Antwort von Cisco

• Eine Schwachstelle in der Nano-10 Programmable Logic Controller (PLC) könnte einen Denial of Service (DoS) auf einem Zielgerät verursachen.

  Die Schwachstelle besteht darin, dass die betroffene Software bei der Verarbeitung von TCP-Paketen keine ausreichenden Boundary-Checks an vom Benutzer bereitgestellten Eingaben durchführt. Ein nicht authentifizierter, entfernter Angreifer könnte die Schwachstelle ausnutzen, indem er bösartige TCP-Pakete an ein Zielgerät sendet. Ein erfolgreicher Exploit könnte dazu führen, dass der Angreifer nicht mehr auf die Zielanwendung im Netzwerk zugreifen kann, was zu einem DoS-Zustand führt.

Merkmale der Schwachstelle

• Merkmale der Schwachstelle

  Details dieser Verwundbarkeit werden in Alert 2981 beschrieben.

Überblick über Sicherheitslücken

• Überblick über Sicherheitslücken

  ICS-CERT hat eine neue Sicherheitsempfehlung unter folgendem Link veröffentlicht: http://ics-cert.us-cert.gov/advisories/ICSA-13-189-02.

  Informationen zu vor Ort austauschbaren Einheiten finden Sie auf der Seite für technische Anfragen von Triangle Research unter http://www.triplc.com/techinq.htm.

Überblick über die Risikominderungstechnik

• Die Cisco IOS Software bietet mithilfe von Transit-Zugriffskontrolllisten (tACLs) effektive Möglichkeiten zur Verhinderung von Exploits.

  Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstelle auszunutzen.

  Mit tACLs können Sie außerdem einen effektiven Exploit-Schutz durch Cisco Adaptive Security Appliances der Serie ASA 5500, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 gewährleisten.

  Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, die Schwachstelle auszunutzen.

  Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.

  Die Firewalls Cisco IOS Software, Cisco ASA, Cisco ASASM und Cisco FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

Risikomanagement

• Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

• Vorsicht: Die Effektivität jeder Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

  Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

  • Cisco IOS-Router und -Switches
  • Cisco IOS-NetFlow
  • Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Cisco IOS-Router und -Switches

  Eindämmung: Transit-Zugriffskontrolllisten

  Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die tACL-Richtlinie verweigert nicht autorisierte MODBUS IPv4-Pakete auf dem TCP-Port 502, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.

  !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable port !
  access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 502
  ! !-- The following vulnerability-specific access control entry !-- (ACEs) can aid in identification of attacks !
  access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 502 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list 150 deny ip any any
  ! !-- Apply tACL to interface in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group 150 in

  Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mit dem Schnittstellenkonfigurationsbefehl no ip unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls ip icmp rate-limit unreachable interval-in-ms vom Standardwert geändert werden.

  Identifizierung: Transit-Zugriffskontrolllisten

  Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifiziert der Befehl show ip access-lists die Anzahl der MODBUS IPv4-Pakete auf dem TCP-Port 502, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show ip access-lists 150:

  router#show ip access-lists 150
  Extended IP access list 150
      10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 502
      20 deny tcp any 192.168.60.0 0.0.0.255 eq 502 (40 matches)
      30 deny ip any any
  router#

  Im vorherigen Beispiel hat die Zugriffsliste 150 40 MODBUS-Pakete auf dem TCP-Port 502 für die Zugriffskontrolllisteneintragszeile (ACE) 20 verworfen.

  Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.

  Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.

  Identifizierung: Protokollierung der Zugriffsliste

  Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.

  Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.

  Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.

  Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.

  Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security Intelligence Operations.

  
  

  Cisco IOS NetFlow und Cisco IOS Flexible NetFlow

  Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow

  Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument beschriebene Schwachstelle ausnutzen könnten. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstelle auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

  router#show ip cache flow
  IP packet size distribution (90784136 total packets):
     1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000
  
      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
  
  IP Flow Switching Cache, 4456704 bytes
    1885 active, 63651 inactive, 59960004 added
    129803821 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds
  IP Sub Flow Cache, 402056 bytes
    0 active, 16384 inactive, 0 added, 0 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added
    last clearing of statistics never
  Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
  --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
  TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
  TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
  TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
  TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
  TCP-X              719      0.0         1    40      0.0       0.0       1.3
  TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
  TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
  TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
  UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
  UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
  UDP-other       310347      0.0         2   230      0.1       0.6      15.9
  ICMP             11674      0.0         3    61      0.0      19.8      15.5
  IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
  GRE                  4      0.0         1    48      0.0       0.0      15.3 
  Total:        59957957     14.8         1   196     22.5       0.0       1.5
  
  SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 5004 01F6    40
  Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 5005 01F6    23
  Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 0050     1
  Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 5006 01F6    15
  Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 5007 01F6     1
  Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
  Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  11 0BD7 00A2     1
  Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

  Im vorherigen Beispiel gibt es mehrere Flows für MODBUS auf dem TCP-Port 502 (Hexadezimalwert 01F6).

  Um nur die Datenverkehrsflüsse für MODBUS-Pakete auf TCP-Port 502 (Hexadezimalwert 01F6) anzuzeigen, verwenden Sie den Befehl show ip cache flow | include SrcIf|_06_.*01F6 command to display the related Cisco NetFlow records:
  
  TCP-Flows

  router#show ip cache flow | include SrcIf|_06_.*01F6
  SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  06 5380 01F6    17
  Gi0/0         192.168.11.230   Gi0/1         192.168.60.20   06 5381 01F6    91
  Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  06 5382 01F6   108
  Gi0/0         192.168.13.7     Gi0/1         192.168.60.162  06 5383 01F6    31
  Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   06 5384 01F6     9

  Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow

  Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.

  Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.

  ! !-- Configure key and nonkey fields !-- in the user-defined flow record !
  flow record FLOW-RECORD-ipv4
   match ipv4 source address
   collect ipv4 protocol
   collect ipv4 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
  flow monitor FLOW-MONITOR-ipv4
   record FLOW-RECORD-ipv4
  ! !-- Apply the flow monitor to the interface !-- in the ingress direction !
  
  interface GigabitEthernet0/0
   ip flow monitor FLOW-MONITOR-ipv4 input

  Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:

  router#show flow monitor FLOW-MONITOR-ipv4 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                1
  
    Flows added:                                   9181
    Flows aged:                                    9175
      - Active timeout      (  1800 secs)          9000
      - Inactive timeout    (    15 secs)           175
      - Event aged                                    0
      - Watermark aged                                0
      - Emergency aged                                0
  
  IPV4 SRC ADDR   ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot
  ============== ============== ============= ============= ========== =========== ==== =======
  192.168.10.201 192.168.60.102          5540           502      Gi0/0       Gi0/1  937       6
   192.168.11.54 192.168.60.158           123           123      Gi0/0       Gi0/1 2212      17
  192.168.150.60   10.89.16.226          2567           443      Gi0/0       Gi0/1   13       6
   192.168.13.97  192.168.60.28          5541           502      Gi0/0       Gi0/1   88       6
   192.168.10.17  192.168.60.97          5542           502      Gi0/0       Gi0/1    9       6
     10.88.226.1 192.168.202.22          2678            53      Gi0/0       Gi0/1 8567      17
    10.89.16.226 192.168.150.60          3562            80      Gi0/0       Gi0/1 4012       6

  Wenn Sie nur den MODBUS auf dem TCP-Port 502 anzeigen möchten, verwenden Sie die Tabelle mit dem Cacheformat "show flow monitor FLOW-MONITOR-ipv4". | IPV4 DST-ADDR einschließen |_502.*_6_, um die zugehörigen NetFlow-Datensätze anzuzeigen.

  Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Flexible NetFlow-Konfigurationsleitfaden, Cisco IOS Release 15.1M&T und Cisco IOS Flexible NetFlow-Konfigurationsleitfaden, Version 12.4T.

  
  

  Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Eindämmung: Transit-Zugriffskontrolllisten

  Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die tACL-Richtlinie verweigert nicht autorisierte MODBUS IPv4-Pakete auf dem TCP-Port 502, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

  ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !
  access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 502
  ! !-- The following vulnerability-specific ACEs !-- can aid in identification of attacks !
  access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 502
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list tACL-Policy extended deny ip any any
  ! !-- Apply tACLs to interfaces in the ingress direction !
  access-group tACL-Policy in interface outside

  Identifizierung: Transit-Zugriffskontrolllisten

  Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der MODBUS IPv4-Pakete auf dem TCP-Port 502 identifizieren, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstelle auszunutzen. Beispielausgabe für show access-list tACL-Policy:

  firewall#show access-list tACL-Policy
  access-list tACL-Policy; 3 elements; name hash: 0x3452703d
  access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 502 (hitcnt=18)
  access-list tACL-Policy line 2 extended deny tcp any 192.168.60.0 
       255.255.255.0 eq 502 (hitcnt=34)
  access-list tACL-Policy line 3 extended deny ip any any (hitcnt=3)

  Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy 34 MODBUS-Pakete auf dem TCP-Port 502 verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden. Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.

  Identifizierung: Firewall Access List, Syslog-Meldungen

  Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.

  Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

  Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

  Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

  firewall#show logging | grep 106023
    Jul 12 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/5534 
           dst inside:192.168.60.191/502 by access-group "tACL-Policy"
    Jul 12 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/5535 
           dst inside:192.168.60.33/502 by access-group "tACL-Policy"
    Jul 12 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/5536 
           dst inside:192.168.60.240/502 by access-group "tACL-Policy"
    Jul 12 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/5537 
           dst inside:192.168.60.115/502 by access-group "tACL-Policy"
  firewall#

  Im vorherigen Beispiel zeigen die für die tACL tACL-Policy protokollierten Meldungen MODBUS-Pakete für den TCP-Port 502 an, die an den Adressblock gesendet wurden, der den betroffenen Geräten zugewiesen ist.

  Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

  Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.

  
  

Zusätzliche Informationen

• Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

• Version	Beschreibung	Abschnitt	Datum
  1	Erstveröffentlichung		12. Juli 2013, 21:38 Uhr GMT

  Weniger anzeigen

Cisco Sicherheitsverfahren

• Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

• • Cisco Applied Mitigation Bulletins
  • Cisco Security
  • Cisco Security IntelliShield Alert Manager Service
  • Cisco Leitfaden zum Absichern von Cisco IOS-Geräten
  • Cisco IOS NetFlow - Startseite auf Cisco.com
  • Cisco IOS NetFlow-Whitepaper
  • NetFlow-Leistungsanalyse
  • Cisco Network Foundation Protection - Whitepaper
  • Cisco Network Foundation Protection - Präsentationen
  • Ein sicherheitsorientierter Ansatz für die IP-Adressierung
  • Cisco Firewall-Produkte - Startseite auf Cisco.com
  • Cisco Catalyst ASA Services Module der Serie 6500
  • Common Vulnerabilities and Exposures (CVE)

Betroffene Produkte

• Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
  
  

  Primäre Produkte
  IntelliShield	Security Activity Bulletin	Ursprüngliche Version (Basis)

  
  
  

  Zugehörige Produkte