Cisco Applied Mitigation Bulletin-
Antwort von Cisco
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zu den folgenden PSIRT-Sicherheitsempfehlungen:
In diesem Dokument werden Identifizierungs- und Eindämmungstechniken vorgestellt, die Administratoren auf Cisco Netzwerkgeräten implementieren können.
-
Merkmale der Schwachstelle
-
Überblick über die Risikominderungstechnik
Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software kann mithilfe von eine effektive Prävention von Exploits ermöglichen. Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstelle auszunutzen.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
-
Risikomanagement
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Gerätespezifische Eindämmung und Identifizierung
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Intrusion Prevention System
- Sourcefire Intrusion Prevention-System
- Cisco IronPort Cloud-Sicherheit
Cisco IOS-Router und -Switches
Eindämmung: Infrastruktur-Zugriffskontrolllisten
Um Infrastrukturgeräte zu schützen und das Risiko, die Auswirkungen und die Effektivität direkter Angriffe auf die Infrastruktur zu minimieren, sollten Administratoren iACLs implementieren, um den an Infrastrukturgeräte gesendeten Datenverkehr durchzusetzen. Administratoren können eine iACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen an die Geräte der Infrastruktur gesendet wird. Um einen maximalen Schutz für Infrastrukturgeräte zu gewährleisten, sollten bereitgestellte iACLs in Eingangsrichtung auf alle Schnittstellen angewendet werden, für die eine IP-Adresse konfiguriert wurde. Eine iACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die iACL-Richtlinie verweigert nicht autorisierte IPv4- und IPv6-Pakete auf und, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/242001:DB8:1:60::/64 für den IP-Adressraum, der von den betroffenen Geräten verwendet wird, und der Host unter 192.168.100.1 2001:DB8::100:1 gilt als vertrauenswürdige Quelle, die Zugriff auf die betroffenen Geräte erfordert. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Wenn möglich, sollte sich der Infrastruktur-Adressraum vom Adressraum unterscheiden, der für Benutzer- und Service-Segmente verwendet wird. Mit dieser Adressierungsmethode können Sie iACLs erstellen und bereitstellen.
Weitere Informationen zu iACLs finden Sie unter Protecting Your Core: Infrastructure Protection Access Control Lists.
ip access-list extended Infrastructure-ACL-Policy
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! deny ip any 192.168.60.0 0.0.0.255 ! ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any 2001:DB8:1:60::/64 ! ! !-- Apply tACLs to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACL-Policy in ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy inBeachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp error-interval-interval-in-ms vom Standard geändert werden.
Informationen zur Verwendung der Cisco IOS Software-Befehlszeilenschnittstelle zur Messung der Effektivität der iACL finden Sie im Whitepaper Cisco Security Intelligence Operations Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 1 Warnmeldungsverlauf
Erstveröffentlichung2014-05-März 16:02 GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco Cisco Wireless LAN Controller (WLC) 4,0 (.108, .155,0, .155,5, .179,8, .179,11, .196, .206,0, .217,0, .219,0) | 4.1 (Basis, .171.0, .181.0, .185.0) | 4.2 (Basis, .61.0, .99.0, .112.0, .117.0, .130.0, .173.0, .174.0, .176.0, .182.0) | 5,0 (.148,0, .148,2) | 5,1 (.151,0, .152,0, .160,0) | 5,2 (.157,0, .169,0) | 6,0 (Basis, 182,0, 188,0, 196,0, 199,4, 202,0) | 7,0 (Basis, 98,0, 98,218, 116,0, 220,0) | 7,1 (Basis, 91,0) | 7,2 (Basis, 103,0) | 7,3 (Basis, .101.0, .112) | 7,4 (Basis, 1,54, 100, 100,60, 110,0) | 7,5 (Basis, .102,0)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.