Cisco Applied Mitigation Bulletin-
Im Rahmen des monatlichen Security Bulletins vom 10. September 2013 kündigte Microsoft 13 Security Bulletins zur Behebung von 47 Sicherheitslücken an. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms13-sep. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern, können mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden. Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom September 2013 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS13-067, Sicherheitslücken in Microsoft SharePoint Server können die entfernte Codeausführung erlauben (2834052): Diesen Sicherheitslücken wurden Common Vulnerabilities and Exposures (CVE)-Identifikatoren zugewiesen:
- CVE 2013-0081
- CVE 2013 1315
- CVE 2013 1330
- CVE 2013 3179
- CVE 2013 3180
- CVE 2013 3847
- CVE 2013 3848
- CVE 2013 3849
- CVE 2013 3857
- CVE 2013 3858
Diese Schwachstellen können lokal und remote ausgenutzt werden, mit und ohne Authentifizierung und mit und ohne Benutzerinteraktion.
Erfolgreiche Ausnutzung der Schwachstellen in Zusammenhang mit CVE-2013-1315, CVE-2013-3847, CVE-2013-3848, CVE-2013-3849, CVE-2013-3 857 und CVE-2013-3858 ermöglichen die Ausführung von Remote-Code. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP-Pakete, die normalerweise TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
Eine erfolgreiche Ausnutzung der Schwachstellen, die mit CVE-2013-3179 und CVE-2013-3180 in Verbindung stehen, kann die Privilegierung ermöglichen. Site-übergreifendes Skripting und Phishing könnten ebenfalls eingesetzt werden, um diese Schwachstelle auszunutzen. Aufgrund der Art der Site-übergreifenden Skripting-Schwachstellen werden in diesem Bulletin keine zusätzlichen Informationen zu dieser Schwachstelle bereitgestellt. Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstellen finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
Eine erfolgreiche Ausnutzung der Schwachstelle in CVE-2013-0081 kann zu einer Denial of Service (DoS)-Bedingung führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP-Pakete, die normalerweise TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
MS13-071, Schwachstelle in Windows Theme File Could Allow Remote Code Execution (2864063): Dieser Schwachstelle wurde die CVE-Kennung CVE-2013-0810 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und mit Benutzerinteraktion per Fernzugriff ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann die entfernte Codeausführung ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP-Pakete, die normalerweise TCP-Port 80 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
MS13-079, Schwachstelle in Active Directory kann zu Diensteverweigerung führen (2853587): Dieser Schwachstelle wurde die CVE-Kennung CVE-2013-3868 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann zu einer DoS-Bedingung führen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor wird durch LDAP-Pakete (Lightweight Directory Access Protocol) generiert, die die TCP-Ports 389, 636, 3268, 3269 oder UDP-Port 389 verwenden. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
-
Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in der Microsoft Security Bulletin Summary for September 2013 unter dem folgenden Link: http://www.microsoft.com/technet/security/bulletin/ms13-sept.mspx
-
Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern, können mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden. Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunkt-Schutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- Transit-Zugriffskontrolllisten (tACLs)
- Unicast Reverse Path Forwarding (URPF)
- IP Source Guard (IPSG)
Diese Schutzmechanismen filtern und löschen Pakete und überprüfen die Quell-IP-Adresse von Paketen, die versuchen, Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk aufweisen.
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, bei denen Pakete mit gefälschten Quell-IP-Adressen verwendet werden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor gefälschten Paketen auf der Zugriffsebene.
Mit den folgenden Methoden können zudem Cisco Adaptive Security Appliances der Serie ASA 5500, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 einen effektiven Schutz vor Exploits gewährleisten:
- tACL
- Protokollüberprüfung auf Anwendungsebene
- uRPF
Diese Schutzmechanismen filtern und löschen Pakete und überprüfen die Quell-IP-Adresse von Paketen, die versuchen, Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk aufweisen.
Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten zudem mithilfe der Anwendungsprotokollüberprüfung einen effektiven Schutz vor Exploits.
Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Die Cisco IOS Software, Cisco ASA, Cisco ASASM, Cisco FWSM-Firewalls sowie die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die versuchen, diese Schwachstellen auszunutzen, wie weiter unten in diesem Dokument beschrieben.
Der Cisco Security Manager bietet außerdem Transparenz für Vorfälle, Abfragen und Ereignisberichte.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Gerätespezifische Eindämmung und Identifizierung
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco IOS-NetFlow
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco ACE
- Cisco Intrusion Prevention System
- Cisco Security Manager
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Für MS13-079 zum Schutz des Netzwerks vor Datenverkehr, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten, wird empfohlen, Transit-Zugriffskontrolllisten (tACLs) bereitzustellen, um Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte LDAP IPv4- und IPv6-Pakete an den TCP-Ports 389, 636, 3268 und 3269 sowie an den UDP-Port 389, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.
!-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3269 access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks against MS13-079 ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 389 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 636 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3268 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3269 access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 389! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3269 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389
! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses for MS13-079 ! deny tcp any 2001:DB8:1:60::/64 eq 389 deny tcp any 2001:DB8:1:60::/64 eq 636 deny tcp any 2001:DB8:1:60::/64 eq 3268 deny tcp any 2001:DB8:1:60::/64 eq 3269 deny udp any 2001:DB8:1:60::/64 eq 389
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy in
Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp error-interval- interval-in-ms vom Standard geändert werden.
Identifizierung: Transit-Zugriffskontrolllisten
Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der LDAP IPv4- und IPv6-Pakete auf den TCP-Ports 389, 636, 3268 und 3269 sowie dem UDP-Port 389, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists 150 und show ipv6 access-list IPv6-Transit-ACL-Policy:
router#show ip access-lists 150 Extended IP access list 150 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268 40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3269 50 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389 60 deny tcp any 192.168.60.0 0.0.0.255 eq 389 (13 matches) 70 deny tcp any 192.168.60.0 0.0.0.255 eq 636 (29 matches) 80 deny tcp any 192.168.60.0 0.0.0.255 eq 3268 (16 matches) 90 deny tcp any 192.168.60.0 0.0.0.255 eq 3269 (6 matches) 100 deny udp any 192.168.60.0 0.0.0.255 eq 389 (30 matches) 110 deny ip any any router#
Im vorherigen Beispiel hat die Zugriffsliste 150 die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 13 LDAP-Pakete auf TCP-Port 389 für ACE-Leitung 60
- 29 LDAP-Pakete auf TCP-Port 636 für ACE-Leitung 70
- 16 LDAP-Pakete auf TCP-Port 3268 für ACE-Leitung 80
- 6 LDAP-Pakete auf TCP-Port 3269 für ACE-Leitung 90
- 30 LDAP-Pakete auf UDP-Port 389 für ACE-Leitung 100
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 (38 matches) sequence 10 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636 (31 matches) sequence 20 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268 (13 matches) sequence 30 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3269 (76 matches) sequence 40 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 (43 matches) sequence 50 deny tcp any 2001:DB8:1:60::/64 eq 389 (32 matches) sequence 60 deny tcp any 2001:DB8:1:60::/64 eq 636 (33 matches) sequence 70 deny tcp any 2001:DB8:1:60::/64 eq 3268 (34 matches) sequence 80 deny tcp any 2001:DB8:1:60::/64 eq 3269 (35 matches) sequence 90
deny udp any 2001:DB8:1:60::/64 eq 389 (43 matches) sequence 100 permit icmp any any nd-ns (41 matches) sequence 110 permit icmp any any nd-na (41 matches) sequence 120 deny ipv6 any any (21 matches) sequence 130
Im vorherigen Beispiel hat die Zugriffsliste IPv6-Transit-ACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 32 TCP-Pakete auf LDAP-Port 389 für ACE-Leitung 60
- 33 TCP-Pakete auf LDAP-Port 636 für ACE-Leitung 70
- 34 TCP-Pakete auf LDAP-Port 3268 für ACE-Leitung 80
- 35 TCP-Pakete auf LDAP-Port 3269 für ACE-Leitung 90
- 43 UDP-Pakete auf LDAP-Port 389 für ACE-Leitung 100
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.
Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Cisco Security Intelligence Operations enthält weitere Informationen zur Verwendung dieser Funktion.
Identifizierung: Protokollierung der Zugriffsliste
Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.
Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.
Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die IPv4-ACL-Protokollierung induzierten Prozess-Switching begrenzen. Der Befehl logging rate-limit rate-per-second [ except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.
Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware der Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.
Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Cisco Security Intelligence Operations.
Eindämmung: Spoofing-Schutz
Unicast Reverse Path Forwarding
Einige der in diesem Dokument beschriebenen Schwachstellen mit einem Netzwerkangriffsvektor können durch gefälschte IP-Pakete ausgenutzt werden. Die ordnungsgemäße Bereitstellung und Konfiguration von Unicast Reverse Path Forwarding (uRPF) kann Schutzmechanismen für Spoofing bereitstellen, die mit den folgenden Sicherheitslücken in Zusammenhang stehen:
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Whitepaper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.
IP-Quellschutz
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Die richtige Bereitstellung und Konfiguration von IPSG in Verbindung mit dem strengen Modus "uRPF" bietet den effektivsten Spoofing-Schutz, um die folgenden Schwachstellen zu beheben:
Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.
Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Bei ordnungsgemäßer Bereitstellung und Konfiguration von uRPF in der gesamten Netzwerkinfrastruktur können Administratoren den internen Steckplatz/Port des Schnittstellentyps "show cef", die Befehle "show ip interface", " show cef drop", "show ip cef switching statistics" und " show ip traffic" verwenden, um die Anzahl der Pakete zu identifizieren, die uRPF verworfen hat.
Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ip cef switching durch die Funktion show ip cef switching statistics ersetzt.
Hinweis: Der Befehl show | Regex starten und Befehl anzeigen | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command in der Cisco IOS Configuration Fundamentals Command Reference.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0 router#
Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.
router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify IPv6 verify source reachable-via rx 0 verification drop(s) (process), 10 (CEF) 0 suppressed verification drop(s) (process), 0 (CEF) -- CLI Output Truncated -- router# router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ipv6 cef switching statistics feature IPv6 CEF input features: Feature Drop Consume Punt Punt2Host Gave route RP LES Verify Unicast R 10 0 0 0 0 Total 10 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router# router#show ipv6 traffic | include RPF 10 RPF drops, 0 RPF suppressed, 0 forced drop router#
Im vorherigen Beispiel zeigen cef-Schnittstellentyp Slot/Port intern, zeigen cef drop, zeigen ip-Schnittstellentyp Slot/Port und zeigen ipv6-Schnittstellentyp Slot/Port, zeigen ip cef-Switching-Statistik und zeigen ipv6 cef-Switching-Statistik-Funktion und zeigen ip-Verkehr-Beispiele, uRPF hat die folgenden empfangenen Pakete verworfen global an allen Schnittstellen mit uRPF konfiguriert, da die Quelladresse der IP-Pakete in der Weiterleitungsdatenbank von Cisco Express Forwarding nicht überprüft werden kann.
- 18 IPv4-Pakete
- 10 IPv6-Pakete
Cisco IOS NetFlow und Cisco IOS Flexible NetFlow
Identifikation: Identifikation des IPv4-Datenverkehrs mit Cisco IOS NetFlow
Für MS13-079 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebenen Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.211 Gi0/1 192.168.60.119 06 0984 0185 1 Gi0/0 192.168.60.154 Gi0/1 192.168.60.151 11 0911 0185 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.197 Gi0/1 192.168.60.218 06 0B3E 027C 5 Gi0/0 192.168.10.117 Gi0/1 192.168.60.127 06 0B89 0CC4 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1Gi0/0 192.168.12.134 Gi0/1 192.168.60.39 06 0BD7 01BD 1
Gi0/0 192.168.12.125 Gi0/1 192.168.60.133 06 0BD7 0CC5 1 Gi0/0 192.168.12.195 Gi0/1 192.168.60.121 06 0BD7 008B 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1
Im vorherigen Beispiel gibt es mehrere Datenflüsse für LDAP an den TCP-Ports 389 (Hexadezimalwert 0185), 636 (Hexadezimalwert 027C), 3268 (Hexadezimalwert 0CC4), 3269 (Hexadezimalwert 0CC5) und UDP. Port 389 (Hexadezimalwert 0185).
Dieser Datenverkehr wird an Adressen im Adressblock 192.168.60.0/24 gesendet, der für Infrastrukturgeräte verwendet wird. Die Pakete in diesen Flows können gefälscht sein und einen Versuch anzeigen, diese Schwachstellen auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisauslastung für den LDAP-Datenverkehr auf UDP-Port 389 zu vergleichen und sie zu untersuchen, um festzustellen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.
Um nur die Datenverkehrsflüsse für LDAP-Pakete auf den TCP-Ports 389 (Hexadezimalwert 0185), 636 (Hexadezimalwert 027C), 3268 (Hexadezimalwert 0CC4) und 3269 (Hexadezimalwert 0CC5) anzuzeigen, verwenden Sie den show ip cache flow | include SrcIf|_PrHex_.*(0185|027C|0CC4|0CC5)_ command to display the related Cisco NetFlow records:
TCP-Flows
router#show ip cache flow | include SrcIf|_06_.*(0185|027C|0CC4|0CC5)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 06 092A 0185 6 Gi0/0 192.168.13.17 Gi0/1 192.168.60.110 06 0814 0CC4 11 Gi0/0 192.168.12.211 Gi0/1 192.168.60.169 06 013A 0185 9 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 06 0B66 027C 18 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 06 047B 0CC5 2 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 06 0914 0CC4 1
Um nur die Datenverkehrsflüsse für LDAP-Pakete auf UDP-Port 389 (Hexadezimalwert 0185) anzuzeigen, verwenden Sie den Befehl show ip cache flow. | include SrcIf|_PrHex_.*0185 command to display the related Cisco NetFlow records:
UDP-Datenflüsse
router#show ip cache flow | include SrcIf|_11_.*0185 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.60.110 Gi0/1 192.168.60.163 11 092A 0185 6 Gi0/0 192.168.60.230 Gi0/1 192.168.60.20 11 0C09 0185 1
Identifikation: Identifikation des IPv6-Datenverkehrs mit Cisco IOS NetFlow
Für MS13-079 können Administratoren Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
Die folgende Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS Software-Zügen.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x16C4 0x0185 1464 2001:DB...06::201 Gi0/0 2001:DB...28::21 Local 0x06 0x1655 0x0185 1012
2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x027C 2597 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x0CC4 1231 2001:DB...06::201 Gi0/0 2001:DB...128::5 Gi0/1 0x06 0x1634 0x0CC5 1009 2001:DB...06::201 Gi0/0 2001:DB...128::6 Gi0/1 0x06 0x1634 0x008B 1299 2001:DB...06::201 Gi0/0 2001:DB...128::7 Gi0/1 0x06 0x1634 0x01BD 1303 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155 2001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1092 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 1193
Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.
Im vorherigen Beispiel gibt es mehrere IPv6-Flows für LDAP an den TCP-Ports 389 (Hexadezimalwert 0185), 636 (Hexadezimalwert 027C), 3268 (Hexadezimalwert 0CC4), 3269 (Hexadezimalwert 0CC5) und . UDP-Port 389 (Hexadezimalwert 0185).
Um nur die LDAP-Pakete auf den TCP-Ports 389 (Hex-Wert 0185), 636 (Hex-Wert 027C), 3268 (Hex-Wert 0CC4) und 3269 (Hex-Wert 0CC5) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcIf|_PrHex_.*(0185|027C|0CC4|0CC5)_ command to display the related Cisco NetFlow records:
TCP-Flows
router#show ipv6 flow cache | include SrcIf|_06_.*(0185|027C|0CC4|0CC5)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x149D 0x01BD 1093 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::5 Gi0/1 0x06 0x134D 0x027C 1994
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::6 Gi0/1 0x06 0x192B 0x0CC4 1893
2001:DB...6A:5BA6 Gi0/0 2001:DB...128::7 Gi0/1 0x06 0x151A 0x0CC5 1591 router#
Um nur die LDAP-Pakete auf UDP-Port 389 (Hexadezimalwert 0185) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcIf|_PrHex_.*0185 command to display the related Cisco NetFlow records:
UDP-Datenflüsse
router#show ip cache flow | include SrcIf|_11_.*(0185)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x11 0x1134 0x0185 1221 router#
Identifikation: Identifikation des IPv4-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow
Cisco IOS Flexible NetFlow wurde in den Cisco IOS Software-Versionen 12.2(31)SB2 und 12.4(9)T eingeführt und verbessert die ursprüngliche Cisco NetFlow-Lösung, indem es die Möglichkeit bietet, die Parameter für die Datenverkehrsanalyse an die spezifischen Anforderungen des Administrators anzupassen. Original Cisco NetFlow verwendet feste sieben Tupel an IP-Informationen, um einen Datenfluss zu identifizieren. Cisco IOS Flexible NetFlow hingegen ermöglicht eine benutzerdefinierte Definition des Datenflusses. Sie vereinfacht die Erstellung komplexerer Konfigurationen für die Datenverkehrsanalyse und den Datenexport durch die Verwendung wiederverwendbarer Konfigurationskomponenten.
Für MS13-079 können Administratoren Cisco IOS Flexible NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebenen Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv4-Datenflüsse basierend auf der Quell-IPv4-Adresse, wie in der Schlüsselfeldaussage match ipv4 source address definiert. Cisco IOS Flexible NetFlow umfasst außerdem nicht-wichtige Feldinformationen zu Quell- und Ziel-IPv4-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot ============== ============== ============= ============= ========== =========== ==== ======= 192.168.10.201 192.168.60.102 1456 139 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 1223 389 Gi0/0 Gi0/1 1319 6 10.88.226.9 192.168.202.25 1478 25 Gi0/0 Gi0/1 461 6 192.168.150.60 192.168.60.226 2567 445 Gi0/0 Gi0/1 13 6
192.168.13.97 192.168.60.28 3451 389 Gi0/0 Gi0/1 9 17 192.168.11.12 192.168.60.97 4231 636 Gi0/0 Gi0/1 346 6 192.168.18.10 192.168.60.21 3131 3268 Gi0/0 Gi0/1 296 6 192.168.10.8 192.168.60.95 1934 3269 Gi0/0 Gi0/1 516 6
10.88.226.1 192.168.202.22 2678 25 Gi0/0 Gi0/1 567 6 10.89.16.226 192.168.150.60 3562 135 Gi0/0 Gi0/1 312 6
Um nur die LDAP-Pakete auf den TCP-Ports 389, 636, 3268 und 3269 anzuzeigen, verwenden Sie die Tabelle mit dem Cacheformat von FLOW-MONITOR-ipv4 in der Datei show flow monitor. | IPV4 DST-ADDR einschließen |_(389|636|3268|3269)_.*_6_, um die zugehörigen NetFlow-Datensätze anzuzeigen.
Um nur die LDAP-Pakete auf UDP-Port 389 anzuzeigen, verwenden Sie die Formattabelle show flow monitor FLOW-MONITOR-ipv6. | IPV6 DST ADDR einschließen. |_(389)_.*_11_, um die zugehörigen NetFlow-Datensätze anzuzeigen.
Weitere Informationen zu Cisco IOS Flexible NetFlow finden Sie im Konfigurationsleitfaden für Flexible NetFlow, in Cisco IOS Release 15M&T und in Cisco IOS Flexible NetFlow Configuration Guide, Release 12.4T.
Identifikation: Identifikation des IPv6-Datenverkehrs mithilfe von Cisco IOS Flexible NetFlow
Für MS13-079 können Administratoren Cisco IOS Flexible NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv6-Datenverkehrsflüsse zu identifizieren, bei denen versucht werden kann, die in diesem Dokument beschriebenen Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, die Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.
Die folgende Beispielausgabe stammt von einem Cisco IOS-Gerät, auf dem eine Version der Cisco IOS-Software im 15.1T-Zug ausgeführt wird. Obwohl die Syntax für die Züge 12.4T und 15.0 nahezu identisch sein wird, kann sie je nach verwendeter Cisco IOS-Version leicht variieren. In der folgenden Konfiguration erfasst Cisco IOS Flexible NetFlow Informationen über die Schnittstelle GigabitEthernet0/0 für eingehende IPv6-Datenflüsse basierend auf der IPv6-Quelladresse, wie in der Schlüsselfeldanweisung match ipv6 source address definiert. Cisco IOS Flexible NetFlow bietet darüber hinaus Feldinformationen ohne Schlüssel zu Quell- und Ziel-IPv6-Adressen, Protokollen, Ports (falls vorhanden), Eingangs- und Ausgangsschnittstellen und Paketen pro Datenfluss.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
Die Ausgabe des Cisco IOS Flexible NetFlow-Workflows lautet wie folgt:
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1465 389 Gi0/0 Gi0/0 1237 17 2001:DB...06::201 2001:DB...28::20 1445 389 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1895 139 Gi0/0 Gi0/0 3009 6 2001:DB...06::201 2001:DB...28::20 2856 5060 Gi0/0 Gi0/0 486 17 2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17 2001:DB...06::201 2001:DB...28::20 1765 636 Gi0/0 Gi0/0 3234 6 2001:DB...06::201 2001:DB...28::20 1341 445 Gi0/0 Gi0/0 1546 6 2001:DB...06::201 2001:DB...28::20 1890 3268 Gi0/0 Gi0/0 2023 6 2001:DB...06::201 2001:DB...28::20 1491 3269 Gi0/0 Gi0/0 5011 6
Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.
Um nur die LDAP-Pakete auf den TCP-Ports 389, 636, 3268 und 3269 anzuzeigen, verwenden Sie die Formattabelle für den show flow monitor FLOW-MONITOR-ipv6. | IPV6 DST ADDR einschließen|_(389|636|3268|3269)_.*_6_ Befehl zum Anzeigen der zugehörigen Cisco IOS Flexible NetFlow-Datensätze.
Wenn Sie nur die Pakete auf dem UDP-Port 389 anzeigen möchten, verwenden Sie die Formattabelle für den Cache "show flow monitor FLOW-MONITOR-ipv6". | IPV6 DST ADDR einschließen. |_(389)_.*_11_, um die zugehörigen NetFlow-Datensätze anzuzeigen.Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Für MS13-079 wird empfohlen, zum Schutz des Netzwerks vor Datenverkehr, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten, tACLs für die Richtliniendurchsetzung bereitzustellen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte LDAP IPv4- und IPv6-Pakete an den TCP-Ports 389, 636, 3268 und 3269 sowie an den UDP-Port 389, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources that
!-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 389 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 636 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3268 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3269 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 389
! !-- The following vulnerability-specific ACEs !-- can aid in identification of attacks against MS13-079 ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 389 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 636 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3268 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3269 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !-- for MS13-079 ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 389 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 636 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 3268 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 3269 ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 389 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks for MS13-079 ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 389 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 636 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 3268 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 3269 ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 389 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outsideIdentifizierung: Transit-Zugriffskontrolllisten
Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der LDAP IPv4- und IPv6-Pakete auf den TCP-Ports 389, 636, 3268 und 3269 sowie auf den UDP-Port 389 identifizieren, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show access-list tACL-Policy und show access-list IPv6-tACL-Policy:
firewall#show access-list tACL-Policy access-list tACL-Policy; 11 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldap (hitcnt=31) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldaps (hitcnt=61) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3268 (hitcnt=131) access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 3269 (hitcnt=57) access-list tACL-Policy line 5 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq ldap (hitcnt=47) access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 255.255.255.0 eq ldap (hitcnt=8) access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq ldaps (hitcnt=14) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 3268 (hitcnt=30) access-list tACL-Policy line 9 extended deny tcp any 192.168.60.0 255.255.255.0 eq 3269 (hitcnt=13) access-list tACL-Policy line 10 extended deny udp any 192.168.60.0 255.255.255.0 eq ldap (hitcnt=15) access-list tACL-Policy line 11 extended deny ip any any (hitcnt=8)
Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 8 LDAP-Pakete auf TCP-Port 389 für ACE-Leitung 6
- 14 LDAP-Pakete auf TCP-Port 636 für ACE-Leitung 7
- 30 LDAP-Pakete auf TCP-Port 3268 für ACE-Leitung 8
- 13 LDAP-Pakete auf TCP-Port 3269 für ACE-Leitung 9
- 15 LDAP-Pakete auf UDP-Port 389 für ACE-Leitung 10
firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 11 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldap (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldaps (hitcnt=28) ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 3268 (hitcnt=124) ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 3269 (hitcnt=81) ipv6 access-list IPv6-tACL-Policy line 5 permit udp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq ldap (hitcnt=63) ipv6 access-list IPv6-tACL-Policy line 6 deny tcp any 2001:db8:1:60::/64 eq ldap (hitcnt=47) ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:db8:1:60::/64 eq ldaps (hitcnt=33) ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:db8:1:60::/64 eq 3268 (hitcnt=216) ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:db8:1:60::/64 eq 3269 (hitcnt=139) ipv6 access-list IPv6-tACL-Policy line 10 deny udp any 2001:db8:1:60::/64 eq ldap (hitcnt=127) ipv6 access-list IPv6-tACL-Policy line 11 deny ip any any (hitcnt=27)
Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:
- 47 LDAP-Pakete auf TCP-Port 389 für ACE-Leitung 6
- 33 LDAP-Pakete auf TCP-Port 636 für ACE-Leitung 7
- 216 LDAP-Pakete auf TCP-Port 3268 für ACE-Leitung 8
- 139 LDAP-Pakete auf TCP-Port 3269 für ACE-Leitung 9
- 127 LDAP-Pakete auf UDP-Port 389 für ACE-Leitung 10
Darüber hinaus kann die Syslog-Meldung 106023 nützliche Informationen bereitstellen, z. B. die Quell- und Ziel-IP-Adresse, die Quell- und Ziel-Port-Nummern und das IP-Protokoll für das abgelehnte Paket.Identifizierung: Firewall Access List, Syslog-Meldungen
Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
firewall#show logging | grep 106023 Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/1914 dst inside:192.168.60.191/389 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/3095 dst inside:192.168.60.33/389 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/1234 dst inside:192.168.60.240/636 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2369 dst inside:192.168.60.115/3268 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2001 dst inside:192.168.60.38/3269 by access-group "tACL-Policy" Sep 10 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:d::a85e:172/2121 dst inside:2001:db8:1:60::134/389 by access-group "IPv6-tACL-Policy" firewall#
Im vorherigen Beispiel zeigen die für die tACL-tACL-Richtlinie und die IPv6-tACL-Richtlinie protokollierten Nachrichten potenziell gefälschte LDAP-Pakete für die TCP-Ports 389, 3268 und 3269 sowie die UDP-Ports 389 an, die dem zugewiesenen Adressblock gesendet wurden an betroffene Geräte.
Weitere Informationen zu Syslog-Meldungen für Cisco Adaptive Security Appliances der ASA-Serie finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie im Abschnitt Analyzing Syslog Messages (Analysieren von Syslog-Meldungen) des Cisco ASASM CLI Configuration Guide. Weitere Informationen zu Syslog-Meldungen für Cisco FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.
Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations.Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serie ASA 5500, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Dies geschieht durch die Konfiguration von Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen, die mithilfe einer globalen Richtlinie oder einer Schnittstellendienstrichtlinie angewendet werden.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene finden Sie im Abschnitt Configuring Application Layer Protocol Inspection des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 and the Configuring Application Inspection section of the Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.
HTTP-Anwendungsinspektion
Für MS13-071 können Administratoren mithilfe der HTTP-Prüfungs-Engine auf den Adaptive Security Appliances der Serie Cisco ASA 5500, den ASA Services Modules der Serie Cisco 6500 und dem Firewall Services Module von Cisco reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Prüfklassen- und Prüfrichtlinienzuordnungen erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Bei der folgenden HTTP-Anwendungsinspektionskonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Inspektion des Datenverkehrs an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Diese sind die Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsinspektionsrichtlinie verwirft Verbindungen, bei denen der HTTP-Antworttext einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Sicherheitslücken verknüpft ist.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die Cisco Firewall-Technologien nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure regexes that look for a combination of !-- the .theme file extension and the .scr file !-- extension that is typically used to exploit the !-- vulnerability associated with MS13-071 ! regex MS13-071_1 "\.[Tt][Hh][Ee][Mm][Ee]" regex MS13-071_2 "\.[Ss][Cc][Rr]"
! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any MS13-071_regex_class match regex MS13-071_1 match regex MS13-072_2 ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Sep_2013_policy parameters! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex class MS13-071_regex_class drop-connection log! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_Sep_2013_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 for Configuring Object Groups and the Configuring Objects and Access Lists im Cisco Catalyst ASA Services Module CLI Configuration Guide, 8.5.
Weitere Informationen zur HTTP-Anwendungsinspektion und zur MPF finden Sie im Abschnitt HTTP Inspection Overview des Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2.Identifikation: Application Layer Protocol Inspection
Die Firewall-Syslog-Meldung 41506 wird generiert, wenn der URI mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 415.006.
Die Firewall-Syslog-Meldung 41507 wird generiert, wenn ein HTTP-Nachrichtentext mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 415.007.
Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog für das Cisco Catalyst ASA Services Module der Serie 6500 finden Sie unter Configuring Logging (Konfigurieren der Protokollierung). Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.
Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Nachrichten enthalten zusätzliche Informationen über abgelehnte Pakete, die auf Versuche hinweisen könnten, diese Schwachstellen auszunutzen. Administratoren können mit dem grep-Schlüsselwort verschiedene reguläre Ausdrücke verwenden, um nach bestimmten Daten in den protokollierten Meldungen zu suchen.
Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.
HTTP-Anwendungsinspektion
firewall#show logging | grep 415006 Sep 10 2013 14:36:20: %ASA-5-415006: HTTP - matched Class 23: MS13-071_regex_class in policy-map MS_Sep_2013_policy, URI matched - Dropping connection from inside:192.168.60.88/1108 to outside:192.0.2.62/80 Sep 10 2013 14:37:02: %ASA-5-415006: HTTP - matched Class 26: MS13-071_regex_class in policy-map MS_Sep_2013_policy, URI matched - Dropping connection from inside:192.168.60.71/3158 to outside:192.0.2.62/80
Bei aktivierter HTTP-Anwendungsprüfung identifiziert der Befehl show service-policy inspect protocol die Anzahl der HTTP-Pakete, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy inspect http:
firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http MS_Sep_2013_policy, packet 5025, drop 13, reset-drop 0 protocol violations packet 0 match response body regex class MS13-071_regex_class drop-connection log, packet 13
Im vorherigen Beispiel wurden 5.025 HTTP-Pakete überprüft und 13 HTTP-Pakete verworfen.Cisco ACE
Eindämmung: Anwendungsprotokollüberprüfung
Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der das Cisco ACE-Gerät durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.
Weitere Informationen zur Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.
HTTP Deep Packet Inspection
Zur Durchführung von HTTP Deep Packet Inspection für MS13-071 können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsprotokollprüfungsrichtlinie verwirft Verbindungen, bei denen der HTTP-Inhalt eines der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Schwachstellen verknüpft ist.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden.
Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die die Cisco ACE Application Control Engine Appliance und das ACEM-Modul nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection Cisco Security Intelligence Operations.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the .theme file !-- extension and the .scr file extension that is typically !-- used to exploit the vulnerability associated with MS13-071 ! class-map type http inspect match-any MS13-071_class
1 match content ".*\.[Tt][Hh][Ee][Mm][Ee].*"
2 match content ".*\.[Ss][Cc][Rr].*"
! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http all-match MS_Sep_2013 class MS13-071_class
reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_Sep_2013 class L4_http_class inspect http policy MS_Sep_2013 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Sep_2013Identifizierung: Anwendungsprotokollüberprüfung
HTTP Deep Packet Inspection
Die Cisco ACE Application Control Engine-Syslog-Meldung 41506 wird generiert, wenn der URI mit einem benutzerdefinierten regulären Ausdruck übereinstimmt. Die Syslog-Meldung identifiziert die entsprechende HTTP-Klasse und HTTP-Richtlinie und zeigt die auf die HTTP-Verbindung angewendete Aktion an. Weitere Informationen zu dieser Syslog-Meldung finden Sie im Cisco ACE 4700 Series Appliance System Message Guide - System Message 41506.
ACE/Admin# show logging | include 415006
Sep 10 2013 15:26:43: %ACE-5-415006: HTTP - matched MS13-071_class in policy-map L4_MS_Sep_2013, URI matched - Resetting connection from vlan130:192.168.60.64/1777 to vlan206:192.0.2.71/80 Connection 0x33 Sep 10 2013 15:30:33: %ACE-5-415006: HTTP - matched MS13-071_class in policy-map L4_MS_Sep_2013, URI matched - Resetting connection from vlan130:192.168.60.64/1774 to vlan206:192.0.2.71/80 Connection 0x31
Wenn die HTTP-Deep-Packet-Inspection aktiviert ist, identifiziert der Befehl show service-policy, policyName detail, die Anzahl der HTTP-Verbindungen, die von dieser Funktion geprüft und verworfen werden. Das folgende Beispiel zeigt die Ausgabe für show service-policy L4_MS_Sep_2013 detail:
ACE/Admin# show service-policy L4_MS_Sep_2013 detail Status : ACTIVE Description: ----------------------------------------- Context Global Policy: service-policy: L4_MS_Sep_2013 class: L4_http_class inspect http: L7 inspect policy : MS_Sep_2013 Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 L7 Inspect policy : MS_Sep_2013 class/match : MS13-071_class Inspect action : reset log Total Inspected : 2 , Total Matched: 1 Total Dropped OnError: 0
Im vorherigen Beispiel wurden 4 HTTP-Verbindungen überprüft und 2 HTTP-Verbindungen fallen gelassen.
Weitere Informationen über die HTTP Deep Packet Inspection und die Anwendungsprotokollüberprüfung finden Sie im Abschnitt Configuring Application Protocol Inspection des Cisco ACE 4700 Series Appliance Security Configuration Guide.Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2013-0081 S741
2725/0 Microsoft SharePoint - Diensteverweigerung Ja Mittel 90 CVE 2013 1315 S741 2732/0 Microsoft Excel-Remotecodeausführung Ja Hoch 85 CVE 2013 0810 S741 2736/0 Microsoft Windows Theme-Remotecodeausführung Ja Hoch 85 CVE 2013-3202 S741 2744/0 Microsoft Windows Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013-3203 S741 2747/0 Microsoft Windows Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013 3137 S741 2765/0 Microsoft FrontPage-Informationen Ja Mittel 80 CVE 2013 3868 S741 2769/0 Sicherheitslücke in Active Directory kann zu Diensteverweigerung führen Ja Mittel 85 CVE 2013-3208 S741 2771/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 80 CVE 2013 3180 S741 2772/0 Microsoft SharePoint XSS - Erweiterung der Berechtigungen
Ja Mittel 85 CVE 2013-3204 S741 2773/0 Microsoft Internet Explorer kostenlos verwenden Ja Hoch 85 CVE 2013-3205 S741 2774/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2013-3207 S741 2775/0 Microsoft Windows Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2013-3206 S741 2777/0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 85 CVE 2013-3209 S741 4155/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 85 CVE 2013 3845 S741 4156/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 85
* Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.Cisco IPS-Signaturereignisdaten
Die folgenden Daten wurden mithilfe der Remote-Überwachungsdienste erstellt, die vom Cisco Remote Management Services-Team aus einer Beispielgruppe von Cisco IPS-Sensoren bereitgestellt wurden, auf denen Cisco IPS Signature Update Version S741 ausgeführt wird oder höher. Zweck dieser Daten ist es, Einblick in die Versuche zu gewähren, die Schwachstellen auszunutzen, die im Rahmen des am 10. September 2013 veröffentlichten Microsoft September Security Updates veröffentlicht wurden. Diese Daten stammen von Ereignissen, die am 24. September 2013 ausgelöst wurden.
CVE-ID Signature-ID Prozentsatz der Sensoren, die die Signatur melden Prozentsatz der Sensoren, die die Signatur unter den zehn meistgesehenen Ereignissen melden CVE 2013-0081 2725/0 0 0 CVE 2013 1315 2732/0 0 0 CVE 2013 0810 2736/0 0 0 CVE 2013-3202 2744/0 0 0 CVE 2013-3203 2747/0 0 0 CVE 2013 3137 2765/0 0 0 CVE 2013 3868 2769/0 3 3 CVE 2013-3208 2771/0 0 0 CVE 2013 3180 2772/0 0 0 CVE 2013-3204 2773/0 0 0 CVE 2013-3205 2774/0 0 0 CVE 2013-3207 2775/0 0 0 CVE 2013-3206 2777/0 0 0 CVE 2013-3209 4155/0 0 0 CVE 2013 3845 4156/0 0 0 Cisco Security Manager
Identifikation: Cisco Security Manager
Cisco Security Manager, Ereignisanzeige
Ab Softwareversion 4.0 kann Cisco Security Manager Syslogs von Cisco Firewalls und Cisco IPS-Geräten sammeln und stellt die Ereignisanzeige bereit, mit der nach Ereignissen gesucht werden kann, die mit den in diesem Dokument beschriebenen Sicherheitslücken zusammenhängen.
Mithilfe der vordefinierten Ansicht für IPS-Warnungsereignisse in der Ereignisanzeige kann der Benutzer die Suchzeichenfolge 2725/0 im Ereignisfilter eingeben, um alle erfassten Ereignisse zurückzugeben, die mit der Cisco IPS-Signatur 2725/0 in Zusammenhang stehen.
Die Verwendung der folgenden Filter in der vordefinierten Ansicht "Firewall Denied Events" in der Ereignisanzeige stellt alle erfassten Cisco Firewall-Zugriffslisten-Syslog-Meldungen Deny bereit, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.
- Verwenden Sie den Zielereignisfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
- Verwenden Sie den Zieldienst-Ereignisfilter, um Objekte zu filtern, die Folgendes enthalten:
- TCP-Port 389
- TCP-Port 636
- TCP-Port 3268
- TCP-Port 3269
- UDP-Port 389
Ein Ereignistyp-ID-Filter kann in Verbindung mit der vordefinierten Ansicht Firewall Denied Events (Von Firewall abgelehnte Ereignisse) in der Ereignisanzeige verwendet werden, um die in der folgenden Liste aufgeführten Syslog-IDs zu filtern und alle erfassten Cisco Firewall-Syslog-Meldungen Deny bereitzustellen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:
- ASA-4-106021 (uRPF-Spoofing)
- ASA-4-415006 (HTTP-Inspektion)
- ASA-4-106023 (ACL verweigert)
Weitere Informationen zu Cisco Security Manager-Ereignissen finden Sie im Abschnitt Filtering and Querying Events im Cisco Security Manager User Guide.
Cisco Security Manager Report Manager
Ab der Softwareversion 4.1 unterstützt Cisco Security Manager den Report Manager, die Cisco IPS-Funktion zur Ereignisprotokollierung. Mit dieser Funktion können Administratoren Berichte auf der Grundlage von relevanten Cisco IPS-Ereignissen erstellen. Berichte können geplant werden, oder Benutzer können nach Bedarf Ad-hoc-Berichte erstellen.
Mithilfe des Berichts-Managers kann der Benutzer einen IPS-Bericht mit den besten Signaturen für die von ihm betroffenen Cisco IPS-Geräte basierend auf Zeitbereich und Signatureigenschaften definieren. Wenn die Signature-ID auf
- 2725/0
- 2732/0
- 2736/0
- 2744/0
- 2747/0
- 2765/0
- 2769/0
- 2771/0
- 2772/0
- 2773/0
- 2774/0
- 2775/0
- 2777/0
- 4155/0
- 4156/0
Cisco Security Manager generiert einen umfassenden Bericht, in dem die Anzahl der für die betreffende Signatur ausgelösten Warnmeldungen im Vergleich zur Gesamtsumme aller in dem Bericht angezeigten Signaturwarnmeldungen aufgelistet wird.
Ebenfalls im Berichts-Manager kann der Bericht "Top Services" mit der folgenden Konfiguration verwendet werden, um einen Ereignisbericht zu generieren, der auf potenzielle Versuche hinweist, die in diesem Dokument beschriebenen Schwachstellen auszunutzen:
- Verwenden Sie den Ziel-IP-Netzwerkfilter, um Netzwerkobjekte zu filtern, die den von den betroffenen Geräten verwendeten IP-Adressraum enthalten (z. B. IPv4-Adressbereich 192.168.60.0/24 und IPv6-Adressbereich 2001:DB8:1:60::/64).
- Festlegen der Aktion "Verweigern" auf der Seite "Kriterien"
Identifikation: Event Management System - Partnerveranstaltungen
Cisco arbeitet über das Cisco Developer Network mit branchenführenden Anbietern von Security Information and Event Management (SIEM) zusammen. Diese Partnerschaft unterstützt Cisco bei der Bereitstellung validierter und getesteter SIEM-Systeme, die auf geschäftliche Herausforderungen wie langfristige Protokollarchivierung und Forensik, heterogene Ereigniskorrelation und erweiterte Compliance-Berichte eingehen. Partnerprodukte für das Security Information and Event Management können zum Erfassen von Ereignissen von Cisco Geräten und anschließenden Abfragen der erfassten Ereignisse nach Vorfällen verwendet werden, die durch eine Cisco IPS-Signatur verursacht wurden, oder Syslog-Meldungen von Firewalls verweigern, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Die Abfragen können anhand der Signature-ID und der Syslog-ID durchgeführt werden, wie in der folgenden Liste gezeigt:
- 2725/0 Microsoft SharePoint - Denial of Service (DoS)
- 2732/0 Microsoft Excel-Remotecodeausführung
- 2736/0 Microsoft Windows Theme-Remotecodeausführung
- 2744/0 Microsoft Windows Internet Explorer Speicherbeschädigung
- 2747/0 Microsoft Windows Internet Explorer Speicherbeschädigung
- 2765/0 Microsoft FrontPage - Offenlegung von Informationen
- 2769/0 Sicherheitslücke in Active Directory könnte zu Diensteverweigerung führen
- 2771/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung
- 2772/0 Microsoft SharePoint XSS - Erweiterung der Berechtigungen
- 2773/0 Microsoft Internet Explorer nach der kostenlosen Nutzung
- 2774/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung
- 2775/0 Microsoft Windows Internet Explorer Speicherbeschädigung
- 2777/0 Microsoft Internet Explorer nach freier Sicherheitslücke
- 4155/0 Microsoft Internet Explorer - Remote-Codeausführung
- 4156/0 Microsoft Internet Explorer - Remote-Codeausführung
- ASA-4-106021 (uRPF-Spoofing)
- ASA-4-106023 (ACL verweigert)
- ASA-4-415006 (HTTP-Inspektion)
Weitere Informationen zu SIEM-Partnern finden Sie auf der Website zum Security Management System (Sicherheitsmanagementsystem).
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 4 IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 24. September 2013 verfügbar. 25. September 2013, 17:25 Uhr GMT 3 IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 17. September 2013 verfügbar.
18. September 2013, 17:25 Uhr GMT 2 IPS-Signaturereignisdaten von Cisco Remote Management Services sind für IPS-Signaturen ab dem 12. September 2013 verfügbar.
13. September 2013, 17:12 Uhr GMT 1 Cisco Applied Mitigation Bulletin (erste öffentliche Version) 10. September 2013, 17:21 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. Zugriff 2007 (Basis) | 2010 (32-Bit Editionen, 64-Bit Editionen, 32-Bit Editionen SP1, 64-Bit Editionen SP1, 32-Bit Editionen SP2, 64-Bit Editionen SP2) | 2013 (32-Bit-Editionen, 64-Bit-Editionen) Excel 2003 (Basis, SP1, SP2, SP3) | 2007 (Basis, SP1, SP2, SP3) | 2010 (32-Bit-Version) (Basis, SP1) | 2010 (64-Bit-Version) (Basis, SP1) | 2013 (32-Bit-Version) (Basis) | 2013 (64-Bit-Version) (Basis) | 2013 RT (Basis) Exchange-Server 2007 (Basis, SP1, SP2, SP3) | 2010 (Basis, SP1, SP2, SP3) | 2013 (Basis, CU1, CU2, CU3) Vorderseite 2003 (Basis) Internet-Explorer 6,0 (Basis) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 10,0 (Basis) Microsoft Office Compatibility Pack für Word-, Excel- und PowerPoint 2007-Dateiformate Ursprüngliche Version (Base, SP1, SP2, SP3) Microsoft Office Word-Viewer 2003 (Basis, SP1, SP2, SP3) Büro 2003 (SP3) | 2007 (SP3) | 2010 (SP1) Office für Mac 2011 (Basis) Office SharePoint Server 2007 (SP3) | 2007 x64 Edition (SP3) | 2010 (SP1, SP2) | 2013 (Basis) Ausblick 2007 (SP3) | 2010 (SP1, SP2) SharePoint-Portalserver 2003 (SP3) Windows 7 für 32-Bit-Systeme (Base, SP1) | für x64-basierte Systeme (Basis, SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) Windows Server 2003 Datacenter Edition (Base, SP1, SP2) | Datacenter Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Datacenter Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Enterprise Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-Bit (Itanium) (Base, SP1, SP2) | Standard Edition x64 (AMD/EM64T) (Base, SP1, SP2) | Web Edition (Base, SP1, SP2) Windows Server 2008 Datacenter Edition (Base, SP1, SP2) | Datacenter Edition, 64-Bit (Basis, SP1, SP2) | Itanium-basierte Systems Edition (Base, SP1, SP2) | Enterprise Edition (Base, SP1, SP2) | Enterprise Edition, 64-Bit (Base, SP1, SP2) | Essential Business Server Standard (Base, SP1, SP2) | Essential Business Server Premium (Base, SP1, SP2) | Essential Business Server Premium, 64-Bit (Base, SP1, SP2) | Standard Edition (Base, SP1, SP2) | Standard Edition, 64-Bit (Base, SP1, SP2) | Webserver (Basis, SP1, SP2) | Webserver, 64-Bit (Basis, SP1, SP2) Windows Server 2008 R2 x64-basierte Systems Edition (Base, SP1) | Itanium-basierte Systems Edition (Base, SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows SharePoint-Dienste 2,0 (Basis, SP1, SP2, SP3) | 3,0 (SP3) Windows Vista Home Basic (Basis, SP1, SP2) | Home Premium (Basis, SP1, SP2) | Unternehmen (Basis, SP1, SP2) | Enterprise (Basis, SP1, SP2) | Ultimate (Basis, SP1, SP2) | Home Basic x64 Edition (Base, SP1, SP2) | Home Premium x64 Edition (Basis, SP1, SP2) | Business x64 Edition (Basis, SP1, SP2) | Enterprise x64 Edition (Base, SP1, SP2) | Ultimate x64 Edition (Base, SP1, SP2) Wort 2003 (SP3) | 2007 (SP3) | 2010 (32-Bit Edition, 64-Bit Edition, SP1, SP2) Word-Viewer 2007 (Basis) SharePoint-Grundlage 2010 (SP1, SP2) | 2013 (Basis) Microsoft Pinyin IME 2010 (Basis)
Zugehörige Produkte Cisco Cisco Broadband-Problemhilfe Ursprüngliche Version (Basis) | 3.1 (Basis) | 3.2 (Basis) Cisco Building Broadband Service Manager (BBSM) Ursprüngliche Version (Basis) | 2,5 (.1) | 3,0 (Basis) | 4,0 (Basis, 0,1) | 4.2 (Basis) | 4,3 (Basis) | 4,4 (Basis) | 4,5 (Basis) | 5,0 (Basis) | 5.1 (Basis) | 5.2 (Basis) Cisco CNS Network Registrar 2,5 (Basis) | 3,0 (Basis) | 3,5 (Basis, 0,1) | 5,0 (Basis) | 5,5 (Basis, 0,13) | 6,0 (.5, .5.2, .5.3, .5.4) | 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4) Cisco Collaboration Server Dynamic Content Adapter (DCA) Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis, (1)_SR2) Cisco CTI-Option (Computer Telefony Integration) 4.7 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 5.1 (0)_SR1, (0)_SR2, (0)_SR3 | 6,0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5 | 7,0 (0)_SR1, (0)_SR2 | 7,1 (2), (3), (4), (5) Cisco Konferenzverbindung 1.1 (3), (3)spA) | 1,2 (Basis, (1), (2), (2) SR1, (2) SR2) Cisco E-Mail Manager Ursprüngliche Version (Basis) | 4,0 (Basis, .5i, .6) | 5,0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7) Cisco Emergency Responder 1,1 (Basis, (3), (4) | 1.2 (Basis, (1), (1) SR1, (2) SR1, (3)a, (3)SR1, (3a)SR2) | 1,3 (Basis, (1a), (2)) Cisco Intelligent Contact Manager (ICM) Ursprüngliche Version (Basis) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6 | 5,0 (0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 7,1 (2), (3), (4), (5) Cisco Unified Contact Center Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2 , 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1, 4.1(1)_SR1, 4.5 (2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1 | Hosted Edition (Basis, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) Cisco Unified IP IVR 2,0 (0,2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3,0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 (1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5 | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4,0 (1)_SR1, (4)_SR1 | 4,1 (1)_SR1 | 4,5 (2)_SR1, (2)_SR2 | 5,0 (1)_SR1 Cisco IP Interoperability and Collaboration System (IPICS) 1,0 (1,1) Cisco IP Queue Manager 2.2 (Basis) Cisco IP/VC 3540 Anwendungsserver-Modul 3,2 (.0.1, .138) | 3,5 (.0,8) Cisco IP/VC 3540 Rate Matching-Modul 3,0 (0,9) Cisco Media Blender Ursprüngliche Version (Basis) | 3,0 (Basis) | 4,0 (Basis) | 5,0 (Basis, (0)_SR1, (0)_SR2) Cisco Networking Services für Active Directory Ursprüngliche Version (Basis) Cisco Outbound-Option Ursprüngliche Version (Basis) Cisco Personal Assistant 1,0 (Basis, 1) | 1,1 (Basis) | 1,3 (Basis, .1, .2, .3, .4) | 1,4 (Basis, 0,2, 0,3, 0,4, 0,5, 0,6) Cisco Remote Monitoring Suite-Option 1,0 (Basis) | 2,0 (Basis, (0)_SR1) Cisco Secure Access Control Server (ACS) für Windows 2,6 (Basis) | 2.6.3.2 (Basis) | 2.6.4 (Basis) | 2.6.4.4 (Basis) | 3,0 (Basis) | 3.0.1 (Basis) | 3.0.1.40 (Basis) | 3.0.2 (Basis) | 3.0.3 (Basis) | 3.0.3.6 (Basis) | 3.0.4 (Basis) | 3.1.1 (Basis) | 3.1.1.27 (Basis) | 3.1.2 (Basis) | 3.2 (Basis) | 3.2.1 (Basis) | 3.2.3 (Basis) | 3.3.1 (Basis) | 3.3.2.2 (Basis) | 3.3.1.16 (Basis) | 3.3.3.11 (Basis) | 4,0 (Basis) | 4.0.1 (Basis) | 4.0.1.27 (Basis) | 4.1.1.23 (Basis) Cisco Secure Access Control Server Solution Engine (ACSE) 3.1 (Basis, .1) | 3.2 (Basis, .1.20, .2.5, .3) | 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) | 4,0 (Basis, .1, .1.42, .1.44, .1.49) | 4.1 (Basis, .1.23, .1.23.3, .3, .3.12) Cisco Secure User Registration Tool (URT) Ursprüngliche Version (Basis) | 1,2 (Basis, 0,1) | 2,0 (Basis, 0,7, 0,8) | 2,5 (Basis, .1, .2, .3, .4, .5) Cisco SN 5420 Storage-Router 1,1 (Basis, 0,3, 0,4, 0,5, 0,7, 0,8) | 2.1 (.1, .2) Cisco SN 5428-2 Storage-Router 3,2 (.1, .2) | 3,3 (.1, .2) | 3,4 (.1) | 3,5 (Basis, .1, .2, .3, .4) Cisco TrailHead Ursprüngliche Version (Basis) | 4,0 (Basis) Cisco Unified Communications Manager Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis) | 3,0 (Basis) | 3.0.3(a) (Basis) | 3.1 (Basis, .1, .2, .3a) | 3.1(1) (Basis) | 3.1(2) (Basis) | 3.1(2)SR3 (Basis) | 3.1(3) (Basis) | 3.1(3)SR2 (Basis) | 3.1(3)SR4 (Basis) | 3.2 (Basis) | 3.2(3)SR3 (Basis) | 3,3 (Basis) | 3.3(2)SPc (Basis) | 3.3(3) (Basis) | 3.3(3)ES61 (Basis) | 3.3(3)SR3 (Basis) | 3.3(3)SR4a (Basis) | 3.3(3a) (Basis) | 3.3(4) (Basis) | 3.3(4)ES25 (Basis) | 3.3(4)SR2 (Basis) | 3.3(4c) (Basis) | 3.3(5) (Basis) | 3.3(5)ES24 (Basis) | 3.3(5)SR1 (Basis) | 3.3(5)SR1a (Basis) | 3.3(5)SR2 (Basis) | 3.3(5)SR2a (Basis) | 3.3(5)SR3 (Basis) | 3.3(59) (Basis) | 3.3(61) (Basis) | 3.3(63) (Basis) | 3.3(64) (Basis) | 3.3(65) (Basis) | 3.3(66) (Basis) | 3.3(67,5) (Basis) | 3.3(68.1) (Basis) | 3.3(71,0) (Basis) | 3.3(74,0) (Basis) | 3.3(78) (Basis) | 3.3(76) (Basis) | 4,0 (.1, .2) | 4.0(2a)ES40 (Basis) | 4.0(2a)ES56 (Basis) | 4.0(2a)SR2b (Basis) | 4.0(2a)SR2c (Basis) | 4.1 (Basis) | 4.1(2) (Basis) | 4.1(2)ES33 (Basis) | 4.1(2)ES50 (Basis) | 4.1(2)SR1 (Basis) | 4.1(3) (Basis) | 4.1(3)ES (Basis) | 4.1(3)ES07 (Basis) | 4.1(3)ES24 (Basis) | 4.1(3)SR (Basis) | 4.1(3)SR1 (Basis) | 4.1(3)SR2 (Basis) | 4.1(3)SR3 (Basis) | 4.1(3)SR3b (Basis) | 4.1(3)SR3c (Basis) | 4.1(3)SR4 (Basis) | 4.1(3)SR4b (Basis) | 4.1(3)SR4d (Basis) | 4.1(3)SR5 (Basis) | 4.1(4) (Basis) | 4.1(9) (Basis) | 4.1(17) (Basis) | 4.1(19) (Basis) | 4.1(22) (Basis) | 4.1(23) (Basis) | 4.1(25) (Basis) | 4.1(26) (Basis) | 4.1(27.7) (Basis) | 4.1(28.2) (Basis) | 4.1(30.4) (Basis) | 4.1(36) (Basis) | 4.1(39) (Basis) | 4.2(1) (Basis) | 4.2(1)SR1b (Basis) | 4.2(1.02) (Basis) | 4.2(1.05.3) (Basis) | 4.2(1.06) (Basis) | 4.2(1.07) (Basis) | 4.2(3) (Basis) | 4.2(3)SR1 (Basis) | 4.2(3)SR2 (Basis) | 4.2(3.08) (Basis) | 4.2(3.2.3) (Basis) | 4.2(3.3) (Basis) | 4.2(3.13) (Basis) | 4.3(1) (Basis) | 4.3(1)SR (Basis) | 4,3(1,57) (Basis) Cisco Unified Customer Voice Portal (CVP) 3,0 (0), (0)SR1, (0)SR2) | 3.1 (0), (0)SR1, (0)SR2) | 4,0 (0), (1), (1)SR1, (2) Cisco Unified MeetingPlace 4.3 (Basis) | 5.3 (Basis) | 5.2 (Basis) | 5,4 (Basis) | 6,0 (Basis) Cisco Unified MeetingPlace Express 1.1 (Basis) | 1,2 (Basis) | 2,0 (Basis) Cisco Unity Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis) | 2,4 (Basis) | 2,46 (Basis) | 3,0 (Basis, 0,1) | 3.1 (Basis, .2, .3, .5, .6) | 3.2 (Basis) | 3,3 (Basis) | 4,0 (Basis, .1, .2, .3, .3b, .4, .5) | 4.1 (Basis, .1) | 4.2 (Basis, .1, .1 ES27) | 5,0 (1) | 7,0 (2) Cisco Unity Express 1.0.2 (Basis) | 1.1.1 (Basis) | 1.1.2 (Basis) | 2.0.1 (Basis) | 2.0.2 (Basis) | 2.1.1 (Basis) | 2.1.2 (Basis) | 2.1.3 (Basis) | 2.2.0 (Basis) | 2.2.1 (Basis) | 2.2.2 (Basis) | 2.3.0 (Basis) | 2.3.1 (Basis) Cisco Wireless Control System (WCS)-Software 1,0 (Basis) | 2,0 (Basis, 44,14, 44,24) | 2,2 (.0, .111.0) | 3,0 (Basis, .101.0, .105.0) | 3.1 (Basis, .20.0, .33.0, .35.0) | 3.2 (Basis, .23.0, .25.0, .40.0, .51.0, .64.0) | 4,0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1 (Basis, .83.0) CiscoWorks IP Telefony Environment Monitor (ITEM) 1,3 (Basis) | 1,4 (Basis) | 2,0 (Basis) CiscoWorks LAN Management-Lösung (LMS) 1,3 (Basis) | 2.2 (Basis) | 2,5 (Basis) | 2,6 (Basis) CiscoWorks QoS Policy Manager (QPM) 2,0 (Basis, .1, .2, .3) | 2,1 (.2) | 3,0 (Basis, 0,1) | 3.1 (Basis) | 3.2 (Basis, .1, .2, .3) CiscoWorks Routed WAN Management Solution (RWAN) 1,0 (Basis) | 1,1 (Basis) | 1,2 (Basis) | 1,3 (Basis, 0,1) CiscoWorks Small Network Management-Lösung (SNMS) 1,0 (Basis) | 1,5 (Basis) CiscoWorks VPN/Security Management Solution (VMS) 1,0 (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis) Cisco Collaboration-Server 3,0 (Basis) | 3,01 (Basis) | 3,02 (Basis) | 4,0 (Basis) | 5,0 (Basis) Cisco DOCSIS CPE-Konfigurator 1,0 (Basis) | 1,1 (Basis) | 2,0 (Basis) Cisco Unified IP Interactive Voice Response (IVR) 2,0 (Basis) | 2.1 (Basis) Cisco Service Control Engine (SCE) 3,0 (Basis) | 3.1 (Basis) Cisco Transport Manager Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis, .1) | 3,0 (Basis, .1, .2) | 3.1 (Basis) | 3.2 (Basis) | 4,0 (Basis) | 4.1 (Basis, .4, .6, .6.6.1) | 4,6 (Basis) | 4,7 (Basis) | 5,0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6,0 (Basis, 0,405,1, 0,407,1, 0,412,1) | 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) | 7.2 (Basis, 0.0.199.1) Microsoft, Inc. Büro 2003 (Basis, SP1, SP2) | 2007 (Basis, SP1, SP2) | 2010 (Basis, SP2) | 2013 (32-Bit-Editionen, 64-Bit-Editionen) Windows 7 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8 für 32-Bit-Systeme | für x64-basierte Systeme Windows RT Ursprüngliche Version Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit Windows Server 2008 R2 x64-basierte Systems Edition | Itanium-basierte Systems Edition Windows Server 2012 Ursprüngliche Version Windows Vista Home Basic | Home Premium | Unternehmen | Unternehmen | Ultimativ | Home Basic x64 Edition | Home Premium x64 Edition | Business x64-Edition | Enterprise x64 Edition | Ultimative x64-Edition
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.