Identifizieren und Beheben der verschiedenen Sicherheitslücken in Cisco Sprachprodukten

Download-Optionen

ePub (101.6 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (115.7 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:25. Dezember 2011

Dokument-ID:1487390065899122

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Identifizieren und Beheben der verschiedenen Sicherheitslücken in Cisco Sprachprodukten

Beratungs-ID: cisco-amb-20110928-voice

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110928-voice

Version 1.0

Zur öffentlichen Veröffentlichung 2011 28. September 16:00 UTC (GMT)

Inhalt

Antwort von Cisco
Gerätespezifische Eindämmung und Identifizierung
Zusätzliche Informationen
Revisionsverlauf
Cisco Sicherheitsverfahren
Zugehörige Informationen

Antwort von Cisco

Dieses Applied Mitigation Bulletin ist ein Begleitdokument zu den folgenden PSIRT-Sicherheitsempfehlungen:

Schwachstellen bei Denial of Service für das Cisco IOS Software Session Initiation Protocol

Schwachstelle: Cisco Unified Communications Manager Session Initiation Protocol-Speicher

In diesem Dokument werden Identifizierungs- und Eindämmungstechniken vorgestellt, die Administratoren auf Cisco Netzwerkgeräten implementieren können.

Merkmale der Schwachstelle

Cisco IOS Software und Cisco Unified Communications Manager weisen mehrere Schwachstellen auf. Im folgenden Unterabschnitt werden diese Schwachstellen zusammengefasst:

Session Initiation Protocol (SIP) Memory Leak Vulnerabilities: Diese Schwachstellen betreffen sowohl Cisco IOS Software als auch Cisco Unified Communications Manager. Diese Schwachstellen können ohne Authentifizierung und ohne Eingreifen der Endbenutzer per Remote-Zugriff ausgenutzt werden. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann zum Absturz des betroffenen Geräts oder zu einem Denial of Service (DoS) führen. Wiederholte Versuche, diese Schwachstellen auszunutzen, könnten zu einem anhaltenden DoS-Zustand führen.

Die Angriffsvektoren werden durch ein Paket generiert, das die folgenden Protokolle und Ports verwendet:

SIP über TCP-Port 5060

SIP Transport Layer Security (TLS) mit TCP-Port 5061

SIP mit UDP-Port 5060

SIP TLS mit UDP-Port 5061 (nur Cisco Unified Communications Manager)

Ein Angreifer könnte diese Schwachstellen mithilfe gefälschter Pakete ausnutzen.

Diesen Schwachstellen wurden die folgenden CVE-Bezeichner zugewiesen:

CVE-2011-0939

CVE 2011-2072

CVE 2011-3275

CVE 2011-2073

Überblick über Sicherheitslücken

Informationen über anfällige, nicht betroffene und feste Software finden Sie in den PSIRT-Sicherheitsempfehlungen unter den folgenden Links:

Überblick über die Risikominderungstechnik

Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.

Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:

InfrastrukturZugriffskontrolllisten (iACLs)
Transit-Zugriffskontrolllisten (tACLs)
Unicast Reverse Path Forwarding (Unicast-RPF)
IP Source Guard (IPSG)

Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstellen auszunutzen, und überprüfen die Quell-IP-Adresse dieser Pakete.

Die ordnungsgemäße Bereitstellung und Konfiguration von Unicast RPF bietet einen effektiven Schutz vor Angriffen, bei denen Pakete mit gefälschten Quell-IP-Adressen verwendet werden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.

Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor Spoofing-Angriffen auf der Zugriffsebene.

Die Cisco Adaptive Security Appliance der Serie ASA 5500 und das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten zudem mit den folgenden Methoden einen effektiven Schutz vor Exploits:

tACL
Unicast RPF

Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstellen auszunutzen, und überprüfen die Quell-IP-Adresse dieser Pakete.

Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.

Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.

Die Firewalls Cisco IOS Software, Cisco ASA und FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

Die Cisco Security Monitoring, Analysis, and Response System (Cisco Security MARS)-Appliance bietet ebenfalls Transparenz für Vorfälle, Anfragen und Ereignisberichte

Risikomanagement

Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

Vorsicht: Die Effektivität jeder Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und betrieblichem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

Cisco IOS-Router und -Switches
Cisco IOS-NetFlow
Cisco ASA und FWSM-Firewalls
Cisco Intrusion Prevention System
Cisco Security Monitoring, Analysis and Response System

Cisco IOS-Router und -Switches

Eindämmung: Infrastruktur-Zugriffskontrolllisten

Um Infrastrukturgeräte zu schützen und das Risiko, die Auswirkungen und die Effektivität direkter Angriffe auf die Infrastruktur zu minimieren, sollten Administratoren Infrastruktur-Zugriffskontrolllisten (iACLs) implementieren, um die Durchsetzung von Richtlinien für den an Infrastrukturgeräte gesendeten Datenverkehr zu ermöglichen. Administratoren können eine iACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen an die Geräte der Infrastruktur gesendet wird. Um einen maximalen Schutz für Infrastrukturgeräte zu gewährleisten, sollten bereitgestellte iACLs in Eingangsrichtung auf alle Schnittstellen angewendet werden, für die eine IP-Adresse konfiguriert wurde. Eine iACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die iACL-Richtlinie verweigert nicht autorisierte SIP-Pakete am TCP- und UDP-Port 5060 sowie SIP-TLS am TCP- und UDP-Port 5061, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8:1:100::1 gelten als vertrauenswürdige Quellen, die Zugriff benötigen auf die betroffenen Geräte übertragen werden. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Wenn möglich, sollte sich der Infrastruktur-Adressraum vom Adressraum unterscheiden, der für Benutzer- und Service-Segmente verwendet wird. Mit dieser Adressierungsmethode können Sie iACLs erstellen und bereitstellen.

Weitere Informationen zu iACLs finden Sie unter Protecting Your Core: Infrastructure Protection Access Control Lists (Schützen Ihres Kerns: Zugriffskontrolllisten für Infrastrukturschutz).

 ip access-list extended Infrastructure-ACL-Policy
 
 !
 !-- Include explicit permit statements for trusted sources 
 !-- that require access on the vulnerable TCP and UDP ports 
 !

  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
  permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
  permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061

 !
 !-- The following vulnerability-specific access control entries
 !-- (ACEs) can aid in identification of attacks
 !

  deny tcp any 192.168.60.0 0.0.0.255 eq 5060
  deny tcp any 192.168.60.0 0.0.0.255 eq 5061
  deny udp any 192.168.60.0 0.0.0.255 eq 5060
  deny udp any 192.168.60.0 0.0.0.255 eq 5061

 !
 !-- Explicit deny ACE for traffic sent to addresses configured within
 !-- the infrastructure address space
 !

  deny ip any 192.168.60.0 0.0.0.255  

 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
 !-- with existing security policies and configurations
 !
!
!-- Create the corresponding IPv6 tACL
!

ipv6  access-list IPv6-Infrastructure-ACL-Policy

 !
 !-- Include explicit permit statements for trusted sources
 !-- that require access on the vulnerable protocols and ports
 !

  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061

 !
 !-- The following vulnerability-specific access control entries
 !-- (ACEs) can aid in identification of attacks to global and
 !-- link local addresses
 !

  deny tcp any 2001:DB8:1:60::/64 eq 5060
  deny tcp any 2001:DB8:1:60::/64 eq 5061
  deny udp any 2001:DB8:1:60::/64 eq 5060
  deny udp any 2001:DB8:1:60::/64 eq 5061

 !
 !-- Permit other required traffic to the infrastructure address
 !-- range and allow IPv6 Neighbor Discovery packets, which
 !-- include Neighbor Solicitation packets and Neighbor
 !-- Advertisement packets
 !

  permit icmp any any nd-ns
  permit icmp any any nd-na
  
 ! 
 !-- Explicit deny for all other IPv6 traffic to the global
 !-- infrastructure address range
 !

  deny ipv6 any 2001:DB8:1:60::/64
  
 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic
 !-- in accordance with existing security policies and configurations
 !
!
!-- Apply tACLs to interfaces in the ingress direction
!

interface GigabitEthernet0/0
 ip access-group Infrastructure-ACL-Policy in
 ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mit dem Schnittstellenkonfigurationsbefehl no ip unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls ip icmp rate-limit unreachable interval-in-ms vom Standardwert geändert werden.

Eindämmung: Transit-Zugriffskontrolllisten

Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die tACL-Richtlinie verweigert nicht autorisierte SIP-Pakete am TCP- und UDP-Port 5060 sowie SIP-TLS am TCP- und UDP-Port 5061, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8:1:100::1 gelten als vertrauenswürdige Quellen, die Zugriff benötigen auf die betroffenen Geräte übertragen werden. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.


!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports
!

access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
 
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5060
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5061
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5060
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5061

!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

access-list 150 deny ip any any

!
!-- Create the corresponding IPv6 tACL
!

ipv6  access-list IPv6-Transit-ACL-Policy

 !
 !-- Include explicit permit statements for trusted sources
 !-- that require access on the vulnerable TCP and UDP ports
 !

  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061

 !
 !-- The following vulnerability-specific ACEs can 
 !-- aid in identification of attacks to global and
 !-- link local addresses
 !

  deny tcp any 2001:DB8:1:60::/64 eq 5060
  deny tcp any 2001:DB8:1:60::/64 eq 5061
  deny udp any 2001:DB8:1:60::/64 eq 5060
  deny udp any 2001:DB8:1:60::/64 eq 5061

 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic in 
 !-- accordance with existing security policies and configurations
 !-- and allow IPv6 Neighbor Discovery packets, which
 !-- include Neighbor Solicitation packets and Neighbor
 !-- Advertisement packets
 !

  permit icmp any any nd-ns
  permit icmp any any nd-na
  
 ! 
 !-- Explicit deny for all other IPv6 traffic
 !

  deny ipv6 any any

!
!-- Apply tACLs to interfaces in the ingress direction
!

interface GigabitEthernet0/0
 ip access-group 150 in
 ipv6 traffic-filter IPv6-Transit-ACL-Policy in

Eindämmung: Spoofing-Schutz

Unicast Reverse Path Forwarding

Die in diesem Dokument beschriebenen Schwachstellen können durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können Unicast Reverse Path Forwarding (Unicast RPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.

Unicast-RPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass Unicast RPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine Unicast RPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine geeignete Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, sicherzustellen, dass während der Bereitstellung dieser Funktion der entsprechende Unicast RPF-Modus (flexibel oder strikt) konfiguriert wird, da diese Funktion legitimen Datenverkehr, der das Netzwerk durchquert, verwerfen kann. In einer Unternehmensumgebung kann Unicast-RPF am Internet-Edge und auf der internen Zugriffsebene der benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.

Weitere Informationen finden Sie im Funktionsleitfaden zur Unicast Reverse Path Forwarding Loose Mode.

Weitere Informationen zur Konfiguration und Verwendung von Unicast RPF finden Sie im Whitepaper Understanding Unicast Reverse Path Forwarding Applied Intelligence.

IP-Quellschutz

IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Bei ordnungsgemäßer Bereitstellung und Konfiguration bietet IPSG in Verbindung mit dem Unicast RPF im strikten Modus den effektivsten Spoofing-Schutz für die in diesem Dokument beschriebenen Schwachstellen.

Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.

Identifikation: Infrastruktur-Zugriffskontrolllisten

Nachdem der Administrator die iACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der SIP-Pakete auf dem TCP- und UDP-Port 5060 sowie SIP-TLS auf dem TCP- und UDP-Port 5061, die auf Schnittstellen gefiltert wurden, auf die die iACL angewendet wurde. Administratoren sollten gefilterte Pakete untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists Infrastructure-ACL-Policy:

router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (60 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (41 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (188 matches)
    40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (51 matches)
    50 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (9 matches)
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (18 matches)
    70 deny udp any 192.168.60.0 0.0.0.255 eq 5060 (34 matches)
    80 deny udp any 192.168.60.0 0.0.0.255 eq 5061 (72 matches)
    90 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
router#

Im vorherigen Beispiel hat access list Infrastructure-ACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen werden:

9 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 50
18 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 60
34 SIP-Pakete auf UDP-Port 5060 für ACE-Leitung 70
72 SIP-Pakete am UDP-Port 5061 für ACE-Leitung 80

router#show ipv6 access-list IPv6-Infrastructure-ACL-Policy 
IPv6 access list IPv6-Infrastructure-ACL-Policy
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (71 matches) sequence 10
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (85 matches) sequence 20
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (512 matches) sequence 30
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (171 matches) sequence 40
    deny tcp any 2001:DB8:1:60::/64 eq 5060 (58 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 5061 (81 matches) sequence 60
    deny udp any 2001:DB8:1:60::/64 eq 5060 (216 matches) sequence 70
    deny udp any 2001:DB8:1:60::/64 eq 5061 (114 matches) sequence 80
    permit icmp any any nd-ns (80 matches) sequence 90
    permit icmp any any nd-na (80 matches) sequence 100
    deny ipv6 any 2001:DB8:1:60::/64 (5 matches) sequence 110

Im vorherigen Beispiel wurde die Zugriffsliste IPv6-Infrastructure-ACL-Policy wie folgt verworfen:

58 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 50
81 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 60
216 SIP-Pakete am UDP-Port 5060 für ACE-Leitung 70
114 SIP-Pakete am UDP-Port 5061 für ACE-Leitung 80

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence.

Administratoren können den Embedded Event Manager verwenden, um eine Instrumentierung bereitzustellen, wenn bestimmte Bedingungen erfüllt sind, z. B. ACE-Zählerzugriffe. Das Whitepaper Embedded Event Manager in a Security Context von Applied Intelligence enthält weitere Informationen zur Verwendung dieser Funktion.

Identifizierung: Transit-Zugriffskontrolllisten

Nachdem der Administrator die tACL auf eine Schnittstelle angewendet hat, identifizieren die Befehle show ip access-lists und show ipv6 access-list die Anzahl der SIP-Pakete am TCP- und UDP-Port 5060 und SIP-TLS am TCP- und UDP-Port 5061, die gefiltert wurden. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show ip access-lists 150:

router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (131 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (71 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (510 matches)
    40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (174 matches)
    50 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (42 matches)
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (37 matches)
    70 deny udp any 192.168.60.0 0.0.0.255 eq 5060 (128 matches)
    80 deny udp any 192.168.60.0 0.0.0.255 eq 5061 (31 matches)
    90 deny ip any any (44 matches)
router#

Im vorherigen Beispiel hat die Zugriffsliste 150 die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

42 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 50
37 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 60
128 SIP-Pakete am UDP-Port 5060 für ACE-Leitung 70
31 SIP-Pakete am UDP-Port 5061 für ACE-Leitung 80

router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (55 matches) sequence 10
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (38 matches) sequence 20
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (210 matches) sequence 30
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (59 matches) sequence 40
    deny tcp any 2001:DB8:1:60::/64 eq 5060 (30 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 5061 (41 matches) sequence 60
    deny udp any 2001:DB8:1:60::/64 eq 5060 (310 matches) sequence 70
    deny udp any 2001:DB8:1:60::/64 eq 5061 (131 matches) sequence 80
    permit icmp any any nd-ns (41 matches) sequence 90
    permit icmp any any nd-na (41 matches) sequence 100
    deny ipv6 any any (21 matches) sequence 110

Im vorherigen Beispiel hat die Zugriffsliste "IPv6-Transit-ACL-Policy" die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

30 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 50
41 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 60
310 SIP-Pakete auf UDP-Port 5060 für ACE-Leitung 70
131 SIP-Pakete am UDP-Port 5061 für ACE-Leitung 80

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von ACE-Zählern und Syslog-Ereignissen finden Sie unter Identifying Incidents Using Firewall and IOS Router Syslog Events Applied

Identifizierung: Protokollierung der Zugriffsliste

Die Option log and log-input access control list (ACL) bewirkt, dass Pakete protokolliert werden, die bestimmten ACEs entsprechen. Die Option log-input ermöglicht die Protokollierung der Eingangsschnittstelle zusätzlich zu den IP-Adressen und -Ports für die Paketquelle und das Ziel.

Achtung: Die Protokollierung von Zugriffskontrolllisten kann sehr CPU-intensiv sein und muss mit äußerster Vorsicht verwendet werden. Faktoren, die die Auswirkungen der ACL-Protokollierung auf die CPU verstärken, sind die Protokollgenerierung, die Protokollübertragung und das Prozess-Switching für die Weiterleitung von Paketen, die mit protokollfähigen ACEs übereinstimmen.

Bei Cisco IOS-Software kann der Befehl ip access-list logging interval interval-in-ms die Auswirkungen des durch die ACL-Protokollierung induzierten Prozesswechsels begrenzen. Der Befehl logging rate-limit rate-per-second [except loglevel] begrenzt die Auswirkungen der Protokollgenerierung und -übertragung.

Die CPU-Auswirkungen der ACL-Protokollierung können mithilfe optimierter ACL-Protokollierung in der Hardware auf den Cisco Catalyst Switches der Serie 6500 und den Cisco Routern der Serie 7600 mit der Supervisor Engine 720 oder der Supervisor Engine 32 berücksichtigt werden.

Weitere Informationen zur Konfiguration und Verwendung der ACL-Protokollierung finden Sie im Whitepaper Understanding Access Control List Logging Applied Intelligence.

Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

Wenn Unicast RPF ordnungsgemäß in der gesamten Netzwerkinfrastruktur implementiert und konfiguriert ist, können Administratoren den internen Steckplatz/Port des Schnittstellentyps "show cef", die show ip interface, die show cef drop-Funktion, die Funktion "show ip cef switching statistics" und die Befehle "show ip traffic" verwenden, um die Anzahl der von Unicast RPF blockierten Pakete zu identifizieren.

Hinweis: Ab Version 12.4(20)T der Cisco IOS-Software wurde der Befehl show ip cef switching durch die Funktion show ip cef switching statistics ersetzt.

Hinweis: Der Befehl show | Regex starten und Befehl anzeigen | include regex-Befehlsmodifizierer werden in den folgenden Beispielen verwendet, um die Ausgabe zu minimieren, die Administratoren analysieren müssen, um die gewünschten Informationen anzuzeigen. Weitere Informationen zu Befehlsmodifizierern finden Sie in den Abschnitten show command in der Cisco IOS Configuration Fundamentals Command Reference.

router#show cef interface GigabitEthernet 0/0 internal | include drop

  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
router#

Hinweis: show cef interface type slot/port internal ist ein ausgeblendeter Befehl, der vollständig in die Kommandozeile eingegeben werden muss. Die Befehlsvervollständigung steht dafür nicht zur Verfügung.

router#show ip interface GigabitEthernet 0/0 | begin verify

  IP verify source reachable-via RX, allow default, allow self-ping
  18 verification drops
  0 suppressed verification drops
router#


router#show cef drop
CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP            27           0           0          18           0           0
router#

router#show ip cef switching statistics feature
IPv4 CEF input features:
Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
RP PAS uRPF                     18          0          0          0          0
Total                           18          0          0          0          0
    --      CLI Output Truncated       --  
router#


router#show ip traffic | include RPF
         18 no route, 18 unicast RPF, 0 forced drop
router#

Im vorhergehenden Abschnitt show cef drop, show ip cef switching statistics feature and show ip traffic example, Unicast RPF hat 18 IP-Pakete verworfen, die global an allen Schnittstellen mit konfigurierter Unicast-RPF empfangen wurden, da die Quelladresse der IP-Pakete in der Weiterleitungsdatenbank von Cisco Express Forwarding nicht verifiziert werden konnte.

Cisco IOS-NetFlow

Identifizierung: Identifikation des Datenverkehrsflusses mithilfe von NetFlow-Datensätzen

Administratoren können Cisco IOS NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um Datenverkehrsflüsse zu identifizieren, die diese Schwachstellen ausnutzen können. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.11.54   Gi0/1         192.168.60.144  06 0911 13C5     3
Gi0/1         192.168.150.161 Gi0/0         10.89.18.16     06 0016 22C2     1
Gi0/0         192.168.60.97   Gi0/1         192.168.60.228  11 2B3E 13C4     5
Gi0/0         192.168.60.17   Gi0/1         192.168.60.197  11 2B89 13C5     1
Gi0/0         10.88.222.16    Gi0/1         192.168.202.222 11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 3BD7 13C4     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.160 06 12CA 0016     1
Gi0/0         192.168.40.101  Gi0/1         192.168.60.102  11 1A84 00A1     1
Gi0/0         192.168.10.64   Gi0/1         192.168.60.158  06 3931 13C5     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         192.168.60.97   Gi0/1         192.168.60.27   11 1039 13C4     5
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 0B40 13C5     1
Gi0/0         10.88.226.1     Gi0/1         192.168.150.22  11 007B 007B     1
Gi0/0         10.89.160.226   Gi0/1         192.168.150.60  06 4322 0016     1
router#

Im vorherigen Beispiel gibt es mehrere Datenflüsse für SIP auf dem TCP- und UDP-Port 5060 (Hexadezimalwert 13C4) und SIP TLS auf dem TCP- und UDP-Port 5061 (Hexadezimalwert 13C5).

Die SIP-Pakete am UDP-Port 5060 und SIP-TLS-Pakete am UDP-Port 5061 werden von Adressen im Adressblock 192.168.60.0/24, der von den betroffenen Geräten verwendet wird, generiert und an diese gesendet. Die Pakete in den UDP-Flows können gefälscht werden und einen Versuch anzeigen, diese Schwachstellen auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisauslastung für den an den UDP-Port 5060 gesendeten SIP-Datenverkehr und den an den UDP-Port 5061 gesendeten SIP-TLS-Datenverkehr zu vergleichen und sie zu untersuchen, um festzustellen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.

Um nur die Datenverkehrsflüsse für SIP-Pakete auf dem TCP-Port 5060 (Hexadezimalwert 13C4) und SIP-TLS-Pakete auf dem TCP-Port 5061 (Hexadezimalwert 13C5) anzuzeigen, wird der IP-Cache-Fluss angezeigt. | include SrcIf|_06_.*(13C4|13C5)_ zeigt die zugehörigen TCP NetFlow-Datensätze wie im folgenden Beispiel gezeigt an:

TCP-Flows

router#show ip cache flow | include SrcIf|_06_.*(13C4|13C5)_
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.102.117  Gi0/1         192.168.60.136  06 4567 13C5     6
Gi0/0         192.168.18.100   Gi0/1         192.168.60.205  06 1C99 13C5    78
Gi0/0         192.168.133.70   Gi0/1         192.168.60.182  06 2487 13C4     1
router#

Um nur die Datenverkehrsflüsse für SIP-Pakete auf UDP-Port 5060 (Hexadezimalwert 13C4) und SIP-TLS-Pakete auf UDP-Port 5061 (Hexadezimalwert 13C5) anzuzeigen, zeigt der Befehl den IP-Cache-Fluss an. | include SrcIf|_11_.*(13C4|13C5)_ zeigt die zugehörigen UDP NetFlow-Datensätze wie im folgenden Beispiel gezeigt an:

UDP-Datenflüsse

router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.60.110   Gi0/1         192.168.60.163  11 04AA 13C4     6
Gi0/0         192.168.60.230   Gi0/1         192.168.60.20   11 189D 13C5     1
Gi0/0         192.168.60.131   Gi0/1         192.168.60.245  11 2983 13C4    18
Gi0/0         192.168.60.7     Gi0/1         192.168.60.162  11 4098 13C5     1
Gi0/0         192.168.60.86    Gi0/1         192.168.60.27   11 1089 13C4     2
router#

Identifizierung: Identifikation des Datenverkehrsflusses mithilfe von IPv6 NetFlow-Datensätzen

Administratoren können Cisco IOS IPv6 NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um Datenverkehrsflüsse zu identifizieren, bei denen möglicherweise versucht wird, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt.

Diese Ausgabe stammt von einem Cisco IOS-Gerät, auf dem die Cisco IOS-Software 12.4 Mainline Train ausgeführt wird. Die Befehlssyntax variiert je nach Cisco IOS-Software.

router#show ipv6 flow cache
IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x13C4 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x13C4 1597
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x13C5 1001  
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x13C4 1292  
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193

Um die Anzeige der vollständigen 128-Bit-IPv6-Adresse zu ermöglichen, verwenden Sie den Befehl terminal width 132 exec mode.

Im vorherigen Beispiel gibt es mehrere IPv6-Flows für SIP auf dem TCP- und UDP-Port 5060 (Hexadezimalwert 13C4) und SIP-TLS auf dem TCP- und UDP-Port 5061 (Hexadezimalwert 13C5).

Die SIP-Pakete am UDP-Port 5060 und SIP-TLS-Pakete am UDP-Port 5061 werden von Adressen im Adressblock 2001:DB8:1:60::/64 bezogen und an Adressen gesendet, der von den betroffenen Geräten verwendet wird. Die Pakete in den UDP-Flows können gefälscht werden und einen Versuch anzeigen, diese Schwachstellen auszunutzen. Den Administratoren wird empfohlen, diese Datenflüsse mit der Basisauslastung für SIP-Datenverkehr auf UDP-Port 5060 und SIP-TLS-Datenverkehr auf UDP-Port 5061 zu vergleichen und die Datenflüsse zu untersuchen, um festzustellen, ob sie von nicht vertrauenswürdigen Hosts oder Netzwerken stammen.

Um nur die SIP-Pakete auf dem TCP-Port 5060 (Hex-Wert 13C4) und SIP-TLS-Pakete auf dem TCP-Port 5061 (Hex-Wert 13C5) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcAddress|_06_.*(13C4|13C5)_ command to display the related NetFlow records:

TCP-Flows

router#show ipv6 flow cache | include SrcIf|_06_.*(13C4|13C5)_

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x13C4 1597
router#

Um nur SIP-Pakete auf UDP-Port 5060 (Hex-Wert 13C4) und SIP-TLS-Pakete auf UDP-Port 5061 (Hex-Wert 13C5) anzuzeigen, verwenden Sie den show ipv6 flow cache | include SrcAddress|_11_.*(13C4|13C5)_ command to display the related NetFlow records:

UDP-Datenflüsse

router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x13C4 1464 
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x13C5 1001 
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x13C4 1292 
router#

Cisco ASA und FWSM-Firewalls

Eindämmung: Transit-Zugriffskontrolllisten

Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

Die tACL-Richtlinie verweigert nicht autorisierte SIP-Pakete am TCP- und UDP-Port 5060 sowie SIP-TLS am TCP- und UDP-Port 5061, die an betroffene Geräte gesendet werden. Im folgenden Beispiel ist 192.168.60.0/24 der IP-Adressraum, der von den betroffenen Geräten verwendet wird. Der Host unter 192.168.100.1 gilt als vertrauenswürdige Quelle, die Zugriff auf die betroffenen Geräte erfordert. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.


!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports
!

access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061
access-list tACL-Policy extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061

!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061
access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5061

!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

access-list tACL-Policy extended deny ip any any

!
!-- Create the corresponding IPv6 tACL
!

ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5061
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5061

!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5061
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5061

!
!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

ipv6 access-list IPv6-tACL-Policy deny ip any any

!
!-- Apply tACLs to interfaces in the ingress direction
!

access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

Die in diesem Dokument beschriebenen Schwachstellen können durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können Unicast RPF als Spoofing-Schutzmechanismus bereitstellen und konfigurieren.

Weitere Informationen zur Konfiguration und Verwendung von Unicast RPF finden Sie in der Cisco Security Appliance Command Reference for ip verify reverse path und im Whitepaper Understanding Unicast Reverse Path Forwarding Applied Intelligence.

Identifizierung: Transit-Zugriffskontrolllisten

Nachdem die tACL auf eine Schnittstelle angewendet wurde, können Administratoren mit dem Befehl show access-list die Anzahl der gefilterten SIP-Pakete am TCP- und UDP-Port 5060 sowie SIP-TLS am TCP- und UDP-Port 5061 identifizieren. Den Administratoren wird empfohlen, gefilterte Pakete zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen. Beispielausgabe für show access-list tACL-Policy:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 9 elements
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip (hitcnt=31)
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061 (hitcnt=61)
access-list tACL-Policy line 3 extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip (hitcnt=131)
access-list tACL-Policy line 4 extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061 (hitcnt=57)
access-list tACL-Policy line 5 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq sip (hitcnt=8)
access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq 5061 (hitcnt=14)
access-list tACL-Policy line 7 extended deny udp any 192.168.60.0 
     255.255.255.0 eq sip (hitcnt=30)
access-list tACL-Policy line 8 extended deny udp any 192.168.60.0 
     255.255.255.0 eq 5061 (hitcnt=13) 
access-list tACL-Policy line 9 extended deny ip any any (hitcnt=8)

firewall#

Im vorherigen Beispiel hat die Zugriffsliste tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

8 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 5
14 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 6
30 SIP-Pakete auf UDP-Port 5060 für ACE-Leitung 7
13 SIP-Pakete auf UDP-Port 5061 für ACE-Leitung 8

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 9 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq sip (hitcnt=59) 
ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq 5061 (hitcnt=28) 
ipv6 access-list IPv6-tACL-Policy line 3 permit udp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq sip (hitcnt=124) 
ipv6 access-list IPv6-tACL-Policy line 4 permit udp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq 5061 (hitcnt=81) 
ipv6 access-list IPv6-tACL-Policy line 5 deny tcp any 
     2001:db8:1:60::/64 eq sip (hitcnt=47)
ipv6 access-list IPv6-tACL-Policy line 6 deny tcp any 
     2001:db8:1:60::/64 eq 5061 (hitcnt=33) 
ipv6 access-list IPv6-tACL-Policy line 7 deny udp any 
     2001:db8:1:60::/64 eq sip (hitcnt=216) 
ipv6 access-list IPv6-tACL-Policy line 8 deny udp any 
     2001:db8:1:60::/64 eq 5061 (hitcnt=137) 
ipv6 access-list IPv6-tACL-Policy line 9 deny ip any any (hitcnt=27)

Im vorherigen Beispiel hat die Zugriffsliste IPv6-tACL-Policy die folgenden Pakete verworfen, die von einem nicht vertrauenswürdigen Host oder Netzwerk empfangen wurden:

47 SIP-Pakete am TCP-Port 5060 für ACE-Leitung 5
33 SIP-Pakete am TCP-Port 5061 für ACE-Leitung 6
216 SIP-Pakete am UDP-Port 5060 für ACE-Leitung 7
137 SIP-Pakete am UDP-Port 5061 für ACE-Leitung 8

Identifizierung: Firewall Access List, Syslog-Meldungen

Die Firewall-Syslog-Meldung 106023 wird für Pakete generiert, die von einem Zugriffskontrolleintrag (Access Control Entry, ACE) abgelehnt wurden, für die kein log-Schlüsselwort vorhanden ist. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106023.

Informationen zur Konfiguration von Syslog für die Cisco Adaptive Security Appliance der Serie ASA 5500 finden Sie unter Überwachung - Konfigurieren der Protokollierung. Informationen zur Konfiguration von Syslog auf dem FWSM für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 finden Sie im Monitoring the Firewall Services Module.

Im folgenden Beispiel zeigt die Protokollierung | grep regex extrahiert Syslog-Meldungen aus dem Protokollierungspuffer der Firewall. Diese Meldungen enthalten zusätzliche Informationen zu abgelehnten Paketen, die auf potenzielle Versuche hinweisen könnten, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Es ist möglich, verschiedene reguläre Ausdrücke mit dem grep-Schlüsselwort zu verwenden, um nach bestimmten Daten in den protokollierten Nachrichten zu suchen.

Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

firewall#show logging | grep 106023
  Sep 28 2011 00:10:03: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:11:53: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 
         dst inside:192.168.60.240/5061 by access-group "tACL-Policy"
  Sep 28 2011 00:12:28: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 
         dst inside:192.168.60.115/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:13:10: %ASA-4-106023: Deny udp src outside:192.0.2.88/2949 
         dst inside:192.168.60.38/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:14:13: %ASA-4-106023: Deny udp src outside:192.0.2.175/2950 
         dst inside:192.168.60.250/5061 by access-group "tACL-Policy"
firewall#

Im vorherigen Beispiel zeigen die für die tACL-tACL-Richtlinie protokollierten Nachrichten potenziell gefälschte SIP-Pakete auf dem UDP-Port 5060 und SIP-TLS-Pakete auf dem UDP-Port 5061 an, die an den betroffenen Geräten zugewiesenen Adressblock gesendet wurden.

Weitere Informationen zu Syslog-Meldungen für ASA Security Appliances finden Sie in Cisco ASA 5500 Series System Log Messages, 8.2. Weitere Informationen zu Syslog-Meldungen für FWSM finden Sie in den Protokollnachrichten des Catalyst Switches der Serie 6500 und des Cisco Routers der Serie 7600, Protokollierungssystem für Firewall-Services-Module.

Weitere Informationen zur Untersuchung von Vorfällen mithilfe von Syslog-Ereignissen finden Sie im Whitepaper Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence.

Identifizierung: Spoofing-Schutz mit Unicast Reverse Path Forwarding

Die Firewall-Syslog-Meldung 106021 wird für Pakete generiert, die von Unicast RPF abgelehnt wurden. Weitere Informationen zu dieser Syslog-Meldung finden Sie in Cisco ASA 5500 Series System Log Message, 8.2 - 106021.

Weitere Informationen zur Syntax regulärer Ausdrücke finden Sie unter Erstellen eines regulären Ausdrucks.

firewall#show logging | grep 106021
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside

Der Befehl show asp drop kann außerdem die Anzahl der Pakete identifizieren, die von der Unicast RPF-Funktion verworfen wurden, wie im folgenden Beispiel gezeigt:

firewall#show asp drop frame rpf-violated
  Reverse-path verify failed                          11
firewall#

Im vorherigen Beispiel hat Unicast RPF 11 IP-Pakete verworfen, die an Schnittstellen mit konfiguriertem Unicast RPF empfangen wurden. Fehlende Ausgabe zeigt an, dass die Unicast-RPF-Funktion der Firewall keine Pakete verworfen hat.

Weitere Informationen zum Debuggen von Paketen oder Verbindungen, die über einen beschleunigten Sicherheitspfad verworfen wurden, finden Sie unter Cisco Security Appliance Command Reference (Cisco Security Appliance-Befehlsreferenz) für show asp drop.

Cisco Intrusion Prevention System

Eindämmung: Cisco IPS-Signaturereignisaktionen

Administratoren können Cisco Intrusion Prevention System (IPS)-Appliances und -Servicemodule verwenden, um eine Erkennung von Sicherheitsrisiken zu ermöglichen und Versuche zu verhindern, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Diese Schwachstellen können durch die folgenden Signaturen entdeckt werden:

25999-0 - Falsch geformter SIP-Paketdenial-of-Service
32379-0 - Cisco Unified Communications Manager SIP Denial of Service (DoS)
34445-0 - Sicherheitslücke in Cisco IOS SIP

25999-0 - Falsch geformter SIP-Paketdenial-of-Service

Beginnend mit dem Signatur-Update S490 für Sensoren, auf denen Cisco IPS 6.x und höher ausgeführt wird, können diese Schwachstellen mit der Signatur 25999/0 (Signature Name: Malformed SIP Packet Denial of Service) erkannt werden. Signatur 25999/0 ist standardmäßig aktiviert, löst ein Ereignis mit hohem Schweregrad aus, hat eine Signaturtreue-Bewertung (SFR) von 85 und wird mit der Standardereignisaktion "create-alert" konfiguriert.

Signatur 25999/0 wird ausgelöst, wenn ein Versuch erkannt wird, eine Sicherheitslücke in der SIP-Paketverarbeitung auszunutzen. Das Auslösen dieser Signatur kann auf einen potenziellen Exploit dieser Schwachstelle hinweisen.

32379-0 - Cisco Unified Communications Manager SIP Denial of Service (DoS)

Beginnend mit dem Signatur-Update S598 für Sensoren, auf denen Cisco IPS 6.x und höher ausgeführt wird, können diese Schwachstellen mit der Signatur 32379/0 erkannt werden (Signature Name: Cisco Unified Communications Manager SIP Denial of Service). Signatur 32379/0 ist standardmäßig aktiviert, löst ein Ereignis mit hohem Schweregrad aus, hat eine Signaturtreue-Bewertung (SFR) von 90 und wird mit der Standardereignisaktion "create-alert" konfiguriert.

Signatur 32379/0 wird ausgelöst, wenn ein Versuch erkannt wird, eine Sicherheitslücke bei der SIP-Paketverarbeitung (Session Initiation Protocol) über UDP auszunutzen. Das Auslösen dieser Signatur kann auf einen potenziellen Exploit dieser Schwachstelle hinweisen.

34445-0 - Sicherheitslücke in Cisco IOS SIP

Beginnend mit dem Signatur-Update S598 für Sensoren, auf denen Cisco IPS 6.x und höher ausgeführt wird, können diese Sicherheitslücken mit der Signatur 34445/0 erkannt werden (Signature Name: Cisco IOS SIP Vulnerability). Signatur 34445/0 ist standardmäßig aktiviert, löst ein Ereignis mit mittlerem Schweregrad aus, hat eine Signaturtreue-Bewertung (SFR) von 90 und wird mit der Standardereignisaktion "create-alert" konfiguriert.

Signatur 34445/0 wird ausgelöst, wenn ein Versuch erkannt wird, eine SIP-Schwachstelle in der Cisco IOS-Software auszunutzen. Das Auslösen dieser Signatur kann auf einen potenziellen Exploit dieser Schwachstelle hinweisen.

Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in diesem Dokument beschriebenen Schwachstellen auszunutzen.

Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.

Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Die automatische Prävention von Sicherheitsrisiken für Cisco IPS 6.x und höhere Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.

Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.

Cisco Security Monitoring, Analysis and Response System

Identifikation: Cisco Security Monitoring, Analysis, and Response System Incidents

Die Cisco Security Monitoring, Analysis, and Response System (Cisco Security MARS)-Appliance kann mithilfe der folgenden IPS-Signaturen Vorfälle für Ereignisse erstellen, die mit den in diesem Dokument beschriebenen Schwachstellen zusammenhängen:

25999/0 (Falsch geformtes SIP-Paket Denial of Service)
32379/0 (Signaturname: Cisco Unified Communications Manager SIP Denial of Service)
34445/0 (Signaturname: Sicherheitslücke in Cisco IOS SIP)

Nachdem das dynamische Signaturupdate für S598 mit dem Schlüsselwort NR-2599 für IPS-Signatur 25999/0, NR-32379 für IPS-Signatur 32379/0 oder NR-3445 für IPS-Signatur 34445/0 heruntergeladen wurde, und der Abfragetyp "Alle übereinstimmenden Ereignisse" Rohnachrichten:Die Cisco Security MARS-Appliance liefert einen Bericht, in dem die durch diese IPS-Signatur verursachten Vorfälle aufgelistet werden.

Ab der Version 4.3.1 und 5.3.1 der Cisco Security MARS-Appliances wird die Funktion zur Aktualisierung dynamischer Signaturen von Cisco IPS unterstützt. Diese Funktion lädt neue Signaturen von Cisco.com oder von einem lokalen Webserver herunter, verarbeitet und kategorisiert empfangene Ereignisse, die mit diesen Signaturen übereinstimmen, ordnungsgemäß und fügt sie in Prüfungsregeln und Berichte ein. Diese Updates ermöglichen die Ereignisnormalisierung und die Zuordnung von Ereignisgruppen. Außerdem können neue Signaturen von IPS-Geräten mithilfe der MARS-Appliance analysiert werden.

caution Achtung: Wenn keine dynamischen Signaturaktualisierungen konfiguriert sind, werden Ereignisse, die diesen neuen Signaturen entsprechen, in Abfragen und Berichten als unbekannter Ereignistyp angezeigt. Da MARS diese Ereignisse nicht in die Überprüfungsregeln einbezieht, kann es vorkommen, dass keine Vorfälle für potenzielle Bedrohungen oder Angriffe innerhalb des Netzwerks erstellt werden.

Diese Funktion ist standardmäßig aktiviert, muss jedoch konfiguriert werden. Wenn sie nicht konfiguriert ist, wird die folgende Cisco Security MARS-Regel ausgelöst: System Rule (Systemregel):

CS-MARS IPS Signature Update Failure

Wenn diese Funktion aktiviert und konfiguriert ist, können Administratoren die aktuelle von MARS heruntergeladene Signaturversion ermitteln, indem sie Hilfe > Info auswählen und den Wert für die IPS-Signaturversion überprüfen.

Zusätzliche Informationen zu dynamischen Signatur-Updates und Anweisungen zum Konfigurieren dynamischer Signatur-Updates sind für die Versionen Cisco Security MARS 4.3.1 und 5.3.1 verfügbar.

Zusätzliche Informationen

Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

Version 1.0

28. September 2011

Erste öffentliche Veröffentlichung

Cisco Sicherheitsverfahren

Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.