sie im Funktionsleitfaden zur Unicast Reverse Path Forwarding Loose Mode.

  Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.

  IP-Quellschutz

  IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Bei ordnungsgemäßer Bereitstellung und Konfiguration bietet IPSG in Verbindung mit dem strengen Modus "uRPF" den effektivsten Spoofing-Schutz.

  Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.

  Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

  Bei ordnungsgemäßer Bereitstellung und Konfiguration von uRPF in der gesamten Netzwerkinfrastruktur können Administratoren den internen Steckplatz/Port des Schnittstellentyps "show cef", die show ip interface, die show cef drop-Funktion, die Funktion "show ip cef switching statistics" und die show ip traffic-Befehle verwenden, um die Anzahl der Pakete zu identifizieren, die uRPF verworfen hat.

  Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ip cef switching durch die Funktion show ip cef switching statistics ersetzt.

  Hinweis: Der Befehl show | Regex starten und Befehl anzeigen | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command der Cisco IOS Configuration Fundamentals Command Reference.

  router#show cef interface GigabitEthernet 0/0 internal | include drop
    ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
    IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0 (if IPv6 applies) 
  router#

  Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.

  router#show cef drop
  CEF Drop Statistics
  Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
  RP            27           0           0          18           0           0
  router#
  
  router#show ip interface GigabitEthernet 0/0 | begin verify
  
    IP verify source reachable-via RX, allow default, allow self-ping
    18 verification drops
    0 suppressed verification drops
  router#
  
  router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify
  
    IPv6 verify source reachable-via rx 
    0 verification drop(s) (process), 10 (CEF)
    0 suppressed verification drop(s) (process), 0 (CEF)
  
    --      CLI Output Truncated       --  
  router#
  
  router#show ip cef switching statistics feature
  
  IPv4 CEF input features:
  Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
  RP PAS uRPF                     18          0          0          0          0
  Total                           18          0          0          0          0
      --      CLI Output Truncated       --  
  
  router#
  
  router#show ipv6 cef switching statistics feature
  
  IPv6 CEF input features:
  Feature                       Drop   Consume   Punt   Punt2Host   Gave route
  RP LES Verify Unicast R         10         0      0           0            0
  Total                           10         0      0           0            0
      --      CLI Output Truncated       --  
  
  router#
  
  router#show ip traffic | include RPF
           18 no route, 18 unicast RPF, 0 forced drop
  router#
  
  router#show ipv6 traffic | include RPF
           10 RPF drops, 0 RPF suppressed, 0 forced drop
  router#

  In den vorangegangenen Beispielen für show cef interface type slot/port internal, show cef drop, show ip interface type slot/port und show ipv6 interface type slot/port, show ip cef switching statistics feature und show ipv6 cef switching statistics feature, and show ip traffic and show ipv6 traffic hat uRPF die folgenden Pakete verworfen wurde global an allen Schnittstellen empfangen, wobei uRPF konfiguriert wurde, da die Quelladresse der IP-Pakete in der Weiterleitungsdatenbank von Cisco Express Forwarding nicht überprüft werden konnte.

  • 18 IPv4-Pakete
  • 10 IPv6-Pakete

  Cisco IOS NetFlow und Cisco IOS Flexible NetFlow

  Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow

  Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebene Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

  router#show ip cache flow
  
  IP packet size distribution (90784136 total packets):
     1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000
  
      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
  
  IP Flow Switching Cache, 4456704 bytes
    1885 active, 63651 inactive, 59960004 added
    129803821 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds
  IP Sub Flow Cache, 402056 bytes
    0 active, 16384 inactive, 0 added, 0 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added
    last clearing of statistics never
  Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
  --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
  TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
  TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
  TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
  TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
  TCP-X              719      0.0         1    40      0.0       0.0       1.3
  TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
  TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
  TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
  UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
  UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
  UDP-other       310347      0.0         2   230      0.1       0.6      15.9
  ICMP             11674      0.0         3    61      0.0      19.8      15.5
  IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
  GRE                  4      0.0         1    48      0.0       0.0      15.3 
  Total:        59957957     14.8         1   196     22.5       0.0       1.5
  
  SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 00A1     1
  Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  11 0911 00A1     3
  Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
  Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   11 0B3E 00A1     5
  Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   11 0B89 00A1     1
  Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
  Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  11 0BD7 00A1     1
  Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

  Im vorherigen Beispiel gibt es mehrere Datenflüsse für SNMP auf dem UDP-Port 161 (Hexadezimalwert 00A1).

  Dieser Datenverkehr wird von Adressen im Adressblock 192.168.60.0/24 generiert und an diese gesendet, der von den betroffenen Geräten verwendet wird. Die Pakete in diesen Flows können gefälscht sein und einen Versuch anzeigen, diese Schwachstelle auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisauslastung für den SNMP-Datenverkehr zu vergleichen, der an UDP-Port 161 gesendet wird. Außerdem sollten sie die Flüsse untersuchen, um festzustellen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.

  Um nur die Datenverkehrsflüsse für SNMP-Pakete auf UDP-Port 161 (Hexadezimalwert 00A1) anzuzeigen, verwenden Sie den Befehl show ip cache flow. | include SrcIf|_11_.*00A1 command to display the related Cisco NetFlow records:

  UDP-Datenflüsse

  router#show ip cache flow | include SrcIf|_11_.*00A1
  
  SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  11 092A 00A1     6
  Gi0/0         192.168.11.230   Gi0/1         192.168.60.20   11 0C09 00A1     1
  Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  11 0B66 00A1    18
  Gi0/0         192.168.13.7     Gi0/1         192.168.60.162  11 0914 00A1     1
  Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   11 0B7B 00A1     2

  Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow

  Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebene Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

  Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.

  router#show ipv6 flow cache
  
  IP packet size distribution (50078919 total packets):
     1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

  IP Flow Switching Cache, 475168 bytes
    8 active, 4088 inactive, 6160 added
    1092984 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds

  IP Sub Flow Cache, 33928 bytes
    16 active, 1008 inactive, 12320 added, 6160 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added

  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  
  2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x00A1 1464
  2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
  2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x00A1 1001  
  2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x00A1 1292  
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
  2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
  2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193 

  Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

  Im vorherigen Beispiel gibt es mehrere IPv6-Flows für SNMP an UDP-Port 161 (Hexadezimalwert 00A1).

  Die SNMP-Pakete auf dem UDP-Port 161 stammen von Adressen aus dem Adressblock 2001:DB8:1:60::/64, der von den betroffenen Geräten verwendet wird, und werden an diese gesendet. Die Pakete in den UDP-Flows können gefälscht werden und einen Versuch anzeigen, diese Schwachstelle auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisnutzung für den SNMP-Datenverkehr auf UDP-Port 161 zu vergleichen und zu untersuchen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.

  UDP-Datenflüsse

  router#show ip cache flow | include SrcIf|_11_.*00A1_
  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  2001:DB...06::201 Gi0/0    2001:DB...28::20 Gi0/1    0x11 0x16C4 0x00A1 1464 
  2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x00A1 1001 
  2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x00A1 1292 
  router#

  Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

  Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.

  Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

  !
  !-- Configure key and nonkey fields
  !-- in the user-defined flow record
  !
  flow record FLOW-RECORD-ipv4
   match ipv4 source address
   collect ipv4 protocol
   collect ipv4 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  !
  !-- Configure the flow monitor to
  !-- reference the user-defined flow 
  !-- record
  !
  
  flow monitor FLOW-MONITOR-ipv4
   record FLOW-RECORD-ipv4
  !
  !-- Apply the flow monitor to the interface
  !-- in the ingress direction
  !
  
  interface GigabitEthernet0/0
   ip flow monitor FLOW-MONITOR-ipv4 input

  Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

  router#show flow monitor FLOW-MONITOR-ipv4 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                1
  
    Flows added:                                   9181
    Flows aged:                                    9175
      - Active timeout      (  1800 secs)          9000
      - Inactive timeout    (    15 secs)           175
      - Event aged                                    0
      - Watermark aged                                0
      - Emergency aged                                0
  
  IPV4 SRC ADDR   ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot
  ============== ============== ============= ============= ========== =========== ==== =======
  
  192.168.10.201 192.168.60.102          1456           161      Gi0/0       Gi0/1 1128      17
   192.168.11.54 192.168.60.158          8475           161      Gi0/0       Gi0/1 2212      17
  192.168.150.60   10.89.16.226          2567           443      Gi0/0       Gi0/1   13       6
   192.168.10.17  192.168.60.97          4231           161      Gi0/0       Gi0/1  146      17
     10.88.226.1 192.168.202.22          2678           443      Gi0/0       Gi0/1 8567       6
    10.89.16.226 192.168.150.60          3562            80      Gi0/0       Gi0/1 4012       6

  Um nur die SNMP-Pakete auf dem UDP-Port 161 anzuzeigen, verwenden Sie die Formattabelle für den FLOW-MONITOR-ipv4-Cache des Datenflussmonitors. | IPV4 DST-ADDR einschließen |_17_.*161_, um die zugehörigen NetFlow-Datensätze anzuzeigen.

  Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow-Konfigurationsleitfaden, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow-Konfigurationsleitfaden, Version 12.4T.

  Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

  Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse basierend auf der IPv6-Quelladresse, wie in der Schlüsselfeldanweisung match ipv6 source address definiert. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

  !
  !-- Configure key and nonkey fields
  !-- in the user-defined flow record
  !
  flow record FLOW-RECORD-ipv6
   match ipv6 source address
   collect ipv6 protocol
   collect ipv6 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  !
  !-- Configure the flow monitor to
  !-- reference the user-defined flow 
  !-- record
  !
  flow monitor FLOW-MONITOR-ipv6
   record FLOW-RECORD-ipv6
  !
  !-- Apply the flow monitor to the interface
  !-- in the ingress direction
  !
  
  interface GigabitEthernet0/0
    ipv6 flow monitor FLOW-MONITOR-ipv6 input

  Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

  router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                2
  
    Flows added:                                   539
    Flows aged:                                    532
      - Active timeout      (  1800 secs)          350
      - Inactive timeout    (    15 secs)          182
      - Event aged                                   0
      - Watermark aged                               0
      - Emergency aged                               0
  
  IPV6 SRC ADDR     ipv6 dst addr    trns src port trns dst port intf input intf output pkts ip prot
  ================= ================ ============= ============= ========== =========== ==== =======
  2001:DB...06::201 2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
  2001:DB...06::201 2001:DB...28::20          1265           161      Gi0/0       Gi0/0 1237      17
  2001:DB...06::201 2001:DB...28::20          1441           161      Gi0/0       Gi0/0 2346      17
  2001:DB...06::201 2001:DB...28::20          1890           161      Gi0/0       Gi0/0 5009      17
  
  2001:DB...06::201 2001:DB...28::20          2856          5060      Gi0/0       Gi0/0  486      17
  2001:DB...06::201 2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
  2001:DB...06::201 2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

  Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

  Um nur die SNMP-Pakete auf dem UDP-Port 161 anzuzeigen, verwenden Sie die Formattabelle für den FLOW-MONITOR-ipv6-Cache des Datenflussmonitors. | include IPV6 DST ADDR|_17_.*161_ command to display the related Cisco IOS Flexible NetFlow records.

  Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Eindämmung: Transit-Zugriffskontrolllisten

  Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die tACL-Richtlinie verweigert nicht autorisierte SNMP IPv4- und IPv6-Pakete auf dem UDP-Port 161, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

  !
  !-- Include explicit permit statements for trusted sources
  !-- that require access on the vulnerable port
  !
  access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 161
  !
  !-- The following vulnerability-specific ACE
  !-- can aid in identification of attacks
  !
  access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 161
  !
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Explicit deny for all other IP traffic
  !
  
  access-list tACL-Policy extended deny ip any any
  !
  !-- Create the corresponding IPv6 tACL
  !
  !-- Include explicit permit statements for trusted sources
  !-- that require access on the vulnerable port
  !
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            2001:db8:1:60::/64 eq 161
  !
  !-- The following vulnerability-specific ACE
  !-- can aid in identification of attacks
  !
  ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 161
  !
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Explicit deny for all other IP traffic
  !
  
  ipv6 access-list IPv6-tACL-Policy deny ip any any
  !
  !-- Apply tACLs to interfaces in the ingress direction
  !
  access-group tACL-Policy in interface outside
  access-group IPv6-tACL-Policy in interface outside

  Identifizierung: Transit-Zugriffskontrolllisten

  Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der gefilterten SNMP IPv4- und IPv6-Pakete auf UDP 161 identifizieren. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show access-list tACL-Policy und show access-list IPv6-tACL-Policy:

  firewall#show access-list tACL-Policy
  # show access-list tACL-Policy
  access-list tACL-Policy; 3 elements; name hash: 0x3452703d
  access-list tACL-Policy line 1 extended permit udp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq snmp (hitcnt=0) 0xcaf3631f 
  access-list tACL-Policy line 2 extended deny udp any 192.168.60.0 
       255.255.255.0 eq snmp (hitcnt=30) 0x446cdf70 
  access-list tACL-Policy line 3 extended deny ip any any (hitcnt=0) 0xfb7b3a57 

  Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy 30 SNMP-Pakete auf dem UDP-Port 161 verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  firewall#show access-list IPv6-tACL-Policy                 
  ipv6 access-list IPv6-tACL-Policy; 3 elements; name hash: 0x566a4229
  ipv6 access-list IPv6-tACL-Policy line 1 permit udp host 2001:db8::100:1 
       2001:db8:1:60::/64 eq snmp (hitcnt=0) 0xa71c462e 
  ipv6 access-list IPv6-tACL-Policy line 2 deny udp any 
       2001:db8:1:60::/64 eq snmp (hitcnt=20) 0xece82086 
  ipv6 access-list IPv6-tACL-Policy line 3 deny ip any any (hitcnt=0) 0xa6445d5d 

  Im vorherigen Beispiel wurden 20 SNMP-Pakete auf dem UDP-Port 161, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden, von der Zugriffsliste IPv6-tACL-Policy verworfen. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  Identifizierung: Firewall Access List, Syslog-Meldungen

  Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in den Systemprotokollnachrichten der Cisco ASA-Serie, Versionen 8.4, 8.5, 8.6 und 8.7 - 106023.

  Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

  Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

  Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

  firewall#show logging | grep 106023
  
    Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 
           dst inside:192.168.60.191/161 by access-group "tACL-Policy"
    Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 
           dst inside:192.168.60.33/161 by access-group "tACL-Policy"
    Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.99/2946 
   dst inside:192.168.60.240/161 by access-group "tACL-Policy"
   Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.100/2947 
   dst inside:192.168.60.115/161 by access-group "tACL-Policy"
   Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.88/2949 
   dst inside:192.168.60.38/161 by access-group "tACL-Policy"
   Oct 24 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.175/2950 
   dst inside:192.168.60.250/161 by access-group "tACL-Policy"
  firewall#

  Im vorherigen Beispiel zeigen die für die tACL-tACL-Richtlinie protokollierten Meldungen SNMP-Pakete für den UDP-Port 161 an, die an den Adressblock gesendet wurden, der den betroffenen Geräten zugewiesen ist.

  Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA Series System Log Messages, Version 8.4, 8.5, 8.6 und 8.7 . Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

  Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.

  Eindämmung: Protokollüberprüfung auf Anwendungsebene

  Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Dies geschieht durch die Konfiguration von Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen, die mithilfe einer globalen Richtlinie oder einer Schnittstellendienstrichtlinie angewendet werden.

  Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Erste Schritte mit der Protokollprüfung auf Anwendungsebene des Cisco Konfigurationsleitfadens für die Serie ASA 5500 unter Verwendung der CLI, 8.4 und 8.6 sowie im Abschnitt Konfigurieren der Anwendungsüberprüfung des Konfigurationsleitfadens für das ASA-Dienstmodul der Cisco Catalyst 6500-Serie, 8.5.

  Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.

  Simple Network Management Protocol-Anwendungsinspektion
  Mithilfe der SNMP-Anwendungsinspektions-Engine der Cisco Adaptive Security Appliances der Serie ASA 5500 und der Cisco Firewall Services-Module können Administratoren eine Richtlinie konfigurieren, die SNMPv1-, SNMPv2- und SNMPv2c-Meldungen verhindert, während SNMPv3-Meldungen die Firewall passieren lassen. Bei der folgenden SNMP-Anwendungsprüfung wird das MPF (Modular Policy Framework) verwendet, um eine Richtlinie für die Überprüfung des Datenverkehrs auf UDP-Port 161 zu erstellen. Die SNMP-Überprüfungsrichtlinie verwirft SNMPv1- und SNMPv2-Verbindungen.

  Achtung: Durch die Beschränkung des SNMP-Datenverkehrs auf SNMP Version 3 werden alle Anwendungen deaktiviert, die von früheren SNMP-Versionen abhängen.

  !
  !-- Configure an access list to match source addresses that do not 
  !-- require SNMP v1, v2, and v2c access to the affected devices
  !

  access-list authorized-snmp extended deny ip host 192.168.100.1 192.168.60.0 255.255.255.0 
  access-list authorized-snmp extended permit ip any 192.168.60.0 255.255.255.0

  !
  !-- Create a class map to deny unauthorized SNMPv1, SNMPv2, and SNMPv2c connections
  ! 
  class-map snmp-map
   match access-list authorized-snmp

  !
  !-- Configure an SNMP map to deny SNMPv1, SNMPv2, and SNMPv2c connections
  ! 
  snmp-map SNMPv3_only 
  deny version 1
  deny version 2
  deny version 2c
  !
  !-- Add the above-configured SNMP map to the default
  !-- policy "global_policy" and use it to
  !-- inspect SNMP traffic that transits the firewall
  !  
  policy-map global_policy
   class snmp_map
    inspect snmp SNMPv3_only 
  !
  !-- By default, the policy "global_policy" is applied globally,
  !-- which results in the inspection of traffic that enters the 
  !-- firewall from all interfaces
  ! 
  
  service-policy global_policy global

  Weitere Informationen zur SNMP-Anwendungsinspektion und zur MPF finden Sie im Abschnitt SNMP-Inspektion im Konfigurationsleitfaden zur Cisco Serie ASA 5500 unter Verwendung der CLI, 8.4 und 8.6.

  Identifikation: Application Layer Protocol Inspection

  Die Firewall-Syslog-Meldung 41601 wird generiert, wenn ein SNMP-Paket verworfen wird. Die Syslog-Meldung identifiziert die SNMP-Version des verlorenen Pakets. Weitere Informationen zu dieser Syslog-Meldung finden Sie in den Systemprotokollnachrichten der Cisco ASA-Serie, Versionen 8.4, 8.5, 8.6 und 8.7 - 41601.

  Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

  Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstelle auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.

  Simple Network Management Protocol-Anwendungsinspektion

  firewall# show logging | grep 416001
    Oct 24 2012 22:03:49: %ASA-4-416001: Dropped UDP SNMP packet
           from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
           version (2) is not allowed thru the firewall
    Oct 24 2012 22:03:50: %ASA-4-416001: Dropped UDP SNMP packet 
           from outside:192.168.60.63/32769 to inside:192.168.60.42/161; 
           version (1) is not allowed thru the firewall
    Oct 24 2012 22:03:51: %ASA-4-416001: Dropped UDP SNMP packet 
           from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
           version (1) is not allowed thru the firewall
    Oct 24 2012 22:03:52: %ASA-4-416001: Dropped UDP SNMP packet 
           from outside:192.168.60.63/32769 to inside:192.168.60.42/161;
           version (2) is not allowed thru the firewall

  Bei aktivierter SNMP-Überprüfung identifiziert der Befehl show service-policy die Anzahl der SNMP-Pakete, die von dieser Funktion geprüft und verworfen wurden. Das folgende Beispiel zeigt die Ausgabe für show service-policy:

  firewall# show service-policy | include snmp             
  
       Inspect: snmp deny_SNMPv1_2, packet 236, drop 6, reset-drop 0
  firewall#

  Im vorherigen Beispiel wurden 236 SNMP-Pakete überprüft und 6 SNMP-Pakete verworfen.

  Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

  Administratoren können uRPF als Spoofing-Schutzmechanismus bereitstellen und konfigurieren.

  uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene der benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden. Ab Version 12.(13)T wird uRPF auch für IPv6 unterstützt.

  Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie in der Cisco Security Appliance Command Reference for ip verify reverse path und im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.

  Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

  Die Firewall-Syslog-Meldung 106021 wird für Pakete generiert, die von uRPF abgelehnt wurden. Weitere Informationen zu dieser Syslog-Meldung finden Sie in den Systemprotokollnachrichten der Cisco ASA-Serie, Versionen 8.4, 8.5, 8.6 und 8.7 - 106021.

  Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

  Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

  Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

  firewall#show logging | grep 106021
  
    Oct 24 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
           192.168.60.1 to 192.168.60.100 on interface outside
    Oct 24 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
           192.168.60.1 to 192.168.60.100 on interface outside
    Oct 24 2012 00:15:13: %ASA-1-106021: Deny TCP reverse path check from
           192.168.60.1 to 192.168.60.100 on interface outside

  Der Befehl show asp drop kann außerdem die Anzahl der Pakete identifizieren, die durch die uRPF-Funktion verworfen wurden, wie im folgenden Beispiel gezeigt:

  firewall#show asp drop frame rpf-violated
    Reverse-path verify failed                          11
  firewall#

  Im vorherigen Beispiel hat uRPF 11 IP-Pakete verworfen, die an Schnittstellen mit konfiguriertem uRPF empfangen wurden. Fehlende Ausgabe zeigt an, dass die uRPF-Funktion der Firewall keine Pakete verworfen hat.

  Weitere Informationen zum Debuggen von Paketen oder Verbindungen, die über einen beschleunigten Sicherheitspfad verworfen wurden, finden Sie unter Cisco Security Appliance Command Reference (Cisco Security Appliance-Befehlsreferenz) für show asp drop.

Zusätzliche Informationen

• Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

• Version	Beschreibung	Abschnitt	Datum
  2	Aktualisierte CLI für die Anwendungsinspektion und klarere Kommentare für die Anwendungsinspektion.		31. Oktober 2012, 14:10 Uhr GMT
  1	Cisco Applied Mitigation Bulletin (erste öffentliche Version)		25. Oktober 2012, 17:50 Uhr GMT

  Weniger anzeigen

Cisco Sicherheitsverfahren

• Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

• • Cisco Applied Mitigation Bulletins
  • Cisco Security
  • Cisco Security IntelliShield Alert Manager Service
  • Cisco Leitfaden zum Absichern von Cisco IOS-Geräten
  • Cisco IOS NetFlow - Startseite auf Cisco.com
  • Cisco IOS NetFlow-Whitepaper
  • NetFlow-Leistungsanalyse
  • Cisco Network Foundation Protection - Whitepaper
  • Cisco Network Foundation Protection - Präsentationen
  • Ein sicherheitsorientierter Ansatz für die IP-Adressierung
  • Cisco Firewall-Produkte - Startseite auf Cisco.com
  • Cisco Catalyst ASA Services Module der Serie 6500
  • Common Vulnerabilities and Exposures (CVE)

Betroffene Produkte

• Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
  
  

  Primäre Produkte
  IntelliShield	Security Activity Bulletin	Ursprüngliche Version (Basis)

  
  
  

  Zugehörige Produkte