Cisco Applied Mitigation Bulletin: 2012년 7월 Microsoft 보안 공지 릴리스

업데이트:2016년 8월 6일 (토)
문서 ID:1470490022898234

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

Cisco Applied Mitigation 게시판

Cisco Applied Mitigation Bulletin: 2012년 7월 Microsoft 보안 공지 릴리스

문서 ID:
26356
최초 게시일:
2012년 7월 19일 19:53(GMT)
최종 업데이트:
2012년 7월 19일 19:53(GMT)
버전: 
2
CVE-2012-0175
CVE-2012-1522
CVE-2012-1524
기타...
IntelliShield
CVE-2012-0175
CVE-2012-1522
CVE-2012-1524
기타...
IntelliShield

Cisco의 대응

  • Cisco의 대응

    Microsoft는 2012년 7월 10일 월간 보안 게시판 릴리스의 일부로 16가지 취약점을 다루는 9개의 보안 게시판을 발표했습니다. 이러한 게시판의 요약은 Microsoft 웹 사이트(http://technet.microsoft.com/en-us/security/bulletin/ms12-jul)에 있습니다. 이 문서에서는 관리자가 Cisco 네트워크 장치에 배포할 수 있는 식별 및 완화 기술을 제공합니다.

    클라이언트 소프트웨어 공격 벡터가 있는 취약점, 취약한 장치에서 로컬로 악용될 수 있는 취약점, 사용자 상호 작용이 필요한 취약점, 웹 기반 공격(사이트 간 스크립팅, 피싱, 웹 기반 이메일 위협 포함), 이메일 첨부 파일 또는 네트워크 공유에 저장된 파일을 사용하여 악용될 수 있는 취약점은 다음과 같습니다.

    네트워크 완화 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 네트워크 공격 벡터가 있는 취약성에 대한 대응책을 제공하며, 이에 대해서는 이 문서의 뒷부분에서 자세히 설명합니다.

    영향을 받는 제품과 영향을 받지 않는 제품에 대한 정보는 2012년 7월 Cisco Event Response: Microsoft Security Bulletin Release에서 참조되는 해당 Microsoft 권고 및 Cisco 알림에서 확인할 수 있습니다.

    또한 여러 Cisco 제품이 Microsoft 운영 체제를 기본 운영 체제로 사용하고 있습니다. 참조된 Microsoft 권고에 설명된 취약성의 영향을 받을 수 있는 Cisco 제품은 "제품 세트" 섹션의 "관련 제품" 테이블에 자세히 설명되어 있습니다.

취약성 특성

  • MS12-046, Vulnerability in Visual Basic for Applications를 통해 2707960(Remote Code Execution)가 발생할 수 있음: 이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2012-1854가 할당되었습니다. 이 취약점은 인증 없이 원격으로 악용될 수 있으며 사용자 상호 작용이 필요합니다. 이 취약성을 성공적으로 악용하면 임의의 코드 실행이 가능할 수 있습니다. 이 취약성을 악용하기 위한 공격 벡터는 일반적으로 TCP 포트 80을 사용하지만 TCP 포트 3128, 8000, 8010, 8080, 8888 및 24326을 사용할 수도 있는 HTTP 패킷에서 Microsoft Server Message Block(SMB) 패킷 및 WebDAV(Web-based Distributed Authoring and Versioning)를 사용합니다. 익스플로잇의 특성상 WebDAV 차단은 실행 가능한 솔루션이 아니므로 SMB 차단만 제공됩니다.

    Cisco IOS Software, Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switches 및 Cisco 7600 Series Routers용 Cisco FWSM(Firewall Services Module)은 이 취약성을 악용하려는 잠재적 시도에 대해 부분적 보호를 제공하지만(이 문서에 포함된 주제) 교차 사이트 스크립팅 및 피싱도 이 취약성을 악용하는 데 사용될 수 있습니다. 교차 사이트 스크립팅 공격 및 이 취약성을 공격하는 데 사용되는 방법에 대한 자세한 내용은 Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting(XSS) 위협 벡터를 참조하십시오.

취약성 개요

  • 취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 2012년 7월 Microsoft Security Bulletin Summary에서 확인할 수 있습니다. Microsoft Security Bulletin Summary는 다음 링크에서 확인할 수 있습니다. http://technet.microsoft.com/en-us/security/bulletin/ms12-jul

완화 기법 개요

  • 클라이언트 소프트웨어 공격 벡터가 있는 취약점, 취약한 장치에서 로컬로 악용될 수 있는 취약점, 사용자 상호 작용이 필요한 취약점, 웹 기반 공격(사이트 간 스크립팅, 피싱, 웹 기반 이메일 위협 포함), 이메일 첨부 파일 또는 네트워크 공유에 저장된 파일을 사용하여 악용될 수 있는 취약점은 다음과 같습니다.

    이러한 취약점은 소프트웨어 업데이트, 사용자 교육, 데스크톱 관리 모범 사례, 엔드포인트 보호 소프트웨어(예: Cisco Security Agent HIPS(Host Intrusion Prevention System) 또는 안티바이러스 제품)를 통해 엔드포인트에서 가장 성공적으로 완화됩니다.

    네트워크 완화 기능이 있는 취약성은 다음 목록에 나와 있습니다. Cisco 디바이스는 이러한 취약성에 대한 대응책을 제공합니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.

    Cisco IOS Software는 tACL(transit access control list)을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.  이 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

    Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), tACL(tACL)을 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지를 제공할 수 있습니다.  이러한 보호 메커니즘은 네트워크 공격 벡터가 있는 취약성을 악용하려는 패킷을 필터링 및 삭제합니다.

    Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.

    Cisco IOS Software, Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽은 show 명령의 출력에 표시된 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.

    Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이 문서의 뒷부분에서 설명한 것처럼 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공합니다.

    또한 Cisco Security Manager는 인시던트, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수 있습니다.

위험 관리

  • 조직은 표준 위험 평가 및 완화 프로세스를 준수하여 이러한 취약성의 잠재적인 영향을 확인하는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

  • 디바이스별 완화 및 식별

    주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.

    완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

    Cisco IOS 라우터 및 스위치

    완화: 통과 액세스 제어 목록

    MS12-046의 경우, 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control lists)을 배포하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

    다음 tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 139 및 445의 무단 SMB 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

    tACL에 대한 추가 정보는 Transit Access Control List: Filtering at Your Edge에서 확인할 수 있습니다.

    !-- Include explicit permit statements for trusted sources
    !-- that require access on the vulnerable ports
    !-- for MS12-046
    !    
access-list 150 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established
access-list 150 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established
!
    !-- The following vulnerability-specific access control entries 
    !-- (ACEs) can aid in identification of attacks against MS12-046
    !    
access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 139
access-list 150 deny tcp 192.168.60.0 0.0.0.255 any eq 445

    !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
    !-- with existing security policies and configurations
    !
    !-- Explicit deny for all other IP traffic
    !    
access-list 150 deny ip any any
!
    !-- Create the corresponding IPv6 tACL
    !    
ipv6  access-list IPv6-Transit-ACL-Policy
 ! 
     !-- Include explicit permit statements for trusted sources
     !-- that require access on the vulnerable ports
     !-- for MS12-046
     !    
  permit tcp host 2001:DB8::100:1 eq 139 2001:DB8:1:60::/64 established 
  permit tcp host 2001:DB8::100:1 eq 445 2001:DB8:1:60::/64 established
 !
     !-- The following vulnerability-specific ACEs can 
     !-- aid in identification of attacks to global and
     !-- link-local addresses
     !    
  deny tcp 2001:db8:1:60::/64 any eq 139
  deny tcp 2001:db8:1:60::/64 any eq 445
 !
     !-- Permit or deny all other Layer 3 and Layer 4 traffic in 
     !-- accordance with existing security policies and configurations
     !-- and allow IPv6 neighbor discovery packets, which
     !-- include neighbor solicitation packets and neighbor
     !-- advertisement packets
     !    
  permit icmp any any nd-ns
  permit icmp any any nd-na
  ! 
     !-- Explicit deny for all other IPv6 traffic
     !
     !
  deny ipv6 any any
 !
     !-- Apply tACLs to interfaces in the ingress direction
     !    
interface GigabitEthernet0/0
 ip access-group 150 in
 ipv6 traffic-filter IPv6-Transit-ACL-Policy in

    인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 interface configuration 명령을 사용하여 비활성화할 수 있습니다 ip 연결 불가 및 ipv6 연결 불가 없음 . ICMP 연결 불가능 속도 제한은 전역 컨피그레이션 명령을 사용하여 기본값에서 변경할 수 있습니다 ip icmp rate-limit unreachable interval-in-ms(ip icmp 속도 제한 도달 불가 간격-in-ms)ipv6 icmp error-interval interval-in-ms.

    식별: 통과 액세스 제어 목록

    관리자가 인터페이스에 tACL을 적용한 후 show ip access-listsshow ipv6 access-list 명령은 필터링된 TCP 포트 139 및 445의 SMB IPv4 및 IPv6 패킷 수를 식별합니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show ip access-lists 150show ipv6 access-list IPv6-Transit-ACL-Policy의 출력 예:

    router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 eq 139 192.168.60.0 0.0.0.255 established
    20 permit tcp host 192.168.100.1 eq 445 192.168.60.0 0.0.0.255 established
    30 deny tcp 192.168.60.0 0.0.0.255 any eq 139 (12 matches)
    40 deny tcp 192.168.60.0 0.0.0.255 any eq 445 (26 matches)
    50 deny ip any any
router#

    앞의 예에서 액세스 목록 150은 신뢰할 수 없는 호스트 또는 네트워크로부터 수신한 다음 패킷을 삭제했습니다

    • ACE 라인 30용 TCP 포트 139SMB 패킷 12개
    • ACE 라인 40용 TCP 포트 44526개 SMB 패킷 
    router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:db8:1:100::1 eq 139 2001:db8:1:60::/64 established (55 matches) sequence 10
    permit tcp host 2001:db8:1:100::1 eq 445 2001:db8:1:60::/64 established (38 matches) sequence 20
    deny tcp 2001:DB8:1:60::/64 any eq 139 (30 matches) sequence 30
    deny tcp 2001:DB8:1:60::/64 any eq 445 (41 matches) sequence 40
    permit icmp any any nd-ns (41 matches) sequence 50
    permit icmp any any nd-na (41 matches) sequence 60
    deny ipv6 any any (21 matches) sequence 70

    앞의 예에서 액세스 목록 IPv6-Transit-ACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

    • ACE 라인 30에 대해 TCP 포트 139의 30개 SMB 패킷
    • ACE 라인 40용 TCP 포트 44541개 SMB 패킷

    ACE 카운터 및 syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security 백서를 참조하십시오.

    관리자는 ACE 카운터 적중과 같은 특정 조건이 충족될 때 Embedded Event Manager를 사용하여 계측을 제공할 수 있습니다. Cisco Security White Paper Embedded Event Manager in a Security Context에서는 이 기능을 사용하는 방법에 대한 추가 세부 정보를 제공합니다.

    ID: 액세스 목록 로깅

    log and log-input ACL(access control list) 옵션을 사용하면 특정 ACE와 일치하는 패킷이 로깅됩니다. log-input 옵션은 패킷 소스 및 목적지 IP 주소와 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.

    주의: 액세스 제어 목록 로깅은 CPU를 많이 사용할 수 있으므로 각별한 주의를 기울여 사용해야 합니다. ACL 로깅의 CPU 영향을 제어하는 요소는 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.

    Cisco IOS Software의 경우 ip access-list logging interval in-ms 명령은 IPv4 ACL 로깅에 의해 유발되는 프로세스 전환의 효과를 제한할 수 있습니다. logging rate-limit rate-per-second [except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.

    ACL 로깅의 CPU 영향은 Supervisor Engine 720 또는 Supervisor Engine 32를 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터의 하드웨어에서 최적화된 ACL 로깅을 사용하여 해결할 수 있습니다.

    ACL 로깅의 컨피그레이션 및 사용에 대한 자세한 내용은 액세스 제어 목록 로깅 이해 Cisco Security 백서를 참조하십시오.

    Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow

    식별: Cisco IOS NetFlow를 사용한 IPv4 트래픽 흐름 식별

    MS12-046의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 문서에 설명된 네트워크 공격 벡터를 가진 취약성을 악용하려는 시도일 수 있는 IPv4 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

    router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 008B 00A1     1
    Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 01BD 00A1     3    
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    11 0016 12CA     1
Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 01BD 00A1     5
    Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 008B 00A1     1    
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 008B 00A1     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1

    앞의 예에서는 TCP 포트 139(16진수 값 008B)TCP 포트 445(16진수 값 01BD)의 SMB에 대한 여러 플로우가 있습니다.

    다음 예에 표시된 것처럼 TCP 포트 139(16진수 값 008B) 및 TCP 포트 445(16진수 값 01BD)에서 SMB 패킷에 대한 트래픽 흐름만 보려면 show ip cache flow를 사용합니다 | SrcIf|_06_.*(008B|01BD)_ 명령을 포함하여 관련 Cisco NetFlow 레코드를 표시합니다.

    TCP 흐름 
    router#show ip cache flow | include SrcIf|_06_.*(008B|01BD)_
    Gi0/0         192.168.10.201   Gi0/1         192.168.60.102  06 008B 00A1     1
    Gi0/0         192.168.11.54    Gi0/1         192.168.60.158  06 01BD 00A1     3
    Gi0/0         192.168.13.97    Gi0/1         192.168.60.28   06 01BD 00A1     5
    Gi0/0         192.168.10.17    Gi0/1         192.168.60.97   06 008B 00A1     1
    Gi0/0         192.168.12.185   Gi0/1         192.168.60.239  06 008B 00A1     1

    식별: Cisco IOS NetFlow를 사용한 IPv6 트래픽 흐름 식별

    MS12-046의 경우 관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 문서에 설명된 취약성을 악용하려는 시도일 수 있는 IPv6 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.

    다음은 Cisco IOS Software 12.4 메인라인 트레인을 실행하는 Cisco IOS 디바이스의 출력입니다. 명령 구문은 Cisco IOS 소프트웨어 트레인마다 다릅니다.

    router#show ipv6 flow cache

IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
        512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
    IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
    IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
    SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x008B 0x16C4      12
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000    1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000    1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000    1192    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x01BD 0x160A      26
    2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x06 0x01BD 0x05C5       6
    2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x06 0x008B 0x05C6       7    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000    1155
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x05C6       2
2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000    1193

    전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.

    앞의 예에서는 TCP 포트 139(16진수 값 008B)TCP 포트 445(16진수 값 01BD)의 SMB에 대한 여러 IPv6 플로우가 있습니다.

    다음 예에 표시된 것처럼 TCP 포트 139(16진수 값 008B) 및 TCP 포트 445(16진수 값 01BD)에서 SMB 패킷만 보려면 show ipv6 flow cache를 사용합니다 | SrcIf|_06_.*(008B|01BD)_ 명령을 포함하여 관련 Cisco NetFlow 레코드를 표시합니다.

    TCP 흐름

    router#show ipv6 flow cache | include SrcIf|_06_.*(008B|01BD)_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x008B 0x13C4    1597
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x008B 0x16C4      12  
    2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x01BD 0x160A      26    
router#

    식별: Cisco IOS Flexible NetFlow를 사용한 IPv4 트래픽 흐름 식별

    Cisco IOS Software 릴리스 12.2(31)SB2 및 12.4(9)T에 도입된 Cisco IOS Flexible NetFlow는 관리자의 특정 요구 사항에 맞게 트래픽 분석 매개변수를 맞춤화하는 기능을 추가하여 원래의 Cisco NetFlow를 개선합니다. 원래의 Cisco NetFlow는 IP 정보의 고정된 7튜플을 사용하여 플로우를 식별하는 반면, Cisco IOS Flexible NetFlow는 플로우를 사용자 정의할 수 있게 해줍니다. 재사용 가능한 구성 구성 요소를 사용하여 트래픽 분석 및 데이터 내보내기를 위한 더 복잡한 구성을 쉽게 생성할 수 있습니다.

    다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv4 source address key(ipv4 소스 주소 키) 필드 명령문에 정의된 대로 소스 IPv4 주소를 기반으로 수신 IPv4 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv4 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.

    !
    !-- Configure key and nonkey fields
    !-- in the user-defined flow record
    !    
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
!
    !-- Configure the flow monitor to
    !-- reference the user-defined flow 
    !-- record
    !    
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
!
    !-- Apply the flow monitor to the interface
    !-- in the ingress direction
    !    
interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input

    Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다. 

    router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR  ipv4 dst addr  trns src port trns dst port intf input intf output pkts ip prot
============== ============== ============= ============= ========== =========== ==== =======
192.168.10.201 192.168.60.102          139            80      Gi0/0        Gi0/1 1128       6
 192.168.11.54 192.168.60.158          445           123      Gi0/0        Gi0/1 2212       6
192.168.150.60   10.89.16.226         2567           443      Gi0/0        Gi0/1   13       6
 192.168.13.97  192.168.60.28          139            80      Gi0/0        Gi0/1    1       6
   10.88.226.1 192.168.202.22         2678           443      Gi0/0        Gi0/1  567       6
  10.89.16.226 192.168.150.60         3562            80      Gi0/0        Gi0/1  312       6

    TCP 포트 139 및 445에서 SMB 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv4 cache format 테이블을 사용합니다 | IPV4 SRC 주소 포함 |_6_.*(139|445)_ 관련 NetFlow 레코드를 표시하는 명령

    Cisco IOS Flexible NetFlow에 대한 자세한 내용은 Flexible Netflow 컨피그레이션 가이드, Cisco IOS 릴리스 15.1M&TCisco IOS Flexible NetFlow 컨피그레이션 가이드, 릴리스 12.4T를 참조하십시오.

    식별: Cisco IOS Flexible NetFlow를 사용한 IPv6 트래픽 흐름 식별

    다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv6 source address key 필드 명령문에 정의된 대로 소스 IPv6 주소를 기반으로 수신 IPv6 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv6 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다. 
    !
    !-- Configure key and nonkey fields
    !-- in the user-defined flow record
    !    
flow record FLOW-RECORD-ipv6
 match ipv6 source address
 collect ipv6 protocol
 collect ipv6 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
!
    !-- Configure the flow monitor to
    !-- reference the user-defined flow 
    !-- record
    !    
flow monitor FLOW-MONITOR-ipv6
 record FLOW-RECORD-ipv6
!
    !-- Apply the flow monitor to the interface
    !-- in the ingress direction
    !    
interface GigabitEthernet0/0
  ipv6 flow monitor FLOW-MONITOR-ipv6 input

    Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다. 

    router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                2

  Flows added:                                   539
  Flows aged:                                    532
    - Active timeout      (  1800 secs)          350
    - Inactive timeout    (    15 secs)          182
    - Event aged                                   0
    - Watermark aged                               0
    - Emergency aged                               0

IPV6 SRC ADDR     ipv6 dst addr     trns src port trns dst port intf input intf output pkts ip prot
================= ================= ============= ============= ========== =========== ==== =======
2001:DB...06::201  2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
2001:DB...06::201  2001:DB...28::20           139            80      Gi0/0       Gi0/0 1237       6
2001:DB...06::201  2001:DB...28::20           445           443      Gi0/0       Gi0/0 2346       6
2001:DB...06::201  2001:DB...28::20           139            80      Gi0/0       Gi0/0 5009       6
2001:DB...06::201  2001:DB...28::20          2856          5060      Gi0/0       Gi0/0  486      17
2001:DB...06::201  2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
2001:DB...06::201  2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

    전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.

    TCP 포트 139 및 445에서 SMB 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv6 cache format 테이블을 사용합니다 | IPV6 SRC ADDR|_6_.*(139|445)_ 명령을 포함하여 관련 Cisco IOS Flexible NetFlow 레코드를 표시합니다.

    Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽

    완화: 통과 액세스 제어 목록

    MS12-046의 경우, 인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

    다음 tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 139 및 445의 무단 SMB 패킷을 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간이며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.

    tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.

    !
    !-- Include explicit permit statements for trusted sources
    !-- that require access on the vulnerable ports
    !
    access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 
     host 192.168.100.1 eq 139
access-list tACL-Policy-Egress extended permit tcp 192.168.60 255.255.255.0 
     host 192.168.100.1 eq 445
!
    !-- The following vulnerability-specific ACEs
    !-- can aid in identification of attacks
    !
    access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 139
access-list tACL-Policy-Egress extended deny tcp 192.168.60.0 255.255.255.0 any eq 445
!
    !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
    !-- with existing security policies and configurations
    !
    !-- Explicit deny for all other IP traffic
    !
    access-list tACL-Policy-Egress extended deny ip any any
!
    !-- Create the corresponding IPv6 tACL
    !
    !-- Include explicit permit statements for trusted sources
    !-- that require access on the vulnerable ports
    !    
ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp 
     2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 139
ipv6 access-list IPv6-tACL-Policy-Egress extended permit tcp      
     2001:db8:1:60::/64 host 2001:db8:1:100::1 eq 445 
!
    !-- The following vulnerability-specific access control entries
    !-- (ACEs) can aid in identification of attacks
    !    
ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 139 
ipv6 access-list IPv6-tACL-Policy-Egress deny tcp 2001:db8:1:60::/64 any eq 445
!
    !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
    !-- with existing security policies and configurations
    !
    !-- Explicit deny for all other IP traffic
    !    
ipv6 access-list IPv6-tACL-Policy-Egress deny ip any any
!
    !-- Apply tACLs to interfaces in the egress direction
    !    
access-group tACL-Policy-Egress out interface outside
access-group IPv6-tACL-Policy-Egress out interface outside

    식별: 통과 액세스 제어 목록

    인터페이스에 tACL이 적용된 후 관리자는 show access-list 명령을 사용하여 필터링된 TCP 포트 139 및 445의 SMB IPv4 및 IPv6 패킷 수를 식별할 수 있습니다. 관리자는 필터링된 패킷을 조사하여 이 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show access-list tACL-Policy-Egressshow access-list IPv6-tACL-Policy-Egress의 출력 예는 다음과 같습니다.

    firewall#show access-list tACL-Policy-Egress
access-list tACL-Policy-Egress; 5 elements
access-list tACL-Policy-Egress line 1 extended permit tcp 192.168.60.0 255.255.255.0
     host 192.168.100.1 eq 139 (hitcnt=34)
access-list tACL-Policy-Egress line 2 extended permit tcp 192.168.60.0 255.255.255.0
     host 192.168.100.1 eq 445 (hitcnt=34)
access-list tACL-Policy-Egress line 3 extended deny tcp 192.168.60.0 255.255.255.0
     any eq 139 (hitcnt=119)
access-list tACL-Policy-Egress line 4 extended deny tcp 192.168.60.0 255.255.255.0
     any eq 445 (hitcnt=101)
access-list tACL-Policy-Egress line 5 extended deny ip any any (hitcnt=8)
firewall#

    앞의 예에서 액세스 목록 tACL-Policy-Egress는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

    • 119 중소기업 ACE 라인 3에 대한 TCP 포트 139의 패킷
    • ACE 라인 4용 TCP 포트 445101개 SMB 패킷 
    firewall#show access-list IPv6-tACL-Policy-Egress                 
ipv6  access-list IPv6-tACL-Policy-Egress; 5 elements
ipv6  access-list IPv6-tACL-Policy-Egress line 1 permit tcp any 2001:db8:1:60::/64 
      host 2001:db8:1:100::1 eq 139 (hitcnt=6)
ipv6  access-list IPv6-tACL-Policy-Egress line 2 permit tcp any 2001:db8:1:60::/64 
      host 2001:db8:1:100::1 eq 445 (hitcnt=6)
ipv6  access-list IPv6-tACL-Policy-Egress line 3 deny tcp 2001:db8:1:60::/64 any eq 139 (hitcnt=119)
ipv6  access-list IPv6-tACL-Policy-Egress line 4 deny tcp 2001:db8:1:60::/64 any eq 445 (hitcnt=123) 
ipv6  access-list IPv6-tACL-Policy-Egress line 5 deny ip any any (hitcnt=8)
firewall#

    앞의 예에서 액세스 목록 IPv6-tACL-Policy-Egress는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.

    • ACE 라인 3에 대해 TCP 포트 139의 119개 SMB 패킷
    • ACE 라인 4 대한 TCP 포트 445의 123개 SMB 패킷

    또한 syslog 메시지 106023은 소스 및 목적지 IP 주소, 소스 및 목적지 포트 번호, 거부된 패킷에 대한 IP 프로토콜을 포함하는 중요한 정보를 제공할 수 있습니다.

    식별: 방화벽 액세스 목록 Syslog 메시지

    log 키워드가 없는 ACE(액세스 제어 항목)에 의해 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106023에 있습니다.

    Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에서 syslog 구성에 대한 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

    다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 본 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.

    정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

    firewall#show logging | grep 106023
  Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.191/2876 
         dst outside:192.0.2.18/139 by access-group "tACL-Policy-Egress"
  Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.33/2926 
         dst outside:192.0.2.200/445 by access-group "tACL-Policy-Egress"
  Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:192.168.60.240/2946 
         dst outside:192.0.2.99/139 by access-group "tACL-Policy-Egress"
  Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::23/2951
         dst outside:2001:db8:2::2:172/139 by access-group "IPv6-tACL-Policy-Egress"
  Jul 10 2012 00:15:13: %ASA-4-106023: Deny tcp src inside:2001:db8:1:60::134/2952
         dst outside:2001:db8:d::a85e:172/445 by access-group "IPv6-tACL-Policy-Egress"
firewall#

    앞의 예에서 tACL tACL tACL-Policy-EgressIPv6-tACL-Policy-Egress에 대해 로깅된 메시지는 영향받는 디바이스에 할당된 주소 블록에 전송되는 TCP 포트 139 및 445에 대한 SMB 패킷 보여줍니다.

    Cisco ASA Series Adaptive Security Appliance용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Messages, 8.2에 있습니다. Cisco Catalyst 6500 Series ASA Services Module의 syslog 메시지에 대한 추가 정보는 Cisco ASASM CLI 컨피그레이션 가이드Analyzing Syslog Messages 섹션에 있습니다. Cisco FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series Switch 및 Cisco 7600 Series Router Firewall Services Module Logging System Log Messages에 있습니다.

    syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security 백서를 참조하십시오.

    Cisco 침입 방지 시스템

    완화: Cisco IPS 서명 이벤트 작업

    관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 일부 취약성을 악용하려는 시도를 방지할 수 있습니다. 다음 표에는 CVE 식별자 및 이러한 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 해당 Cisco IPS 시그니처의 개요가 나와 있습니다.

    CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도* 참고
    CVE-2012-1889 S656 1281/0 Microsoft XML Core Services 원격 코드 실행 높음 90 메타
    1281/1 Microsoft XML Core Services 원격 코드 실행 높음 90 메타 구성 요소 #1
    CVE-2012-1522 S656 1329/0 Microsoft Internet Explorer 9 캐시된 개체 원격 코드 실행 높음 85
    CVE-2012-1524 S656 1331/0 Microsoft Internet Explorer 원격 코드 실행 높음 90
    CVE-2012-1891 S656 1334/0 Microsoft Windows ADO 힙 오버플로 높음 85
    CVE-2012-0175 S656 1333/0 Microsoft Windows 등록된 응용 프로그램 처리기 취약성 높음 85
    CVE-2012-1858 S656 1279/0 Microsoft Internet Explorer 및 Lync HTML 삭제 교차 사이트 스크립팅 높음 85
    CVE-2012-1859 S656 5232/0 XSS가 있는 URL 낮음 85
    CVE-2012-1861 S656 1335/0 Microsoft Sharepoint 교차 사이트 스크립팅 공격 높음 95
    CVE-2012-1863 S656 1326/0 Microsoft SharePoint 반영된 목록 매개 변수 취약성 높음 90

    * Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.

    관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하도록 합니다.

    Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.

    위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.

    IPS 서명 이벤트 데이터

    다음 데이터는 Cisco IPS Signature Update 버전 S656 이상을 실행하는 Cisco IPS 센서의 샘플 그룹에서 Cisco Remote Management Services 팀이 제공하는 원격 모니터링 서비스를 통해 컴파일되었습니다. 이 데이터의 목적은 2012년 7월 10일 발표된 Microsoft July Security Update의 일부로 릴리스된 취약점을 악용하려는 시도에 대한 가시성을 제공하는 것입니다. 이 데이터는 2012년 7월 17일에 트리거된 이벤트에서 수집되었습니다.

    CVE ID 서명 ID 시그니처를 보고하는 센서의 비율 가장 많이 본 상위 10개 이벤트 중 시그니처를 보고하는 센서의 비율
    CVE-2012-1889 1281/0 0% 0%
    CVE-2012-1889 1281/1 0% 0%
    CVE-2012-1522 1329/0 0% 0%
    CVE-2012-1524 1331/0 0% 0%
    CVE-2012-1891 1334/0 0% 0%
    CVE-2012-0175 1333/0 0% 0%
    CVE-2012-1858 1279/0 0% 0%
    CVE-2012-1859 5232/0 1% 1%
    CVE-2012-1861 1335/0 0% 0%
    CVE-2012-1863 1326/0 0% 0%

    Cisco 보안 관리자

    식별: Cisco Security Manager

    Cisco Security Manager 이벤트 뷰어

    소프트웨어 버전 4.0부터 Cisco Security Manager는 Cisco 방화벽 및 Cisco IPS 디바이스에서 syslog를 수집하고 이 문서에 설명된 취약성과 관련된 이벤트를 쿼리할 수 있는 이벤트 뷰어를 제공합니다.

    이벤트 뷰어의 IPS Alert Events 미리 정의된 보기를 사용하여 사용자는 검색 문자열 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 및 1326/0을 이벤트 필터에 입력하여 Cisco IPS 서명 1281/0, 1281/1, 1329/0, 133과 관련된 모든 캡처된 이벤트를 반환할 수 있습니다 /0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 및 1326/0.

    이벤트 뷰어의 미리 정의된 Firewall Denied Events(방화벽 거부 이벤트) 보기에서 다음 필터를 사용하면 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 액세스 목록 거부 syslog 메시지를 제공합니다.

    • 영향을 받는 디바이스에서 사용하는 IP 주소 공간이 포함된 네트워크 객체를 필터링하려면 Source 이벤트 필터를 사용합니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60:::/64).
    • TCP 포트 139 및 445가 포함된 객체를 필터링하려면 Source Service 이벤트 필터를 사용합니다

    이벤트 유형 ID 필터는 이벤트 뷰어의 Firewall Denied Events 미리 정의된 보기와 함께 다음 목록에 표시된 syslog ID를 필터링하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 거부 syslog 메시지를 제공할 수 있습니다.

    • ASA-4-106023(ACL 거부)

    Cisco Security Manager 이벤트에 대한 자세한 내용은 Cisco Security Manager 사용 설명서의 이벤트 필터링 및 쿼리 섹션을 참조하십시오.

    Cisco Security Manager 보고서 관리자

    소프트웨어 버전 4.1부터 Cisco Security Manager는 Cisco IPS 이벤트 보고 기능인 보고서 관리자를 지원합니다. 관리자는 이 기능을 사용하여 원하는 Cisco IPS 이벤트를 기반으로 보고서를 정의할 수 있습니다. 필요에 따라 보고서를 예약하거나 임시 보고서를 실행할 수 있습니다.

    보고서 관리자를 사용하여 사용자는 시간 범위 및 서명 특성을 기반으로 관심 있는 Cisco IPS 장치에 대한 IPS Top Signatures 보고서를 정의할 수 있습니다. Signature ID가 1281/0, 1281/1, 1329/0, 1331/0, 1334/0, 1333/0, 1279/0, 5232/0, 1335/0 또는 1326/0으로 설정된 경우 Cisco Security Manager는 해당 시그니처에 대해 실행된 경고의 수를 보고서에 표시된 모든 시그니처 경고의 총 합계와 비교하여 순위를 매기는 종합 보고서를 생성합니다.

    또한 보고서 관리자에서 상위 서비스 보고서를 다음 구성과 함께 사용하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타내는 이벤트 보고서를 생성할 수 있습니다.

    • Source IP 네트워크 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60::/64).
    • 기준 설정 페이지에서 거부 작업을 설정합니다.

    Cisco Security Manager IPS 이벤트 보고에 대한 자세한 내용은 Cisco Security Manager User Guide의 Understanding IPS Top Reports 섹션을 참조하십시오.

    ID: Event Management System 파트너 이벤트

    Cisco는 Cisco Developer Network를 통해 업계 최고의 SIEM(Security Information and Event Management) 기업과 협력하고 있습니다. 이러한 파트너십을 통해 Cisco는 장기 로그 아카이빙 및 포렌식, 이기종 이벤트 상관관계, 고급 규정 준수 보고 등 비즈니스 문제를 해결하는 검증된 사전 테스트를 거친 SIEM 시스템을 제공할 수 있습니다. Security Information and Event Management 파트너 제품을 활용하여 Cisco 디바이스에서 이벤트를 수집한 다음 수집된 이벤트에서 Cisco IPS 시그니처로 생성된 사고를 쿼리하거나, 이 문서에 설명된 취약성을 악용하려는 잠재적인 시도를 나타낼 수 있는 방화벽의 syslog 메시지를 거부할 수 있습니다. 쿼리는 다음 목록에 표시된 것처럼 Sig IDSyslog ID로 수행할 수 있습니다.

    • 1281/0 Microsoft XML Core Services 원격 코드 실행
    • 1281/1 Microsoft XML Core Services 원격 코드 실행
    • 1329/0 Microsoft Internet Explorer 9 캐시된 개체 원격 코드 실행
    • 1331/0 Microsoft Internet Explorer 원격 코드 실행
    • 1334/0 Microsoft Windows ADO 힙 오버플로
    • 1333/0 Microsoft Windows 등록된 응용 프로그램 처리기 취약성
    • 1279/0 Microsoft Internet Explorer 및 Lync HTML 무결성 유지 사이트 간 스크립팅
    • 5232/0 URL(XSS 포함)
    • 1335/0 Microsoft Sharepoint 교차 사이트 스크립팅 공격
    • 1326/0 Microsoft SharePoint Reflected List 매개 변수 취약성
    • ASA-4-106023(ACL 거부)

    SIEM 파트너에 대한 자세한 내용은 Security Management System 웹 사이트를 참조하십시오.

추가 정보

  • 추가 정보

    이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

개정 이력

  • 버전 설명 섹션 날짜
    2

    Cisco Remote Management Services의 IPS 서명 이벤트 데이터는 2012년 7월 17일부터 IPS 서명에 사용할 수 있습니다.

    		 2012년 7월 19일 19:53(GMT)
    1 : 이 초기 버전의 Cisco Applied Mitigation Bulletin은 2012년 7월 Microsoft Security Bulletin 릴리스를 다룹니다. 2012년 7월 10일 17:33(GMT)
    간단히 표시

Cisco 보안 절차

  • Cisco 보안 절차

    Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco.com(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)을 참조하십시오. 이 웹 페이지에는 Cisco Security Advisories에 대한 보도 자료 문의 지침이 포함되어 있습니다. 모든 Cisco Security Advisories는 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

영향을 받는 제품

  • 보안 취약성은 다음과 같은 제품 조합에 적용됩니다.

    기본 제품
    마이크로소프트 윈도우 7 32비트 시스템(Base, SP1) | x64 기반 시스템(Base, SP1)
    Windows Server 2003 Datacenter Edition(기본, SP1, SP2) | Datacenter Edition x64(AMD/EM64T)(기본, SP1, SP2) | Enterprise Edition(기본, SP1, SP2) | Enterprise Edition x64(AMD/EM64T)(기본, SP1, SP2) | Standard Edition(Base, SP1, SP2) | Standard Edition x64(AMD/EM64T)(기본, SP1, SP2) | Web Edition(기본, SP1, SP2)
    Windows Server 2008 Datacenter Edition(기본, SP1, SP2) | Datacenter Edition, 64비트(Base, SP1, SP2) | Enterprise Edition(기본, SP1, SP2) | Enterprise Edition, 64비트(Base, SP1, SP2) | Standard Edition(Base, SP1, SP2) | Standard Edition, 64비트(Base, SP1, SP2)
    Windows Server 2008 R2 x64-Based Systems Edition(Base, SP1) | Itanium-Based Systems Edition(Base, SP1)
    Windows Vista Home Basic(기본, SP1, SP2) | 홈 프리미엄(기본, SP1, SP2) | 비즈니스(기본, SP1, SP2) | 엔터프라이즈(기본, SP1, SP2) | Ultimate(기본, SP1, SP2) | Home Basic x64 Edition(기본, SP1, SP2) | Home Premium x64 Edition(기본, SP1, SP2) | Business x64 Edition(기본, SP1, SP2) | Enterprise x64 Edition(기본, SP1, SP2) | Ultimate x64 Edition(기본, SP1, SP2)


    관련 제품
    Cisco Cisco 광대역 문제 해결사 원래 릴리스(기본) | 3.1(기본) | 3.2(기본)
    Cisco BBSM(Building Broadband Service Manager) 원래 릴리스(기본) | 2.5 (.1) | 3.0(기본) | 4.0(기본, .1) | 4.2(기본) | 4.3(기본) | 4.4(기본) | 4.5(기본) | 5.0(기본) | 5.1(기본) | 5.2(기본)
    Cisco CNS 네트워크 등록자 2.5(기본) | 3.0(기본) | 3.5(기본, .1) | 5.0(기본) | 5.5(기본, 0.13) | 6.0(.5, .5.2, .5.3, .5.4) | 6.1(기본, .1, .1.1, .1.2, .1.3, .1.4)
    Cisco Collaboration Server DCA(Dynamic Content Adapter) 원래 릴리스(기본) | 1.0(기본) | 2.0(기본, (1)_SR2)
    Cisco CTI(Computer Telephony Integration) 옵션 4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) | 7.0 ((0)_SR1, (0)_SR2) | 7.1 (2), (3), (4), (5)
    Cisco 컨퍼런스 연결 1.1 ((3), (3)spA) | 1.2(기본, (1), (2), (2)SR1, (2)SR2)
    Cisco E-mail Manager 원래 릴리스(기본) | 4.0(기본, .5i, .6) | 5.0 (Base, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
    Cisco 긴급 응답자 1.1(기본, (3), (4)) | 1.2 (기본, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) | 1.3(기본, (1a), (2))
    Cisco ICM(Intelligent Contact Manager) 원래 릴리스(기본) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) | 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) | 7.1 (2), (3), (4), (5)
    Cisco Unified Contact Center Enterprise Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition(기본, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1 4.1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) | Hosted Edition(기본, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
    Cisco Unified IP IVR 2.0(.2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4.0 ((1)_SR1, (4)_SR1) | 4.1 ((1)_SR1) | 4.5 ((2)_SR1, (2)_SR2) | 5.0 ((1)_SR1)
    Cisco IP 상호운용성 및 협업 시스템(IPICS) 1.0(1.1)
    Cisco IP 큐 관리자 2.2(기본)
    Cisco IP/VC 3540 Application Server 모듈 3.2(.0.1, .138) | 3.5(.0.8)
    Cisco IP/VC 3540 Rate Matching Module 3.0(.9)
    Cisco Media Blender 원래 릴리스(기본) | 3.0(기본) | 4.0(기본) | 5.0(기본, (0)_SR1, (0)_SR2)
    Active Directory용 Cisco 네트워킹 서비스 원래 릴리스(기본)
    Cisco Outbound 옵션 원래 릴리스(기본)
    Cisco Personal Assistant 1.0(기본, (1)) | 1.1(기본) | 1.3(기본, .1, .2, .3, .4) | 1.4(기본, .2, .3, .4, .5, .6)
    Cisco Remote Monitoring Suite 옵션 1.0(기본) | 2.0(기본, (0)_SR1)
    Windows용 Cisco Secure ACS(Access Control Server) 2.6(기본) | 2.6.3.2(기본) | 2.6.4(기본) | 2.6.4.4(기본) | 3.0(기본) | 3.0.1(기본) | 3.0.1.40(기본) | 3.0.2(기본) | 3.0.3(기본) | 3.0.3.6(기본) | 3.0.4(기본) | 3.1.1(기본) | 3.1.1.27(기본) | 3.1.2(기본) | 3.2(기본) | 3.2.1(기본) | 3.2.3(기본) | 3.3.1(기본) | 3.3.2.2(기본) | 3.3.1.16(기본) | 3.3.3.11(기본) | 4.0(기본) | 4.0.1(기본) | 4.0.1.27(기본) | 4.1.1.23(기본)
    Cisco Secure Access Control Server Solution Engine(ACSE) 3.1(기본, 0.1) | 3.2(기본, .1.20, .2.5, .3) | 3.3(기본, .1, .1.16, .2.2, .3, .4, .4.12) | 4.0(기본, .1, .1.42, .1.44, .1.49) | 4.1(기본, .1.23, .1.23.3, .3, .3.12)
    Cisco Secure URT(User Registration Tool) 원래 릴리스(기본) | 1.2(기본, .1) | 2.0(기본, .7, .8) | 2.5(기본, .1, .2, .3, .4, .5)
    Cisco SN 5420 Storage 라우터 1.1(기본, .3, .4, .5, .7, .8) | 2.1 (.1, .2)
    Cisco SN 5428-2 Storage 라우터 3.2(.1, .2) | 3.3(.1, .2) | 3.4 (.1) | 3.5(기본, .1, .2, .3, .4)
    Cisco Trailhead 원래 릴리스(기본) | 4.0(기본)
    Cisco Unified Communications Manager 원래 릴리스(기본) | 1.0(기본) | 2.0(기본) | 3.0(기본) | 3.0.3(a)(기본) | 3.1(기본, .1, .2, .3a) | 3.1(1)(기본) | 3.1(2)(기본) | 3.1(2)SR3(기본) | 3.1(3)(기본) | 3.1(3)SR2(기본) | 3.1(3)SR4(기본) | 3.2(기본) | 3.2(3)SR3(기본) | 3.3(기본) | 3.3(2)SPc(기본) | 3.3(3)(기본) | 3.3(3)ES61(기본) | 3.3(3)SR3(기본) | 3.3(3)SR4a(기본) | 3.3(3a)(기본) | 3.3(4)(기본) | 3.3(4)ES25(기본) | 3.3(4)SR2(기본) | 3.3(4c)(기본) | 3.3(5)(기본) | 3.3(5)ES24(기본) | 3.3(5)SR1(기본) | 3.3(5)SR1a(기본) | 3.3(5)SR2(기본) | 3.3(5)SR2a(기본) | 3.3(5)SR3(기본) | 3.3(59)(기본) | 3.3(61)(기본) | 3.3(63)(기본) | 3.3(64)(기본) | 3.3(65)(기본) | 3.3(66)(기본) | 3.3(67.5)(기본) | 3.3(68.1)(기본) | 3.3(71.0)(기본) | 3.3(74.0)(기본) | 3.3(78)(기본) | 3.3(76)(기본) | 4.0(.1, .2) | 4.0(2a)ES40(기본) | 4.0(2a)ES56(기본) | 4.0(2a)SR2b(기본) | 4.0(2a)SR2c(기본) | 4.1(기본) | 4.1(2)(기본) | 4.1(2)ES33(기본) | 4.1(2)ES50(기본) | 4.1(2)SR1(기본) | 4.1(3)(기본) | 4.1(3)ES(기본) | 4.1(3)ES07(기본) | 4.1(3)ES24(기본) | 4.1(3)SR(기본) | 4.1(3)SR1(기본) | 4.1(3)SR2(기본) | 4.1(3)SR3(기본) | 4.1(3)SR3b(기본) | 4.1(3)SR3c(기본) | 4.1(3)SR4(기본) | 4.1(3)SR4b(기본) | 4.1(3)SR4d(기본) | 4.1(3)SR5(기본) | 4.1(4)(기본) | 4.1(9)(기본) | 4.1(17)(기본) | 4.1(19)(기본) | 4.1(22)(기본) | 4.1(23)(기본) | 4.1(25)(기본) | 4.1(26)(기본) | 4.1(27.7)(기본) | 4.1(28.2)(기본) | 4.1(30.4)(기본) | 4.1(36)(기본) | 4.1(39)(기본) | 4.2(1)(기본) | 4.2(1)SR1b(기본) | 4.2(1.02)(기본) | 4.2(1.05.3)(기본) | 4.2(1.06)(기본) | 4.2(1.07)(기본) | 4.2(3)(기본) | 4.2(3)SR1(기본) | 4.2(3)SR2(기본) | 4.2(3.08)(기본) | 4.2(3.2.3)(기본) | 4.2(3.3)(기본) | 4.2(3.13)(기본) | 4.3(1)(기본) | 4.3(1)SR(기본) | 4.3(1.57)(기본)
    Cisco Unified CVP(Customer Voice Portal) 3.0 ((0), (0)SR1, (0)SR2) | 3.1 ((0), (0)SR1, (0)SR2) | 4.0 ((0), (1), (1)SR1, (2))
    Cisco Unified 회의실 4.3(기본) | 5.3(기본) | 5.2(기본) | 5.4(기본) | 6.0(기본)
    Cisco Unified MeetingPlace Express 1.1(기본) | 1.2(기본) | 2.0(기본)
    Cisco Unity 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본) | 2.4(기본) | 2.46(기본) | 3.0(기본, .1) | 3.1(기본, .2, .3, .5, .6) | 3.2(기본) | 3.3(기본) | 4.0(기본, .1, .2, .3, .3b, .4, .5) | 4.1(기본, .1) | 4.2(기본, .1, .1 ES27) | 5.0 ((1)) | 7.0 ((2))
    Cisco Unity Express 1.0.2(기본) | 1.1.1(기본) | 1.1.2(기본) | 2.0.1(기본) | 2.0.2(기본) | 2.1.1(기본) | 2.1.2(기본) | 2.1.3(기본) | 2.2.0(기본) | 2.2.1(기본) | 2.2.2(기본) | 2.3.0(기본) | 2.3.1(기본)
    Cisco WCS(Wireless Control System) 소프트웨어 1.0(기본) | 2.0(기본, 44.14, 44.24) | 2.2 (.0, .111.0) | 3.0(기본, .101.0, .105.0) | 3.1(기본, .20.0, .33.0, .35.0) | 3.2(기본, .23.0, .25.0, .40.0, .51.0, .64.0) | 4.0(기본, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1(기본, .83.0)
    CiscoWorks IP 텔레포니 환경 모니터(항목) 1.3(기본) | 1.4(기본) | 2.0(기본)
    CiscoWorks LMS(LAN Management Solution) 1.3(기본) | 2.2(기본) | 2.5(기본) | 2.6(기본)
    CiscoWorks QPM(QoS Policy Manager) 2.0(기본, .1, .2, .3) | 2.1 (.2) | 3.0(기본, .1) | 3.1(기본) | 3.2(기본, .1, .2, .3)
    CiscoWorks RWAN(Routed WAN Management Solution) 1.0(기본) | 1.1(기본) | 1.2(기본) | 1.3(기본, .1)
    CiscoWorks SNMS(Small Network Management Solution) 1.0(기본) | 1.5(기본)
    CiscoWorks VPN/VMS(Security Management Solution) 1.0(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본) | 2.3(기본)
    Cisco Collaboration 서버 3.0(기본) | 3.01(기본) | 3.02(기본) | 4.0(기본) | 5.0(기본)
    Cisco DOCSIS CPE Configurator 1.0(기본) | 1.1(기본) | 2.0(기본)
    Cisco Unified IP IVR(Interactive Voice Response) 2.0(기본) | 2.1(기본)
    Cisco SCE(Service Control Engine) 3.0(기본) | 3.1(기본)
    Cisco 전송 관리자 원래 릴리스(기본) | 2.0(기본) | 2.1(기본) | 2.2(기본, .1) | 3.0(기본, .1, .2) | 3.1(기본) | 3.2(기본) | 4.0(기본) | 4.1(기본, .4, .6, .6.6.1) | 4.6(기본) | 4.7(기본) | 5.0(기본, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6.0(기본, .0.405.1, .0.407.1, .0.412.1) | 7.0(기본, .0.370.1, .0.372.1, .0.377.1, .0.389.1, .0.400.1, .395.1) | 7.2(기본, .0.199.1)