Cisco Applied Mitigation Bulletin-
Questo bollettino sulla mitigazione applicata è un documento complementare all'advisory della sicurezza PSIRT per il software Cisco IOS XR IPv6 Malformed Packet Denial of Service Vulnerability e fornisce tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
-
Il software Cisco IOS XR per ASR serie 9000 Aggregation Services Router mostra una vulnerabilità durante l'elaborazione di pacchetti IP versione 6 (IPv6) non validi. Questa vulnerabilità può essere sfruttata in remoto senza autenticazione e senza l'interazione dell'utente finale. Se la vulnerabilità viene sfruttata con successo, il dispositivo interessato potrebbe bloccarsi. Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata. Il vettore di attacco per l'utilizzo è costituito da pacchetti IPv6 non validi. Un utente non autorizzato potrebbe sfruttare questa vulnerabilità utilizzando pacchetti di spoofing.
-
Le informazioni sul software vulnerabile, non interessato e fisso sono disponibili in Cisco Security Advisory, al seguente collegamento: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140611-ipv6
-
I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
Il software Cisco IOS può fornire mezzi efficaci di prevenzione degli attacchi utilizzando i seguenti metodi:
- IOS Zone-Based Firewall
- uRPF (Unicast Reverse Path Forwarding)
- IPSG (IP Source Guard)
Questi meccanismi di protezione filtrano e rilasciano, oltre a verificare l'indirizzo IP di origine dei pacchetti che stanno tentando di sfruttare questa vulnerabilità.
L'installazione e la configurazione corrette di uRPF forniscono un mezzo efficace di protezione dagli attacchi che utilizzano pacchetti con indirizzi IP di origine oggetto di spoofing. uRPF deve essere distribuito il più vicino possibile a tutte le origini di traffico.
La corretta installazione e configurazione di IPSG fornisce un mezzo efficace di protezione dagli attacchi di spoofing a livello di accesso.
Per impostazione predefinita, un'efficace prevenzione degli attacchi può essere fornita anche da Cisco ASA serie 5500 Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600 che ispezionano attivamente il traffico della rete di transito.
L'uso efficace delle azioni evento IPS (Cisco Intrusion Prevention System) fornisce visibilità e protezione contro gli attacchi che tentano di sfruttare questa vulnerabilità.sour
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di questa vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
- Router e switch Cisco IOS
- Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
- Cisco Intrusion Prevention System
Router e switch Cisco IOS
Attenuazione: firewall basato su zona IOS e basato su utente
A partire dal software Cisco IOS versione 12.4(6)T, ZFW (Zone-Based Policy Firewall) ha sostituito Cisco IOS Context-Based Access Control (CBAC). Garantisce la granularità dell'applicazione dei criteri firewall e un criterio di negazione totale predefinito che impedisce il traffico tra le aree di protezione del firewall fino a quando non viene applicato un criterio esplicito per consentire il traffico desiderato.
In Cisco IOS ZFW, le zone stabiliscono i bordi di sicurezza della rete. Una zona definisce un limite in cui il traffico è soggetto a restrizioni dei criteri mentre attraversa un'altra area della rete. Il criterio predefinito ZFW tra le zone è quello di negare tutto il traffico. Se non viene configurato alcun criterio in modo esplicito, tutto il traffico che tenta di spostarsi tra le zone verrà bloccato. ZFW utilizza un linguaggio dei criteri di configurazione noto come Cisco Policy Language (CPL). Gli utenti che conoscono MQC (Modular quality-of-service) del software Cisco IOS potrebbero riconoscere che il formato è simile al modo in cui le mappe delle classi vengono utilizzate in una configurazione QoS per specificare il traffico su cui influirà l'azione applicata in una mappa dei criteri. Cisco IOS ZFW supporta le ispezioni IPv4 e IPv6 di layer 4 con conservazione dello stato e può anche fornire ispezione specifica dell'applicazione, failover del firewall con conservazione dello stato, proxy di autenticazione, mitigazione DoS (Denial of Service), filtro URL e altro ancora.
L'ispezione Cisco IOS ZFW IPv6 Layer 4 può essere utilizzata anche per bloccare pacchetti in formato non valido che tentano di sfruttare questa vulnerabilità. Nell'esempio seguente, ZFW controlla tutto il traffico IPv6 sul layer 4 in entrata nella zona z1 (interfaccia Gigabit Ethernet0/0) e in uscita dalla zona z2 (interfaccia Gigabit Ethernet0/1) in cui risiedono i dispositivi vulnerabili.
! !-- Configure MQC inspection policy to match !-- and inspect all IPv6 traffic ! ipv6 access-list ipv6-acl permit ipv6 any any class-map type inspect match-all z1_2_cm match access-group name ipv6-acl policy-map type inspect z1_2_pm class type inspect z1_2_cm inspect class class-default drop ! !-- Apply the policy to the zone-pair !-- between zones z1 and z2 ! zone security z1 zone security z2 zone-pair security z1_2-zp source z1 destination z2 service-policy type inspect z1_2_pm interface GigabitEthernet0/0 zone-member security z1 interface GigabitEthernet0/1 zone-member security z2
Per gli esempi di configurazione, fare riferimento ai documenti Step-by-Step Basic Configuration di IOS Zone Based Firewall e IPv6 Zone Based Firewall (ZFW) in Cisco Support Community e Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic Configuration Example. Per ulteriori informazioni su Cisco IOS ZFW, fare riferimento alla guida alla progettazione e all'applicazione di firewall per le policy basate su zone.
Attenuazione: protezione da spoofing
Inoltro percorso inverso unicast
Le vulnerabilità descritte in questo documento possono essere sfruttate da pacchetti IP oggetto di spoofing. Gli amministratori possono distribuire e configurare Unicast Reverse Path Forwarding (uRPF) come meccanismo di protezione contro lo spoofing.
uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. Si consiglia agli amministratori di assicurarsi che durante la distribuzione di questa funzionalità sia configurata la modalità uRPF appropriata (libera o rigida), in quanto può bloccare il traffico legittimo che attraversa la rete. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.
Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare il white paper Understanding Unicast Reverse Path Forwarding (Informazioni sull'inoltro del percorso inverso Unicast) in Cisco Security.
Protezione origine IP
IPSG (IP Source Guard) è una funzione di sicurezza che limita il traffico IP su interfacce di livello 2 non instradate filtrando i pacchetti in base al database di binding dello snooping DHCP e ai binding di origine IP configurati manualmente. Gli amministratori possono utilizzare il protocollo IPSG per prevenire gli attacchi degli utenti non autorizzati che tentano di falsificare i pacchetti falsificando l'indirizzo IP di origine e/o l'indirizzo MAC. Se implementati e configurati correttamente, IPSG, insieme a uRPF in modalità rigorosa, fornisce i mezzi più efficaci per la protezione da spoofing per la vulnerabilità descritta in questo documento.
Per ulteriori informazioni sulla distribuzione e la configurazione di IPSG, consultare il documento sulla configurazione delle funzionalità DHCP e di IP Source Guard.
Per informazioni su come utilizzare l'interfaccia della riga di comando di IOS per misurare l'efficacia della protezione dallo spoofing, fare riferimento al white paper Cisco Security Identifying the Effective of Security Mitigations Using Cisco IOS Software.
Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
Il software Cisco ASA esegue diversi controlli dei pacchetti per il traffico di transito per impostazione predefinita. Ad esempio, verifica la correttezza dell'intestazione IP di un pacchetto. Per impostazione predefinita, un'appliance Cisco ASA che ispeziona attivamente il traffico IPv6 identifica ed elimina i pacchetti IPv6 in formato non corretto che tentano di sfruttare la vulnerabilità descritta in questo documento. La protezione dai pacchetti che potrebbero sfruttare questa vulnerabilità è un'azione non configurabile: per abilitare questa funzionalità non sono necessarie modifiche alla configurazione.
Per informazioni sull'ispezione IPv6 dell'ASA, consultare la guida introduttiva all'ispezione del protocollo Application Layer.
Cisco Intrusion Prevention System
Mitigazione: Cisco IPS
Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare le vulnerabilità descritte più avanti nel documento. Per impostazione predefinita, i dispositivi IPS Cisco distribuiti in linea attenuano questa vulnerabilità, a meno che non siano state modificate le firme del Normalizer Engine. Se un amministratore di rete ha modificato le firme di Normalizer Engine, può contattare Cisco TAC per verificare se il dispositivo Cisco IPS è in grado di ridurre questa vulnerabilità.
I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.
Per ulteriori informazioni sul calcolo del rating di rischio e della minaccia, fare riferimento a Rating di rischio e Rating di minaccia: Semplificare la gestione delle policy IPS.
Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, vedere il white paper Identificazione del traffico dannoso con Cisco Security Manager.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra menoVersion Descrizione Sezione Data 1 Release iniziale 2014-11-Giugno 16:01 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Cisco Software Cisco IOS XR 3.7 (Base, .1, .2, .3) | 3.8 (.0, .1, .2, .3, .4) | 3.9 (.0, .1, .2, .3) | 4.0 (Base, .0, .1, .2, .3, .4, .11) | 4.1 (Base, .0, .1, .2) | 4.2 (0,0,1,2,3,4) | 4.3 (0,0,1,2) | 5.1 (0,0)
Prodotti associati
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco