Cisco Applied Mitigation Bulletin-
Dieses "Applied Mitigation Bulletin" ist ein Begleitdokument zu den PSIRT-Sicherheitsempfehlungen für Cisco IOS XR Software IPv6 Malformed Packet Denial of Service Vulnerability und bietet Identifizierungs- und Mitigationstechniken, die Administratoren auf Cisco Netzwerkgeräten einsetzen können.
In diesem Dokument werden Identifizierungs- und Eindämmungstechniken vorgestellt, die Administratoren auf Cisco Netzwerkgeräten implementieren können.
-
Die Cisco IOS XR Software für Aggregation Services Router der Serie ASR 9000 weist eine Schwachstelle bei der Verarbeitung von fehlerhaften IP Version 6 (IPv6)-Paketen auf. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriffe per Remote-Zugriff ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann das betroffene Gerät abstürzen. Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen. Der Angriffsvektor zur Ausnutzung besteht aus missgebildeten IPv6-Paketen. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
-
Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory unter dem folgenden Link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140611-ipv6
-
Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- Zonenbasierte IOS-Firewall
- Unicast Reverse Path Forwarding (URPF)
- IP Source Guard (IPSG)
Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, die Pakete mit gefälschten Quell-IP-Adressen verwenden. uRPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor Spoofing-Angriffen auf der Zugriffsebene.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 sowie Cisco Router der Serie 7600 sorgen standardmäßig für einen effektiven Schutz vor Sicherheitslücken und überprüfen aktiv den Datenverkehr im Transit-Netzwerk.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.sour
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Intrusion Prevention System
Cisco IOS-Router und -Switches
Eindämmung: IOS Zone-Based and User-Based Firewall
Ab Version 12.4(6)T der Cisco IOS-Software ersetzte die zonenbasierte Firewall (ZFW) die kontextbasierte Zugriffskontrolle (CBAC) von Cisco IOS. Sie bietet eine präzise Anwendung von Firewall-Richtlinien und eine standardmäßige Deny-All-Richtlinie, die den Datenverkehr zwischen Firewall-Sicherheitszonen untersagt, bis eine explizite Richtlinie angewendet wird, die den gewünschten Datenverkehr zulässt.
In Cisco IOS ZFW legen Zonen die Sicherheitsgrenzen des Netzwerks fest. Eine Zone definiert eine Grenze, an der der Datenverkehr bei der Übertragung in eine andere Region Ihres Netzwerks Richtlinien unterliegt. Die ZFW-Standardrichtlinie für die Zoneneinteilung sieht vor, den gesamten Datenverkehr abzulehnen. Wenn keine Richtlinie explizit konfiguriert wird, wird der gesamte Datenverkehr, der versucht, sich zwischen Zonen zu bewegen, blockiert. Die ZFW verwendet eine Konfigurationsrichtliniensprache, die als Cisco Policy Language (CPL) bezeichnet wird. Benutzer, die mit der Cisco IOS Software Modular Quality-of-Service (QoS) CLI (MQC) vertraut sind, erkennen möglicherweise, dass das Format der Verwendung von Klassenzuordnungen in einer QoS-Konfiguration ähnelt, um anzugeben, welcher Datenverkehr von der in einer Richtlinienzuordnung angewendeten Aktion betroffen ist. Cisco IOS ZFW unterstützt Stateful Layer 4 IPv4- und IPv6-Analysen und bietet darüber hinaus anwendungsspezifische Prüfungen, Stateful Firewall Failover, Authentifizierungsproxy, Denial of Service (DoS)-Migration, URL-Filterung und vieles mehr.
Die IPv6-Layer-4-Inspektion von Cisco IOS ZFW kann auch verwendet werden, um fehlerhafte Pakete zu blockieren, die versuchen, diese Schwachstelle auszunutzen. Im folgenden Beispiel untersucht die ZFW den gesamten IPv6-Datenverkehr auf Layer 4, der in Zone z1 (Schnittstelle GigabitEthernet0/0) eingeht und aus Zone z2 (Schnittstelle GigabitEthernet0/1) austritt, wo sich die anfälligen Geräte befinden.
! !-- Configure MQC inspection policy to match !-- and inspect all IPv6 traffic ! ipv6 access-list ipv6-acl permit ipv6 any any class-map type inspect match-all z1_2_cm match access-group name ipv6-acl policy-map type inspect z1_2_pm class type inspect z1_2_cm inspect class class-default drop ! !-- Apply the policy to the zone-pair !-- between zones z1 and z2 ! zone security z1 zone security z2 zone-pair security z1_2-zp source z1 destination z2 service-policy type inspect z1_2_pm interface GigabitEthernet0/0 zone-member security z1 interface GigabitEthernet0/1 zone-member security z2
Konfigurationsbeispiele finden Sie in den IOS Zone Based Firewall Step-by-Step Basic Configuration and IPv6 Zone Based Firewall (ZFW) Configuration documents in the Cisco Support Community and Cisco Configuration Professional: Zone-Based Firewall Blocking Peer-to-Peer Traffic Configuration Example. Weitere Informationen zu Cisco IOS ZFW finden Sie im Zone-Based Policy Firewall Design and Application Guide.
Eindämmung: Spoofing-Schutz
Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebene Schwachstelle kann durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
IP-Quellschutz
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Bei ordnungsgemäßer Bereitstellung und Konfiguration bietet IPSG in Verbindung mit dem strengen Modus "uRPF" den effektivsten Spoofing-Schutz für die in diesem Dokument beschriebene Schwachstelle.
Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.
Weitere Informationen zur Verwendung der IOS-Befehlszeilenschnittstelle zur Messung der Effektivität des Spoofing-Schutzes finden Sie im Cisco Security Whitepaper Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Die Cisco ASA-Software führt standardmäßig verschiedene Paketprüfungen für den Transitverkehr durch. So wird beispielsweise die Richtigkeit des IP-Headers eines Pakets überprüft. Eine Cisco ASA, die IPv6-Datenverkehr aktiv prüft, identifiziert standardmäßig fehlerhafte IPv6-Pakete und löscht diese aus. Auf diese Weise wird versucht, die in diesem Dokument beschriebene Schwachstelle zu nutzen. Der Schutz vor Paketen, die diese Schwachstelle ausnutzen, ist nicht konfigurierbar: Zur Aktivierung dieser Funktion sind keine Konfigurationsänderungen erforderlich.
Informationen zur ASA IPv6-Inspektion finden Sie im "Getting Started with Application Layer Protocol Inspection"-Leitfaden.
Cisco Intrusion Prevention System
Eindämmung: Cisco IPS
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Inline bereitgestellte Cisco IPS-Geräte reduzieren diese Schwachstelle standardmäßig, sofern die Signaturen der Normalizer Engine nicht geändert wurden. Wenn ein Netzwerkadministrator die Signaturen der Normalizer Engine bearbeitet hat, kann er sich an das Cisco TAC wenden, um zu überprüfen, ob das Cisco IPS-Gerät diese Schwachstelle behebt.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 1 Erstveröffentlichung 11. Juni 2014, 16:01 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco Cisco IOS XR-Software 3,7 (Basis, .1, .2, .3) | 3,8 (.0, .1, .2, .3, .4) | 3,9 (.0, .1, .2, .3) | 4,0 (Basis, .0, .1, .2, .3, .4, .11) | 4.1 (Basis, .0, .1, .2) | 4.2 (.0, .1, .2, .3, .4) | 4,3 (.0, .1, .2) | 5,1 (.0)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.