特に 巧妙に細工された セッション開始プロトコル(SIP) パケットを処理するとき Cisco TelePresence E/EX 個人的なビデオ ユニットおよび MXP および C シリーズ コーデックは脆弱性が含まれています。 この脆弱性は、認証およびエンドユーザの操作なしでリモートから悪用される可能性があります。 この脆弱性の正常な不正利用により影響を受けたデバイスはサービス拒否 (DoS)状態の resultig をクラッシュしますかもしれません。 この脆弱性が繰り返し悪用されると、持続的な DoS 状態になる可能性があります。 攻撃者はスプーフィングされたパケットを使用してこの脆弱性を不正利用する可能性があります。
不正利用のための不正侵入ベクターは次のプロトコルおよびポートを使用してパケットによってあります:
この脆弱性は CVE 識別 CVE-2011-2577 を割り当てられました。
Ciscoデバイスはこの脆弱性に複数の対策を提供します。 これらの保護方法は、インフラストラクチャ デバイスとネットワークを通過するトラフィックのセキュリティを保護する一般的なベスト プラクティスであると考えられます。 資料のこのセクションはこれらの手法の外観を提供します。
Cisco IOS ソフトウェアでは、次の方法を使用して、脆弱性の悪用を効果的に防止できます。
これらの保護 メカニズム フィルタおよびドロップするは、またソース IP アドレスをの、この脆弱性を不正利用するように試みているパケット確認します。
ユニキャスト RPF の適切な配備および設定はスプーフィングされた出典 IP アドレスとパケットを使用する不正侵入に対して保護の有効な手段(方法)を提供します。 ユニキャスト RPF は、できるだけトラフィックの送信元の近くに配備する必要があります。
IPSG の適切な配備および設定はアクセス層でスプーフィング攻撃に対して保護の有効な手段(方法)を提供します。
エクスプロイト防止の有効な手段(方法)はまた Cisco ASA 5500 シリーズによって Cisco Catalyst 6500 におよび Firewall Services Module (FWSM)適応型セキュリティ アプライアンス(ASA)ソフトウェア提供することができます
これらの保護 メカニズムはソース IP アドレスをの、この脆弱性を不正利用するように試みているパケット フィルタリングし、廃棄しましたり、また確認します。
Cisco IOS NetFlow レコードはネットワークベース 不正利用試みに表示を提供できます。
Cisco IOS ソフトウェア、Cisco ASA、および FWSM ファイアウォールは show コマンドからの出力で表示される syslog メッセージおよびカウンタ値によって可視性を提供できます。
ここでは緩和策と識別策に関する情報が次のデバイス別に提供されています。
インフラストラクチャ デバイスを保護し、リスクを、直接インフラストラクチャ不正侵入の影響最小限に抑えるためにおよび効果は、管理者 インフラストラクチャ 機器に送られるトラフィックのポリシー適用を行うためにインフラストラクチャ アクセスコントロール アクセス・コントロール・リスト(iACLs)を展開するように助言されます。 iACL は、既存のセキュリティ ポリシーと設定に基づいて、インフラストラクチャ デバイス宛ての正当なトラフィックのみを明示的に許可することによって構築されます。 インフラストラクチャ デバイスの保護を最大にするには、IP アドレスが設定されているすべてのインターフェイスの入力方向で配備済みの iACL を適用する必要があります。 iACL 回避策はこの脆弱性に対して不正侵入が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。
TCP および UDP ポート 5060 の iACL ポリシー拒否不正 な SIP パケット、および TCP および UDP ポート 5061that の SIP TLS パケットは影響を受けたデバイスに送信されます。 次の例では、192.168.60.0/24 は影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスへのアクセスを必要とする信頼されたソースとみなされます IP アドレス領域であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。 インフラストラクチャのアドレス レンジは、できるだけユーザおよびサービス セグメントに使用されるアドレス レンジとは別個にする必要があります。 このようにアドレスを設定することで、iACL の構築と配備が容易になります。
iACLs についての追加情報はコアの保護にあります: インフラストラクチャ保護 ACL』を参照してください。
ip access-list extended Infrastructure-ACL-Policy !
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable ports !
permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
deny tcp any 192.168.60.0 0.0.0.255 eq 5060 deny udp any 192.168.60.0 0.0.0.255 eq 5060 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 deny udp any 192.168.60.0 0.0.0.255 eq 5061 !
!-- Explicit deny ACE for traffic sent to addresses configured within
!-- the infrastructure address space
!
deny ip any 192.168.60.0 0.0.0.255
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Apply iACL to interfaces in the ingress direction !
interface GigabitEthernet0/0
ip access-group Infrastructure-ACL-Policy in
Unicast Reverse Path Forwarding
この資料に説明がある脆弱性はスプーフィングされたIP パケットによって不正利用することができます。 管理者はスプーフィングに対する保護メカニズムとして、Unicast Reverse Path Forwarding(ユニキャスト RPF)を配備して設定できます。
ユニキャスト RPF はインターフェイス レベルで設定され、検証可能な送信元 IP アドレスを持たないパケットを検出して廃棄できます。 管理者はユニキャスト RPF にスプーフィングされたパケットがソース IP アドレス 存在にユニキャストによって RPF 有効に されるインターフェイスを通してネットワークに適切な帰りルート入るかもしれないので完全なスプーフィング保護を提供するために頼るべきではありません。 管理者はネットワークを通過している正当 な トラフィックを廃棄できるので適切なユニキャスト RPF モードが(緩くか厳密な)この機能の配備の間に設定されるようにする注意を奪取 するように助言されます。 エンタープライズ環境では、ユニキャスト RPF がインターネット エッジとレイヤ 3 インターフェイスの内部アクセス レイヤで有効になっている可能性があります。
追加情報は緩いモード 機能 ガイドに Unicast Reverse Path Forwarding(uRPF)あります。
ユニキャスト RPF の設定と使用についての詳細は、Applied Intelligence white paper『Unicast Reverse Path Forwarding について』を参照してください。
IP ソース ガード
IP ソース ガード(IPSG)は、非ルーテッド レイヤ 2 インターフェイス上の IP トラフィックを制限するため、DHCP スヌーピング バインディング データベースと、手動で設定された IP ソース バインディングに基づいてトラフィックをフィルタリングするセキュリティ機能です。 IPSG を使用すると、送信元の IP アドレスや MAC アドレスを偽装することによってパケットをスプーフィングしようと試みる攻撃者からの攻撃を防止できます。 厳密なモード ユニキャスト RPF できちんと、つながれる IPSG がこの資料に説明がある脆弱性に展開され、設定された場合スプーフィング保護の最も有効な手段(方法)を提供する。
IPSG の配備および設定についての追加情報は DHCP 機能および IP 出典ガードの設定にあります。
管理者がインターフェイスに iACL を加えた後、show ip access-lists コマンドは TCP および UDP ポート 5060 の SIP パケットの数、および iACL が適用するインターフェイスでフィルタリングされた TCP および UDP ポート 5061 の SIP TLS パケットを識別します。 フィルタリングされたパケットに対しては、この脆弱性を悪用しようとしていないかどうかを調査する必要があります。 次に show ip access-lists Infrastructure-ACL-Policy の出力例を示します。
router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (11 matches) 20 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (63 matches) 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (17 matches) 40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (11 matches)
50 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (13 matches) 60 deny udp any 192.168.60.0 0.0.0.255 eq 5060 (17 matches) 70 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (36 matches) 80 deny udp any 192.168.60.0 0.0.0.255 eq 5061 (10 matches)
90 deny ip any 192.168.60.0 0.0.0.255
router#
前の例では、アクセス リスト インフラストラクチャ ACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:
ACE カウンターおよび syslog イベントを使用して調査事件についての追加情報に関しては、ファイアウォールおよび IOS ルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。
管理者は特定の状態が満たされるとき見つかります組み込みイベント マネージャを ACE カウンターのような実装を提供するのに使用できます。 セキュリティ コンテキストの応用知性 白書によって組み込まれるイベント マネージャは方法についての追加詳細をこの機能を使用する提供します。
log および log-input アクセス コントロール リスト(ACL)オプションを使用すると、特定の ACE に一致するパケットがログに記録されます。 log-input オプションを使用すると、パケットの送信元および宛先の IP アドレスとポートに加え、入力インターフェイスのロギングが有効になります。
注意: アクセス コントロール リストのロギングは CPU に多大な負荷を与えることがあるので、使用する場合は細心の注意を払う必要があります。 ACL ロギングによる CPU への影響を左右する要素は、ログの生成、ログの送信、およびログが有効な ACE に一致するパケットを転送するプロセス交換です。
Cisco IOS ソフトウェアでは、ip access-list logging interval interval-in-ms コマンドを使用すると、ACL ロギングによって引き起こされるプロセス交換の影響を制限できます。 logging rate-limit rate-per-second [except loglevel] コマンドを使用すると、ログの生成と送信の影響を制限できます。
Supervisor Engine 720 または Supervisor Engine 32 を搭載した Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータでは、ACL ロギングによる CPU への影響をハードウェアで最適化することができます。
ACL ロギングの設定と使用についての詳細は、Applied Intelligence white paper『アクセス コントロール リストのログについて』を参照してください。
ネットワーク インフラストラクチャ全体展開され、正しく設定されてユニキャスト RPF が廃棄したパケットの数を確認するユニキャスト RPF が管理者は、show ip interface 内部使用できましたり、show cef interface タイプ スロット/ポートを cef ドロップする、show ip cef スイッチングの統計情報 機能および show ip traffic コマンドを示します。
注: Cisco IOS ソフトウェア バージョン 12.4(20)T にはじまって、コマンド show ip cef 切り替えは show ip cef スイッチングの統計情報 機能と取替えられました。
注: show コマンド | regex および show コマンドを始めて下さい | regex コマンド修飾子を望ましい情報を表示するために管理者が解析する必要がある出力の量を最小化するのに使用されています次の例で含んで下さい。 コマンド変更子についての追加情報は Cisco IOS設定の基礎 コマンドレファレンスの show コマンド セクションにあります。
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
注: show cef interface type slot/port internal は、コマンドライン インターフェイスで省略なしに入力する必要がある非表示コマンドです。 このコマンドには、コマンド補完は使用できません。
router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0
Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#
先行で cef ドロップするを、show ip cef スイッチングの統計情報 機能示せば show ip traffic 例は、ユニキャスト RPF Cisco Express Forwarding(CEF)のフォワーディング情報ベース内の IP パケットの送信元アドレスを確認する不可能が理由でユニキャスト RPF が設定されているすべてのインターフェイスでグローバルに受信される 18 の IP パケットを廃棄しました。
管理者は脆弱性を不正利用する試みであるかもしれないトラフィックフローの識別を援助するために Cisco IOS NetFlow IOS ルータおよびスイッチを on Cisco 設定できます。 管理者は脆弱性を不正利用する試みであるか、または正当 な トラフィックフローであるかどうか判別するためにフローを調査するために助言されます。
router#show ip cache flow
IP packet size distribution (90784136 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 4456704 bytes
1885 active, 63651 inactive, 59960004 added
129803821 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
0 active, 16384 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4
TCP-FTP 236 0.0 12 66 0.0 1.8 4.8
TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1
TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3
TCP-X 719 0.0 1 40 0.0 0.0 1.3
TCP-BGP 1 0.0 1 40 0.0 0.0 15.0
TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7
TCP-other 47861004 11.8 1 211 18.9 0.0 1.3
UDP-DNS 582 0.0 4 73 0.0 3.4 15.4
UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5
UDP-other 310347 0.0 2 230 0.1 0.6 15.9
ICMP 11674 0.0 3 61 0.0 19.8 15.5
IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4
GRE 4 0.0 1 48 0.0 0.0 15.3
Total: 59957957 14.8 1 196 22.5 0.0 1.5
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 13C4 7
Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 13C5 3
Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1
Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 13C4 5
Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 0B89 13C5 1
Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1
Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 13C5 1
Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1
router#
前述の例では、TCP および UDP ポート 5060 (Hex 値 13C4)の SIP のための複数のフロー、および TCP および UDP ポート 5061 (Hex 値 13C5)に SIP TLS があります。
UDP ポート 5060 および 5061 の SIP パケットはからソースをたどられ、インフラストラクチャ デバイスによって使用される 192.168.60.0/24 アドレスブロック内のアドレスに送信されます。 これらの UDP フローのパケットはスプーフィングされ、この脆弱性を不正利用する試みを示すかもしれません。 管理者は UDP ポート 5060 および 5061 で送信 される SIP トラフィックのためのベースライン 利用とこれらのフローを比較するように助言されまた信頼できないホストかネットワークからソースをたどられるかどうか判別するためにフローを調査します。
TCP ポート 5060 (Hex 値 13C4)および 5061 の SIP および SIP TLS のためのトラフィックフローだけ表示するために(Hex 値 13C5)コマンド show ip cache flow を使用して下さい | SrcIf を含んで下さい|_06_.*(13C4|13C5)_. UDP ポート 5060 (Hex 値 13C4)および 5061 の SIP および SIP TLS のためのトラフィックフローだけ表示するために(Hex 値 13C5)コマンド show ip cache flow を使用して下さい | SrcIf を含んで下さい|_11_.*(13C4|13C5)_. 関連 TCP および UDP NetFlow レコードのそれぞれ出力は両方ともここに示されています:
TCP はフローします
router#show ip cache flow | include SrcIf|_06_.*(13C4|13C5)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 13C4 7 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 13C5 3 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 06 0B89 13C5 1 router#UDP フロー
router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 13C4 5 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 13C5 1 router#
インターネット接続ポイント、パートナーおよびサプライヤー接続ポイントを含むかもしれない、入力アクセス ポイントでネットワークに入るネットワークまたは VPN 接続ポイントをトラフィックから保護するために、管理者はポリシー適用を行うために tACLs を展開するために助言されます。 tACL の構築は、既存のセキュリティ ポリシーと設定に基づいて、入力アクセス ポイントからネットワーク内に入ることを許可されたトラフィックのみを明示的に許可するか、ネットワークを通過することを許可されたトラフィックを許可することによって達成されます。 tACL 回避策はこの脆弱性に対して不正侵入が信頼されたソース ソース・アドレスから起きるとき完全な保護を提供できません。
TCP および UDP ポート 5060 の tACL ポリシー拒否不正 な SIP パケット、および TCP および UDP ポート 5061that の SIP TLS パケットは影響を受けたデバイスに送信されます。 次の例では、192.168.60.0/24 は影響を受けたデバイスによって使用する、192.168.100.1 のホストは影響を受けたデバイスへのアクセスを必要とする信頼されたソースとみなされます IP アドレス領域であり。 許可されないすべてのトラフィックを拒否する前に、ルーティングおよび管理アクセスに必要なトラフィックを許可するように注意する必要があります。
tACLs についての追加情報はアクセス コントロール リスト(ACL)送信中です: エッジでのフィルタリング』を参照してください。
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 5061 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5060 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5061 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Apply tACL to interface(s) in the ingress direction ! access-group tACL-Policy in interface outside
この資料に説明がある脆弱性はスプーフィングされたIP パケットによって不正利用することができます。 管理者は、スプーフィングに対する保護メカニズムとしてユニキャスト RPF を配備して設定できます。
ユニキャスト RPF はインターフェイス レベルで設定され、検証可能な送信元 IP アドレスを持たないパケットを検出して廃棄できます。 管理者はユニキャスト RPF にスプーフィングされたパケットがソース IP アドレス 存在にユニキャストによって RPF 有効に されるインターフェイスを通してネットワークに適切な帰りルート入るかもしれないので完全なスプーフィング保護を提供するために頼るべきではありません。 エンタープライズ環境では、ユニキャスト RPF がインターネット エッジとレイヤ 3 インターフェイスの内部アクセス レイヤで有効になっている可能性があります。
ユニキャスト RPF の設定と使用についての詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス』の「ip verify reverse-path」と Applied Intelligence white paper『Unicast Reverse Path Forwarding について』を参照してください。
tACL がインターフェイスに加えられた後、管理者は TCP および UDP ポート 5060 の SIP パケットの数を確認する show access-list コマンドを使用でき TCP および UDP ポート 5061that の SIP TLS パケットはずっとフィルタ処理されたです。 管理者はこの脆弱性を不正利用する試みであるかどうか判別するためにフィルタ処理されたパケットを調査するために助言されます。 show access-list tACL ポリシーのための出力例は続きます:
firewall#show access-list tACL-Policy
access-list tACL-Policy; 9 elements
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1
192.168.60.0 255.255.255.0 eq sip (hitcnt=3)
access-list tACL-Policy line 2 extended permit udp host 192.168.100.1
192.168.60.0 255.255.255.0 eq sip (hitcnt=7)
access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1
192.168.60.0 255.255.255.0 eq 5061 (hitcnt=21)
access-list tACL-Policy line 4 extended permit udp host 192.168.100.1
192.168.60.0 255.255.255.0 eq 5061 (hitcnt=27)
access-list tACL-Policy line 5 extended deny tcp any
192.168.60.0 255.255.255.0 eq sip (hitcnt=11)
access-list tACL-Policy line 6 extended deny udp any
192.168.60.0 255.255.255.0 eq sip (hitcnt=12)
access-list tACL-Policy line 7 extended deny tcp any
192.168.60.0 255.255.255.0 eq 5061 (hitcnt=1)
access-list tACL-Policy line 8 extended deny udp any
192.168.60.0 255.255.255.0 eq 5061 (hitcnt=1)
access-list tACL-Policy line 9 extended deny ip any any (hitcnt=8)
firewall#
前の例では、アクセス リスト tACL ポリシーは信頼できないホストかネットワークから受信される次のパケットを廃棄しました:
log キーワードを含まないアクセス コントロール エントリ(ACE)によって拒否されたパケットに対しては、ファイアウォール syslog メッセージ 106023 が生成されます。 この syslog メッセージについての追加情報は Cisco ASA 5500 シリーズ システムログメッセージに、8.2 - 106023 あります。
Cisco ASA 5500 シリーズ用の Syslog の設定についての情報はモニタリングに-ロギングを設定すること適応型セキュリティ アプライアンス(ASA)ソフトウェアあります。 Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータのための FWSM の Syslog の設定についての情報は Firewall Services Module の監視にあります。
次の例では、show logging | グレップ regex コマンドはファイアウォールのロギング バッファから syslog メッセージを得ます。 これらのメッセージはこの資料に説明がある脆弱性を不正利用する潜在的な試みを示す可能性がある拒否されたパケットについての追加情報を提供します。 grep キーワードを付けて別の正規表現を使用すると、ログ メッセージに含まれる特定のデータを検索できます。
正規表現構文についての追加情報は正規表現の作成にあります。
firewall#show logging | grep 106023
Aug 31 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944
dst inside:192.168.60.191/5060 by access-group "tACL-Policy"
Aug 31 2011 00:15:13: %ASA-4-106023: Deny udp src outside:192.168.60.200/2945
dst inside:192.168.60.33/5060 by access-group "tACL-Policy"
Aug 31 2011 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.99/2946
dst inside:192.168.60.240/5061 by access-group "tACL-Policy"
Aug 31 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.168.60.100/2947
dst inside:192.168.60.115/5060 by access-group "tACL-Policy"
Aug 31 2011 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.88/2949
dst inside:192.168.60.38/5061 by access-group "tACL-Policy"
Aug 31 2011 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950
dst inside:192.168.60.250/5061 by access-group "tACL-Policy"
firewall#
前の例では、tACL tACL ポリシーのために記録 される メッセージは UDP ポート 5060 のための可能性としてはスプーフィングされた SIP パケット、およびインフラストラクチャ デバイスに割り当てられるアドレスブロックに送信 される UDP ポート 5061 のための SIP TLS パケットを示します。
ASA セキュリティ アプライアンスのための syslog メッセージについての追加情報は Cisco ASA 5500 シリーズ システムログメッセージに、8.2 あります。 FWSM のための syslog メッセージについての追加情報は Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ システムログメッセージを記録 するルータ Firewall Services Module にあります。
syslog イベントを使用して調査事件についての追加情報に関しては、ファイアウォールおよび IOS ルータ Syslog イベントによって加えられる知性 白書を使用して識別事件を参照して下さい。
ユニキャスト RPF によって拒否されたパケットに対しては、ファイアウォール syslog メッセージ 106021 が生成されます。 この syslog メッセージについての追加情報は Cisco ASA 5500 シリーズ システムログメッセージに、8.2 - 106021 あります。
Cisco ASA 5500 シリーズ用の Syslog の設定についての情報はモニタリングに-ロギングを設定すること適応型セキュリティ アプライアンス(ASA)ソフトウェアあります。 Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータのための FWSM の Syslog の設定についての情報は Firewall Services Module の監視にあります。
次の例では、show logging | グレップ regex コマンドはファイアウォールのロギング バッファから syslog メッセージを得ます。 これらのメッセージはこの資料に説明がある脆弱性を不正利用する潜在的な試みを示す可能性がある拒否されたパケットについての追加情報を提供します。 grep キーワードを付けて別の正規表現を使用すると、ログ メッセージに含まれる特定のデータを検索できます。
正規表現構文についての追加情報は正規表現の作成にあります。
firewall#show logging | grep 106021
Aug 31 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
192.168.60.1 to 192.168.60.100 on interface outside
Aug 31 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
192.168.60.1 to 192.168.60.100 on interface outside
Aug 31 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
192.168.60.1 to 192.168.60.100 on interface outside
提示非対称多重処理システム drop コマンドはまた次の例に示すようにユニキャスト RPF 機能が廃棄したパケットの数を確認できます:
firewall#show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#
前記の例では、ユニキャスト RPF が設定されたインターフェイスで、受信した 11 個の IP パケットが廃棄されています。 出力の不在はファイアウォールのユニキャスト RPF 機能がパケットを廃棄しなかったことを示します。
デバッグについての追加情報に関してはセキュリティ パスによって廃棄されたパケットを加速しましたまたは接続は、Ciscoセキュリティ アプライアンス コマンドレファレンスをのための示します非対称多重処理システム ドロップするを参照します。
| リビジョン 1.0 | 2011-August-31 | 最初の一般公開 |
セキュリティ上の問題の支援を得、Cisco からセキュリティ情報を受け取るために登録するシスコ製品のレポート セキュリティーの脆弱性の完全情報は http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html で Cisco Worldwide Web サイトで利用できます。 これには手順がのための押します Ciscoのセキュリティの告知に関する照会を含まれています。 すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。