Cisco Applied Mitigation Bulletin-
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zur PSIRT-Sicherheitsempfehlung Mehrere Schwachstellen im Cisco Unified Communications Domain Manager und bietet Identifizierungs- und Mitigationstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
-
Eine Schwachstelle im Web-Framework der Cisco Unified Communications Domain Manager-Anwendungssoftware könnte es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, auf Benutzerinformationen des BVSMWebportals zuzugreifen und diese zu ändern. Der Angriffsvektor zur Ausnutzung besteht aus HTTP- und HTTPS-IPv4- und IPv6-Paketen, die die TCP-Ports 80 und 443 verwenden.
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2014-3300 zugewiesen.
-
Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory, die unter folgendem Link verfügbar ist: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140702-cucdm.
-
Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mit einer IOS Zone-Based Firewall effektive Möglichkeiten zur Vermeidung von Exploits.
Die Cisco Adaptive Security Appliances der Serien ASA 5500 und 5500-X, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten folgende effektive Möglichkeiten zur Vermeidung von Exploits:- Protokollüberprüfung auf Anwendungsebene
- URL-Filterung
- Firewall-Services der nächsten Generation
Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten zudem mithilfe der Anwendungsprotokollüberprüfung einen effektiven Schutz vor Exploits.
Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstelle auszunutzen.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.
Die effektive Nutzung der Ereignisaktionen der Cisco Web Security Appliance bietet Transparenz und Schutz vor Angriffen, die die Schwachstelle ausnutzen sollen, deren Angriffsvektor sich über das Internet erstreckt.
Die effektive Nutzung von Cisco Cloud Web Security-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die eine Schwachstelle ausnutzen, die einen Angriffsvektor über das Internet hat.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:- Cisco IOS-Router und -Switches
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco ACE
- Cisco Intrusion Prevention System
- Cisco Web Security
- Cisco Cloud Web Security
Cisco IOS-Router und -Switches
Eindämmung: IOS-zonenbasierte Firewall
Ab Version 12.4(6)T der Cisco IOS-Software ersetzte die zonenbasierte Firewall (ZFW) die kontextbasierte Zugriffskontrolle (CBAC) von Cisco IOS. Sie bietet eine präzise Anwendung von Firewall-Richtlinien und eine standardmäßige Deny-All-Richtlinie, die den Datenverkehr zwischen Firewall-Sicherheitszonen untersagt, bis eine explizite Richtlinie angewendet wird, die den gewünschten Datenverkehr zulässt.
In Cisco IOS ZFW legen Zonen die Sicherheitsgrenzen des Netzwerks fest. Eine Zone definiert eine Grenze, an der der Datenverkehr bei der Übertragung in eine andere Region Ihres Netzwerks Richtlinien unterliegt. Die ZFW-Standardrichtlinie für die Zoneneinteilung sieht vor, den gesamten Datenverkehr abzulehnen. Wenn keine Richtlinie explizit konfiguriert wird, wird der gesamte Datenverkehr, der versucht, sich zwischen Zonen zu bewegen, blockiert. Die ZFW verwendet eine Konfigurationsrichtliniensprache, die als Cisco Policy Language (CPL) bezeichnet wird. Benutzer, die mit der Cisco IOS Software Modular Quality-of-Service (QoS) CLI (MQC) vertraut sind, erkennen möglicherweise, dass das Format der Verwendung von Klassenzuordnungen in einer QoS-Konfiguration ähnelt, um anzugeben, welcher Datenverkehr von der in einer Richtlinienzuordnung angewendeten Aktion betroffen ist. Cisco IOS ZFW unterstützt Stateful Layer 4 IPv4- und IPv6-Analysen und bietet darüber hinaus anwendungsspezifische Prüfungen, Stateful Firewall Failover, Authentifizierungsproxy, Denial of Service (DoS)-Eindämmung, URL-Filterung und vieles mehr.
Die Richtlinien, die den Zugriff auf die in diesem Dokument beschriebenen Protokolle und Ports blockieren, können mit Cisco IOS ZFW konfiguriert werden. Die ZFW HTTP Layer 7 Inspection kann auch genutzt werden, um eine Anfrage mit "/bvsmweb" in der URL zu blockieren.
Konfigurationsbeispiele finden Sie in den Dokumenten IOS ZBF-Konfiguration mit schrittweiser Konfiguration und IPv6 Zone Based Firewall (ZFW)-Konfiguration in der Cisco Support Community und Cisco Configuration Professional: Zone-Based Firewall Blocking Peer-to-Peer Traffic Configuration Example. Weitere Informationen zu Cisco IOS ZBF finden Sie im Zone-Based Policy Firewall Design and Application Guide.
Die in den Cisco IOS Software-Versionen 12.4(20)T eingeführte Funktion der IOS-benutzerbasierten Firewall kann identitäts- oder benutzergruppenbasierte Sicherheit bereitstellen, die einen differenzierten Zugriff für unterschiedliche Benutzerklassen ermöglicht. Die Klassifizierung kann anhand der Benutzeridentität, des Gerätetyps (z. B. IP-Telefone), des Standorts (z. B. Gebäude) und der Rolle (z. B. Techniker) erfolgen.
Die Cisco IOS Firewall-Richtlinien, die den Zugriff auf Protokolle und Ports blockieren oder Anwendungen filtern, können auf Benutzer- oder Benutzergruppenbasis mithilfe der Funktion "User Based Firewall" (Benutzerbasierte Firewall) konfiguriert werden.
Weitere Informationen zur benutzerbasierten Firewall von Cisco finden Sie im User Based Firewall Support Guide (Handbuch für den Support benutzerbasierter Firewalls) und im Abschnitt Feature Information for User-Based Firewall Support (Informationen zu den Funktionen für den Support benutzerbasierter Firewalls).Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Protokollüberprüfung auf Anwendungsebene
Die Protokollprüfung auf Anwendungsebene ist ab Softwareversion 7.2(1) für die Cisco Adaptive Security Appliance der Serien ASA 5500 und 5500-X, Softwareversion 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und Softwareversion 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden. Bei der Anwendungsinspektion werden sowohl IPv4- als auch IPv6-Pakete überprüft, die den in der Klassenzuordnung der Richtlinie definierten Paketen entsprechen.
Weitere Informationen zur Protokollprüfung auf Anwendungsebene und zum Modular Policy Framework (MPF) finden Sie im Abschnitt Erste Schritte mit der Protokollprüfung auf Anwendungsebene in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.
Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.
HTTP-Anwendungsinspektion
Mithilfe der HTTP Inspection Engine auf den Adaptive Security Appliances der Serien Cisco ASA 5500 und 5500-X, den Cisco ASA Services Modules der Serie 6500 und dem Cisco Firewall Services Module können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinien für die Inspektion erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Bei der folgenden HTTP-Anwendungsinspektionskonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Inspektion des Datenverkehrs an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Diese sind die Standardports für die Cisco IPS #WEBPORTS-Variable.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.
! !-- Configure regex that looks for the string that !-- is typically used to exploit this vulnerability ! regex CVE-2014-3300 ".+/bvsmweb" ! !-- Configure a regex class to match on the regular !-- expression that is configured above ! class-map type regex match-any vulnerable_url_class match regex CVE-2014-3300 ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_Policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A larger number may have an impact !-- on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 200 match response body regex class vulnerable_url_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http http_Policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Abschnitt Hinzufügen globaler Objekte in Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.
Weitere Informationen zu HTTP-Anwendungsprüfungen und MPF finden Sie im Abschnitt HTTP-Prüfung in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.
Informationen zur Verwendung der Cisco Firewall-CLI zur Messung der Wirksamkeit der Anwendungsinspektion finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.Eindämmung: URL-Filterung
Die URL-Filterung kann auf die ASA angewendet werden, indem Websense Enterprise Secure Computing SmartFilter (ehemals N2H2) für die Internetfilterung verwendet wird. Wenn die URL-Filterung aktiviert ist, setzt die ASA nur die Filterrichtlinienentscheidungen durch, die für HTTP, HTTPS und FTP durch die Produktkonfigurationen für die Internetfilterung getroffen wurden.
Speziell für HTTPS-Inhalte sendet die ASA die URL-Suche ohne Verzeichnis- und Dateinameninformationen. Wenn der Filterserver eine HTTPS-Verbindungsanforderung genehmigt, ermöglicht die ASA den Abschluss der SSL-Verbindungsaushandlung und die Antwort vom Webserver kann den ursprünglichen Client erreichen. Wenn der Filterserver die Anforderung ablehnt, verhindert die ASA den Abschluss der SSL-Verbindungsaushandlung. Der Browser zeigt eine Fehlermeldung wie "Die Seite oder der Inhalt kann nicht angezeigt werden.
Die URL-Filterung wird mithilfe von url-server und filter global CLI-Befehlen konfiguriert.
Mithilfe der URL-Filterung kann die in diesem Dokument beschriebene Schwachstelle behoben werden, indem HTTP-Anfragen gefiltert werden, die "/bvsmweb" in ihrer URL enthalten.
Weitere Informationen finden Sie unter " Filtern von HTTPS-URLs" im Cisco ASA-Konfigurationsleitfaden und in How to configure URL filter (Konfigurieren von URL-Filterung) in der Cisco Support Community.Eindämmung: Firewall-Services der nächsten Generation
Ab Cisco ASA Softwareversion 8.4(5) für Cisco ASA 5585-X mit ASA CX SSP-10 und -20; Cisco ASA Softwareversion 9.1 für Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X und ASA 5555 Mit den Cisco ASA Firewall der nächsten Generation (NGFW)-Services können Administratoren Richtlinien basierend auf der Identität des Benutzers (Wer), der Anwendung oder Website, auf die der Benutzer zugreifen möchte (Was), dem Ursprung des Zugriffsversuchs (Wo), der Uhrzeit, der des versuchten Zugriffs (wann) und die Eigenschaften des für den Zugriff verwendeten Geräts (wie).
Die NGFW-Services werden in einem separaten Hardwaremodul (SSP für ASA5585-X) oder Softwaremodul (ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) ausgeführt. Die ASA leitet den Datenverkehr (mithilfe von MPF-Richtlinien) an das NGFW-Modul weiter, das die konfigurierten Richtlinien überwacht und/oder durchsetzt. NGFW-Richtlinien können über die grafische Benutzeroberfläche von Cisco Prime Security Manager (PRSM) im Einzel- oder Mehrfachmodus konfiguriert werden. Im Rahmen des AVC-Service (Application Visibility and Control) der NGFW können eine Vielzahl von Anwendungen erkannt und entsprechende Aktionen ausgeführt werden. Die Anwendungserkennung wird anhand von Signatur- und Modulaktualisierungen ständig aktualisiert. Ebenso kann der Web Security Essentials (WSE)-Dienst Webfeatures und -anforderungen prüfen und darauf reagieren. Web-Reputationsrichtlinien können außerdem verwendet werden, um Datenverkehr basierend auf der Reputation der besuchten Ziele zu filtern.
Mit der Cisco NGFW kann die in diesem Dokument beschriebene Schwachstelle behoben werden, indem URLs mit der Zeichenfolge "/bvsmweb" gefiltert werden.
Überwachungs- und Filterrichtlinien (AVC und WSE) können auch auf verschlüsselten TLS-Datenverkehr angewendet werden.
Weitere Informationen zu unterstützten Anwendungen finden Sie im ASA NGFW Services Applications Portal. Weitere Informationen zur Konfiguration der ASA finden Sie im Abschnitt "Konfigurieren des ASA CX-Moduls" im Cisco ASA-Konfigurationsleitfaden. Weitere Informationen zur Konfiguration der ASA CX finden Sie im Benutzerhandbuch für ASA CX und Cisco Prime Security Manager.Cisco ACE
Eindämmung: Anwendungsprotokollüberprüfung
Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der den Cisco ACE durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.
Weitere Informationen zur Prüfung von Anwendungsprotokollen finden Sie im Abschnitt Configuring Application Protocol Inspection im Security Guide vA5(1.0), Cisco ACE Application Control Engine.
HTTP Deep Packet Inspection
Für die HTTP-Deep Packet Inspection können Administratoren reguläre Ausdrücke (reguläre Ausdrücke) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable.
Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, nicht beeinträchtigt werden.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the string !-- /bvsmweb that is typically used to exploit !-- this vulnerability ! class-map type http inspect match-any vulnerable_http_class match content ".*/bvsmweb.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http all-match http_Policy class vulnerable_http_class reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_http_Policy class L4_http_class inspect http policy http_Policy ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_Policy
Weitere Informationen zur Verwendung der ACE-Kommandozeilenschnittstelle zur Messung der Wirksamkeit der Anwendungsinspektion finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Malicious Traffic Using Cisco ACE.Cisco Intrusion Prevention System
Risikominderung: Cisco IPS-Signaturtabelle
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die nachfolgende Tabelle bietet einen Überblick über die CVE-ID und die jeweilige Cisco IPS-Signatur, die bei potenziellen Exploit-Versuchen eine Bedrohung auslösen können.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2014-3300 S809 4462/0 Sicherheitslücke bei nicht autorisierter Datenmanipulation mit Cisco Unified Communications Domain Manager BVSMWeb Ja Mittel 100
* Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgelistete Schwachstelle auszunutzen.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.Cisco Web Security Appliance
Eindämmung: Web-Sicherheit
Die Cisco Web Security Appliances (WSA) können Unternehmensnetzwerke vor webbasierter Malware und Spyware filtern und schützen, die die Sicherheit des Unternehmens gefährden und geistiges Eigentum ans Tageslicht bringen kann. Sie dienen als Proxy und stellen benutzer- und gruppenbasierte Richtlinien bereit, die bestimmte URL-Kategorien, Webinhalte, Webanwendungen (AVC), Websites nach Webreputation und Malware filtern. Mithilfe der L4-Datenverkehrsüberwachung (L4TM) kann die WSA auch infizierte Clients erkennen und schädliche Aktivitäten daran hindern, sich außerhalb des Unternehmensnetzwerks zu bewegen. Richtlinien können über eine grafische Web-Benutzeroberfläche konfiguriert werden. CLI kann ebenfalls verwendet werden. Die Web Security Appliance bietet Schutz für Standard-Kommunikationsprotokolle wie HTTP, HTTPS, FTP und SOCKS.
Für den Betrieb mit Netzwerkgeräten wie Routern und Firewalls verwendet die WSA das Web Cache Coordination Protocol (WCCP). Mit WCCP werden Content-Anfragen transparent an die WSA weitergeleitet, die auf der Grundlage ihrer Konfiguration agiert, ohne dass die Benutzer einen Web-Proxy in ihrem Browser konfigurieren müssen. In Cisco IOS wird WCCP mithilfe der ip wccp-Befehle und in Cisco ASA mithilfe der wccp-Befehle aktiviert.
Die Cisco WSA kann verwendet werden, um die in diesem Dokument beschriebene Schwachstelle zu beheben, indem der Web-Datenverkehr anhand von URLs gefiltert wird, die die folgende Zeichenfolge "/bvsmweb" enthalten.
Weitere Informationen finden Sie im Dokument ASA: WCCP Step-by-Step Configuration in der Cisco Support Community und im Cisco IronPort AsyncOS Web User Guide.Cisco Cloud Web Security
Eindämmung: Cloud Web Security
Cisco Cloud Web Security (CWS) analysiert sämtliche Internetanfragen und -antworten, um anhand der definierten Sicherheitsrichtlinien festzustellen, ob Inhalte bösartig, bedenklich oder akzeptabel sind. Dies bietet effektiven Schutz vor Bedrohungen, einschließlich Zero-Day-Bedrohungen, die andernfalls erfolgreich wären. Cisco CWS kann benutzer- und gruppenbasierte Richtlinien bereitstellen, die bestimmte URL-Kategorien, Webinhalte, Dateien und Dateitypen, Webanwendungen (AVC), Websites nach Webreputation und Malware filtern. Es kann sowohl HTTP- als auch HTTPS-Datenverkehr prüfen.
Ab Cisco IOS 15.2MT auf ISR-G2-Routern und der Cisco ASA Software Version 9.0 kann Cisco CWS transparent in Cisco IOS und Cisco ASA integriert werden. Darüber hinaus kann CWS ab AnyConnect 3.0 mit dem AnyConnect-Client bereitgestellt werden. CWS kann auch auf Endhosts als Cisco Cloud Connector-Anwendung bereitgestellt werden.
Cisco CWS kann verwendet werden, um die in diesem Dokument beschriebene Schwachstelle zu beheben, indem der Web-Datenverkehr anhand von HTTP-Feldern gefiltert wird, die den Regex "/bvsmweb" enthalten.
Konfigurationsbeispiele finden Sie in den Dokumenten ASA: ScanSafe Step-by-Step Configuration und IOS: ScanSafe Step-by-Step Configuration in der Cisco Support Community. Weitere Informationen zur IOS- und ASA-Konfiguration finden Sie im Cisco ISR Web Security with Cisco ScanSafe Solution Guide und im Abschnitt Configuration Cisco Cloud Web Security des Cisco ASA-Konfigurationsleitfadens. Weitere Informationen zum CWS-Portal finden Sie im Cisco ScanCenter Administratorhandbuch.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 1 Erstveröffentlichung 2014-Juli-02 16:04 GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco Cisco Unified Communications Domain Manager 8,1 (.1, .2, .3, .4) Cisco Unified Communications Domain Manager-Plattform VOSS-Plattform 4.4 (.1)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.