Cisco Applied Mitigation 게시판-
Cisco Email Security Appliance에는 여러 취약점이 있습니다. 다음 하위 섹션에는 이러한 취약성이 요약되어 있습니다.
웹 프레임워크 인증 명령 삽입 취약점: 이 취약점은 인증을 통해 원격으로 악용될 수 있으며 최종 사용자 상호 작용이 필요합니다. 이 취약성을 성공적으로 악용하면 임의의 코드 실행을 허용할 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 및 IPv6 패킷을 통해 이루어집니다.
- TCP 포트 80을 사용하는 HTTP
- TCP 포트 443을 사용하는 HTTPS
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3384가 할당되었습니다.
IronPort 스팸 쿼런틴 서비스 거부 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 및 IPv6 패킷을 통해 이루어집니다.
- TCP 포트 82
- TCP 포트 83
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3386이 할당되었습니다.
관리 GUI 서비스 거부 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 및 IPv6 패킷을 통해 이루어집니다.
- TCP 포트 80을 사용하는 HTTP
- TCP 포트 443을 사용하는 HTTPS
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3385가 할당되었습니다.
Cisco Content Security Management Appliance에는 여러 취약성이 있습니다. 다음 하위 섹션에는 이러한 취약성이 요약되어 있습니다.
웹 프레임워크 인증 명령 삽입 취약점: 이 취약점은 인증 및 최종 사용자 상호 작용으로 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 임의의 코드 실행을 허용할 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- TCP 포트 80을 사용하는 HTTP
- TCP 포트 443을 사용하는 HTTPS
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3384가 할당되었습니다.
IronPort 스팸 쿼런틴 서비스 거부 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- TCP 포트 82
- TCP 포트 83
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3386이 할당되었습니다.
관리 GUI 서비스 거부 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- TCP 포트 80을 사용하는 HTTP
- TCP 포트 443을 사용하는 HTTPS
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3385가 할당되었습니다.
Cisco Web Security Appliance에는 여러 취약점이 있습니다. 다음 하위 섹션에는 이러한 취약성이 요약되어 있습니다.
Authenticated Command Injection Vulnerabilities(인증된 명령 주입 취약성): 이러한 취약성은 인증 및 최종 사용자 상호작용을 통해 원격으로 악용될 수 있습니다. 이러한 취약점을 성공적으로 악용하면 임의의 코드 실행이 허용됩니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- TCP 포트 8080을 사용하는 HTTP
- TCP 포트 8443을 사용하는 HTTPS
이러한 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3383 및 CVE-2013-3384가 할당되었습니다.
관리 GUI Denial of Service 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.
익스플로잇을 위한 공격 벡터는 다음 프로토콜과 포트를 사용하는 IPv4 패킷을 통해 이루어집니다.
- TCP 포트 8080을 사용하는 HTTP
- TCP 포트 8443을 사용하는 HTTPS
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2013-3385가 할당되었습니다.
-
취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 고정된 소프트웨어에 대한 정보는 Cisco Security Advisories에서 확인할 수 있으며, 다음 링크에서 확인할 수 있습니다.
-
Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
Cisco IOS Software는 tACL(transit access control list)을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.
Cisco ASA 5500 Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), tACL을 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지를 제공할 수 있습니다.
Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.
또한 Cisco Security Manager는 인시던트, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수 있습니다.
-
조직은 이 취약성의 잠재적인 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.
-
주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.
- Cisco IOS 라우터 및 스위치
- Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow
- Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
- Cisco 보안 관리자
Cisco IOS 라우터 및 스위치
완화: 통과 액세스 제어 목록
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL(transit access control list)을 구축하여 정책 시행을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 IPv4 및 IPv6 패킷을 통해 TCP 포트 80 및 443과 TCP 포트 82, 83, 8080 및 8443의 무단 HTTP 및 HTTPS를 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 80 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 82 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 83 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 443 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8080
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 80 deny tcp any 2001:DB8:1:60::/64 eq 82 deny tcp any 2001:DB8:1:60::/64 eq 83 deny tcp any 2001:DB8:1:60::/64 eq 443 deny tcp any 2001:DB8:1:60::/64 eq 8080 deny tcp any 2001:DB8:1:60::/64 eq 8443
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy in인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 인터페이스 컨피그레이션 명령 no ip unreachable 및 no ipv6 unreachable을 사용하여 비활성화할 수 있습니다. ICMP 연결 불가능 속도 제한은 ip icmp rate-limit unreachable interval-in-ms 및 ipv6 icmp error-interval interval-in-ms 전역 컨피그레이션 명령을 사용하여 기본값에서 변경할 수 있습니다.
식별: 통과 액세스 제어 목록
관리자가 인터페이스에 tACL을 적용한 후 show ip access-lists 및 show ipv6 access-list 명령은 필터링된 IPv4 및 IPv6 패킷을 통해 TCP 포트 82 및 83과 함께 TCP 포트 80 및 443의 HTTP 및 HTTPS 수를 식별합니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show ip access-lists 150 및 show ipv6 access-list IPv6-Transit-ACL-Policy의 출력 예:
router#show ip access-lists 150
Extended IP access list 150 10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 80 20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 82 30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 83 40 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 50 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8080 60 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443
70 deny tcp any 192.168.60.0 0.0.0.255 eq 80 (221 matches) 80 deny tcp any 192.168.60.0 0.0.0.255 eq 82 (11 matches) 90 deny tcp any 192.168.60.0 0.0.0.255 eq 83 (10 matches) 100 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (120 matches) 110 deny tcp any 192.168.60.0 0.0.0.255 eq 8080 (100 matches) 120 deny tcp any 192.168.60.0 0.0.0.255 eq 8443 (97 matches)
130 deny ip any anyrouter#
앞의 예에서 액세스 목록 150은 신뢰할 수 없는 호스트 또는 네트워크로부터 수신한 다음 패킷을 삭제했습니다.
- ACE 라인 70에 대한 TCP 포트 80의 HTTP 패킷 221개
- ACE 라인 80에 대한 TCP 포트 82의 11개 패킷
- ACE 라인 90에 대한 TCP 포트 83의 10개 패킷
- ACE 라인 100용 TCP 포트 443의 120개 HTTPS 패킷
- ACE 라인 110에 대한 TCP 포트 8080에서 100개 패킷
- ACE 라인 120에 대한 TCP 포트 8443의 97개 패킷
router#show ipv6 access-list IPv6-Transit-ACL-Policy IPv6 access list IPv6-Transit-ACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 80 (205 matches) sequence 10 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 82 (18 matches) sequence 20 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 83 (21 matches) sequence 30 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 (159 matches) sequence 40 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8080 (52 matches) sequence 50 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 8443 (102 matches) sequence 60 deny tcp any 2001:DB8:1:60::/64 eq 80 (121 matches) sequence 70 deny tcp any 2001:DB8:1:60::/64 eq 82 (31 matches) sequence 80 deny tcp any 2001:DB8:1:60::/64 eq 83 (23 matches) sequence 90 deny tcp any 2001:DB8:1:60::/64 eq 443 (131 matches) sequence 100 deny tcp any 2001:DB8:1:60::/64 eq 8080 (101 matches) sequence 110 deny tcp any 2001:DB8:1:60::/64 eq 8443 (120 matches) sequence 120 permit icmp any any nd-ns (41 matches) sequence 130 permit icmp any any nd-na (41 matches) sequence 140 deny ipv6 any any (21 matches) sequence 150앞의 예에서 액세스 목록 IPv6-Transit-ACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.
- ACE 라인 70에 대한 TCP 포트 80의 HTTP 패킷 121개
- ACE 라인 80에 대한 TCP 포트 82의 31개 패킷
- ACE 라인 90에 대한 TCP 포트 83의 23개 패킷
- ACE 라인 100용 TCP 포트 443의 HTTPS 패킷 131개
- ACE 라인 110에 대한 TCP 포트 8080의 101개 패킷
- ACE 라인 120에 대한 TCP 포트 8443의 120개 패킷
ACE 카운터 및 syslog 이벤트를 사용하여 인시던트를 조사하는 방법에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.
관리자는 ACE 카운터 적중과 같은 특정 조건이 충족될 때 Embedded Event Manager를 사용하여 계측을 제공할 수 있습니다. Cisco Security Intelligence Operations 백서 Embedded Event Manager in a Security Context에서는 이 기능을 사용하는 방법에 대한 추가 세부 정보를 제공합니다.
ID: 액세스 목록 로깅
log and log-input ACL(access control list) 옵션을 사용하면 특정 ACE와 일치하는 패킷이 로깅됩니다. log-input 옵션은 패킷 소스 및 목적지 IP 주소와 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.
주의: 액세스 제어 목록 로깅은 CPU를 많이 사용할 수 있으므로 각별한 주의를 기울여 사용해야 합니다. ACL 로깅의 CPU 영향을 제어하는 요소는 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.
Cisco IOS Software의 경우 ip access-list logging interval in-ms 명령은 IPv4 ACL 로깅에 의해 유발되는 프로세스 전환의 효과를 제한할 수 있습니다. logging rate-limit rate-per-second [except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.
ACL 로깅의 CPU 영향은 Supervisor Engine 720 또는 Supervisor Engine 32를 사용하는 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터의 하드웨어에서 최적화된 ACL 로깅을 사용하여 해결할 수 있습니다.
ACL 로깅의 컨피그레이션 및 사용에 대한 자세한 내용은 액세스 제어 목록 로깅 이해 Cisco Security Intelligence Operations 백서를 참조하십시오.
Cisco IOS NetFlow 및 Cisco IOS Flexible NetFlow
식별: Cisco IOS NetFlow를 사용한 IPv4 트래픽 흐름 식별
관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이러한 취약성을 악용하려는 시도일 수 있는 IPv4 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이러한 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.
router#show ip cache flow
IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 11 0984 00A1 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 11 0911 00A1 3 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0016 0052 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 00A1 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 00A1 1 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F93 20FB 19
Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 06 00AB 1F90 9 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 00A1 1Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 01BB 22
router#앞의 예에서는 TCP 포트 80(16진수 값 50) 및 443(16진수 값 1BB)에 HTTP와 HTTPS를 위한 여러 플로우가 있으며, TCP 포트 82(16진수 값 52), 83(16진수 값 53), 8080(16진수 값 1F90) 및 8443(16진수 값 0x20FB)도 있습니다.
다음 예에 표시된 것처럼 TCP 포트 80(16진수 값 50) 및 443(16진수 값 1BB)에서 HTTP 및 HTTPS만 보고 TCP 포트 82(16진수 값 52), 83(16진수 값 53), 8080(16진수 값 1F90) 및 8443(16진수 값 0x20FB)에서는 show ip cache flow를 사용합니다 | 관련 Cisco NetFlow 레코드를 표시하려면 SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ 명령을 포함합니다.
TCP 흐름router#show ip cache flow | include SrcIf|_6_.*(50|52|53|1BB|1F90|20FB)_ SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0052 22 Gi0/0 192.168.12.11 Gi0/1 192.168.0.111 06 7F92 0053 22 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A16 01BB 12 Gi0/0 192.168.150.99 Gi0/1 192.168.0.100 06 01D9 0050 32 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A17 1F90 15 Gi0/0 192.168.150.60 Gi0/1 192.168.0.210 06 0A18 20FB 10 router#
식별: Cisco IOS NetFlow를 사용한 IPv6 트래픽 흐름 식별
관리자는 Cisco IOS 라우터 및 스위치에서 Cisco IOS NetFlow를 구성하여 이 문서에 설명된 취약성을 악용하려는 시도가 될 수 있는 IPv6 트래픽 흐름을 식별할 수 있도록 지원할 수 있습니다. 관리자는 플로우를 조사하여 이러한 취약성을 악용하려는 시도인지 또는 올바른 트래픽 플로우인지 확인하는 것이 좋습니다.
다음은 Cisco IOS Software 12.4 메인라인 트레인을 실행하는 Cisco IOS 디바이스의 출력입니다. 명령 구문은 Cisco IOS 소프트웨어 트레인마다 다릅니다.
router#show ipv6 flow cache IP packet size distribution (50078919 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 475168 bytes 8 active, 4088 inactive, 6160 added 1092984 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 33928 bytes 16 active, 1008 inactive, 12320 added, 6160 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...06::201 Gi0/0 2001:DB...28::20 Local 0x06 0x16C4 0x0050 1001 2001:DB...6A:5BA6 Gi0/0 2001:DB...28::21 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...134::3 Gi0/1 0x3A 0x0000 0x8000 1191 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::4 Gi0/1 0x3A 0x0000 0x8000 1192 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0052 1092 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1610 0x0053 1009 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1634 0x01BB 1341 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1611 0x1F90 1000 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x1612 0x20FB 10102001:DB...6A:5BA6 Gi0/0 2001:DB...146::3 Gi0/1 0x3A 0x0000 0x8000 1092 2001:DB...6A:5BA6 Gi0/0 2001:DB...144::4 Gi0/1 0x3A 0x0000 0x8000 11932001:DB...6A:5BA6 Gi0/0 2001:DB...128::3 Gi0/1 0x3A 0x0000 0x8000 1155
전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.
앞의 예에서는 여러 개의 IPv6 플로우가 TCP 포트 80(16진수 값 50) 및 443(16진수 값 1BB)의 HTTP 및 HTTPS와 TCP 포트 82(16진수 값 52), 83(16진수 값 53), 8080(16진수 값 1F90) 및 8443(16진수 값 0x20FB).
다음 예에 표시된 것처럼 TCP 포트 80(16진수 값 50) 및 443(16진수 값 1BB)에서 HTTP 및 HTTPS만 보고 TCP 포트 82(16진수 값 52), 83(16진수 값 53), 8080(16진수 값 1F90) 및 8443(16진수 값 0x20FB)에서는 show ipv6 flow cache를 사용합니다 | SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ 명령을 포함하여 관련 Cisco NetFlow 레코드를 표시합니다.
TCP 흐름
router#show ipv6 flow cache | include SrcIf|_06_.*(50|52|53|1BB|1F90|20FB)_ SrcAddress InpIf DstAddress OutIf Prot SrcPrt DstPrt Packets 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x160A 0x0050 1032 2001:DB...06::201 Gi0/0 2001:DB...128::3 Gi0/1 0x06 0x160B 0x0052 1291 2001:DB...06::201 Gi0/0 2001:DB...128::4 Gi0/1 0x06 0x1734 0x0053 2123 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A1 0x01BB 1374 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A2 0x1F90 1201 2001:DB...6A:5BA6 Gi0/0 2001:DB...128::2 Gi0/1 0x06 0x13A3 0x20FB 1011 router#
식별: Cisco Flexible NetFlow를 사용한 IPv4 트래픽 흐름 식별
Cisco IOS Software 릴리스 12.2(31)SB2 및 12.4(9)T에 도입된 Cisco IOS Flexible NetFlow는 관리자의 특정 요구 사항에 맞게 트래픽 분석 매개변수를 맞춤화하는 기능을 추가하여 원래의 Cisco NetFlow를 개선합니다. 원래의 Cisco NetFlow는 IP 정보의 고정된 7튜플을 사용하여 플로우를 식별하는 반면, Cisco IOS Flexible NetFlow는 플로우를 사용자 정의할 수 있게 해줍니다. 재사용 가능한 구성 구성 요소를 사용하여 트래픽 분석 및 데이터 내보내기를 위한 더 복잡한 구성을 쉽게 생성할 수 있습니다.
다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv4 source address key(ipv4 소스 주소 키) 필드 명령문에 정의된 대로 소스 IPv4 주소를 기반으로 수신 IPv4 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv4 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다.
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ========== =========== ====== ======= 192.168.10.201 192.168.0.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.0.158 123 82 Gi0/0 Gi0/1 2212 6 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.0.28 3451 22 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.0.97 4231 83 Gi0/0 Gi0/1 146 6 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 192.168.10.18 192.168.150.60 1233 8080 Gi0/0 Gi0/1 1021 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6 192.168.10.18 192.168.150.60 1234 8443 Gi0/0 Gi0/1 1452 6TCP 포트 80과 443과 TCP 포트 82, 83, 8080, 8443의 HTTP 및 HTTPS 패킷만 보려면show flow monitor FLOW-MONITOR-ipv4 cache format 테이블을 사용합니다 | IPV4 DST 주소 포함 |_(80|82|83|443|8080|8443)_.*_06_ 명령을 사용하여 관련 NetFlow 레코드를 표시합니다.
Cisco IOS Flexible NetFlow에 대한 자세한 내용은 Flexible Netflow Configuration Guide, Cisco IOS Release 15M&T 및 Cisco IOS Flexible NetFlow Configuration Guide, Release 12.4T를 참조하십시오.
식별: Cisco IOS Flexible NetFlow를 사용한 IPv6 트래픽 흐름 식별
다음 출력은 15.1T 트레인의 Cisco IOS Software 버전을 실행 중인 Cisco IOS 디바이스의 출력입니다. 12.4T 및 15.0 열차의 구문은 거의 동일하지만, 실제 사용되는 Cisco IOS 릴리스에 따라 약간 달라질 수 있습니다. 다음 컨피그레이션에서 Cisco IOS Flexible NetFlow는 match ipv6 source address key 필드 명령문에 정의된 대로 소스 IPv6 주소를 기반으로 수신 IPv6 흐름에 대한 인터페이스 GigabitEthernet0/0에 대한 정보를 수집합니다. Cisco IOS Flexible NetFlow에는 소스 및 목적지 IPv6 주소, 프로토콜, 포트(있는 경우), 인그레스 및 이그레스 인터페이스, 플로우당 패킷에 대한 키 필드가 아닌 정보도 포함됩니다.! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv6 match ipv6 source address collect ipv6 protocol collect ipv6 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv6 record FLOW-RECORD-ipv6 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ipv6 flow monitor FLOW-MONITOR-ipv6 input
Cisco IOS Flexible NetFlow 흐름 출력은 다음과 같습니다.
router#show flow monitor FLOW-MONITOR-ipv6 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 2 Flows added: 539 Flows aged: 532 - Active timeout ( 1800 secs) 350 - Inactive timeout ( 15 secs) 182 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV6 SRC ADDR ipv6 dst addr trns src port trns dst port intf input intf output pkts ip prot ================= ================= ============= ============= ========== =========== ==== ======= 2001:DB...06::201 2001:DB...28::20 123 123 Gi0/0 Gi0/0 17 17 2001:DB...06::201 2001:DB...28::20 1265 80 Gi0/0 Gi0/0 1237 6 2001:DB...06::201 2001:DB...28::20 1441 443 Gi0/0 Gi0/0 2346 6 2001:DB...06::201 2001:DB...28::20 1890 82 Gi0/0 Gi0/0 5009 6 2001:DB...06::201 2001:DB...28::20 2856 83 Gi0/0 Gi0/0 486 6 2001:DB...06::201 2001:DB...28::20 2858 8080 Gi0/0 Gi0/0 511 6 2001:DB...06::201 2001:DB...28::20 2859 8443 Gi0/0 Gi0/0 612 6
2001:DB...06::201 2001:DB...28::20 3012 53 Gi0/0 Gi0/0 1016 17 2001:DB...06::201 2001:DB...28::20 2477 53 Gi0/0 Gi0/0 1563 17전체 128비트 IPv6 주소의 표시를 허용하려면 terminal width 132 exec mode 명령을 사용합니다.
TCP 포트 80 및 443과 함께 TCP 포트 82, 83, 8080 및 8443에서 HTTP 및 HTTPS 패킷만 보려면 show flow monitor FLOW-MONITOR-ipv6 cache format 테이블을 사용합니다 | 관련 Cisco IOS Flexible NetFlow 레코드를 표시하려면 IPV6 DST ADDR|_(80|82|83|443|8080|8443)_.*_06_ 명령을 포함합니다.
Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
완화: 통과 액세스 제어 목록
인터넷 연결 지점, 파트너 및 공급업체 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 지점에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 tACL을 구축하여 정책 적용을 수행하는 것이 좋습니다. 관리자는 승인 받은 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증 받은 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다. tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.
tACL 정책은 영향을 받는 디바이스로 전송되는 IPv4 및 IPv6 패킷을 통해 TCP 포트 80 및 443과 TCP 포트 82, 83, 8080 및 8443의 무단 HTTP 및 HTTPS를 거부합니다. 다음 예에서 192.168.60.0/24 및 2001:DB8:1:60::/64는 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 및 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다.
tACL에 대한 추가 정보가 트랜짓 액세스 제어 목록: 에지에서 필터링에 있습니다.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 80 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 8443 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 80 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 82 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 83 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 443 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8080 ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 8443 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside식별: 통과 액세스 제어 목록
인터페이스에 tACL이 적용되면 관리자는 show access-list 명령을 사용하여 필터링된 IPv4 및 IPv6을 통해 TCP 포트 80 및 443의 HTTP 및 HTTPS 패킷과 포트 82 및 83의 TCP 패킷 수를 식별할 수 있습니다. 관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다. show access-list tACL-Policy 및 show access-list IPv6-tACL-Policy의 출력 예:
firewall#show access-list tACL-Policy access-list tACL-Policy; 13 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq www (hitcnt=31) access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 82 (hitcnt=61) access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 83 (hitcnt=131) access-list tACL-Policy line 4 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq https (hitcnt=57) access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=99) access-list tACL-Policy line 6 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=34)
access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 255.255.255.0 eq http (hitcnt=18) access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 255.255.255.0 eq 82 (hitcnt=10) access-list tACL-Policy line 9 extended deny tcp any 192.168.60.0 255.255.255.0 eq 83 (hitcnt=22) access-list tACL-Policy line 10 extended deny tcp any 192.168.60.0 255.255.255.0 eq https (hitcnt=9) access-list tACL-Policy line 11 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8080 (hitcnt=19) access-list tACL-Policy line 12 extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443 (hitcnt=12) access-list tACL-Policy line 13 extended deny ip any any (hitcnt=8)앞의 예에서 액세스 목록 tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.
- ACE 라인 7에 대한 TCP 포트 80의 HTTP 패킷 18개
- ACE 라인 8에 대한 TCP 포트 443에서 10개 패킷
- ACE 라인 9에 대한 TCP 포트 82의 22개 패킷
- ACE 라인 10에 대해 TCP 포트 83의 9개 HTTPS 패킷
- ACE 라인 11에 대한 TCP 포트 8080의 19개 패킷
- ACE 라인 12에 대한 TCP 포트 8443의 12개 패킷
firewall#show access-list IPv6-tACL-Policy ipv6 access-list IPv6-tACL-Policy; 13 elements; name hash: 0x566a4229 ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq www (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 82 (hitcnt=28) ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 83 (hitcnt=124) ipv6 access-list IPv6-tACL-Policy line 4 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq https (hitcnt=81) ipv6 access-list IPv6-tACL-Policy line 5 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8080 (hitcnt=59) ipv6 access-list IPv6-tACL-Policy line 6 permit tcp host 2001:db8:1:100::1 2001:db8:1:60::/64 eq 8443 (hitcnt=23) ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:db8:1:60::/64 eq www (hitcnt=39) ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:db8:1:60::/64 eq 82 (hitcnt=32) ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:db8:1:60::/64 eq 83 (hitcnt=43) ipv6 access-list IPv6-tACL-Policy line 10 deny tcp any 2001:db8:1:60::/64 eq https (hitcnt=123) ipv6 access-list IPv6-tACL-Policy line 11 deny tcp any 2001:db8:1:60::/64 eq 8080 (hitcnt=90) ipv6 access-list IPv6-tACL-Policy line 12 deny tcp any 2001:db8:1:60::/64 eq 8443 (hitcnt=87)
ipv6 access-list IPv6-tACL-Policy line 13 deny ip any any (hitcnt=27)앞의 예에서 액세스 목록 IPv6-tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 다음 패킷을 삭제했습니다.
- ACE 라인 7에 대한 TCP 포트 80의 39HTTP 패킷
- ACE 라인 8에 대한 TCP 포트 82의 32개 패킷
- ACE 라인 9에 대한 TCP 포트 83의 43개 패킷
- ACE 라인 10에 대한 TCP 포트 443의 123개 HTTPS 패킷
- ACE 라인 11에 대한 TCP 포트 8080에서 90개 패킷
- ACE 라인 12에 대한 TCP 포트 8443의 87개 패킷
또한 syslog 메시지 106023은 소스 및 목적지 IP 주소, 소스 및 목적지 포트 번호, 거부된 패킷에 대한 IP 프로토콜을 포함하는 중요한 정보를 제공할 수 있습니다.
식별: 방화벽 액세스 목록 Syslog 메시지
log 키워드가 없는 ACE(액세스 제어 항목)에 의해 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다. 이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Message, 8.2 - 106023에 있습니다.
Cisco ASA 5500 Series Adaptive Security Appliance용 syslog 구성에 대한 정보는 Monitoring - Configuring Logging에 있습니다. Cisco Catalyst 6500 Series ASA Services Module에서 syslog 구성에 대한 정보는 로깅 구성에 있습니다. Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터에 대한 FWSM의 syslog 구성에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.
다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다. 이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다. 로깅된 메시지에서 특정 데이터를 검색하기 위해 grep 키워드와 다른 정규식을 사용할 수 있습니다.
정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
firewall#show logging | grep 106023 Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 dst inside:192.168.60.33/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 dst inside:192.168.60.240/83 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 dst inside:192.168.60.115/443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2949 dst inside:192.168.60.38/8443 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950 dst inside:192.168.60.250/82 by access-group "tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:2::2:172/2951 dst inside:2001:db8:1:60::23/443 by access-group "IPv6-tACL-Policy" Jun 21 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:2001:db8:d::a85e:172/2952 dst inside:2001:db8:1:60::134/8080 by access-group "IPv6-tACL-Policy" firewall#앞의 예에서 tACL tACL-Policy 및 IPv6-tACL-Policy에 대해 로깅된 메시지는 TCP 포트 80 및 443에 대한 HTTP 및 HTTPS 패킷과 TCP 포트 82, 83, 8080 및 8443에 대한 패킷이 영향을 받는 디바이스에 할당된 주소 블록으로 전송됨을 보여 줍니다.
Cisco ASA Series Adaptive Security Appliance용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series System Log Messages, 8.2에 있습니다. Cisco Catalyst 6500 Series ASA Services Module의 syslog 메시지에 대한 추가 정보는 Cisco ASASM CLI 컨피그레이션 가이드의 Analyzing Syslog Messages 섹션에 있습니다. Cisco FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series Switch 및 Cisco 7600 Series Router Firewall Services Module Logging System Log Messages에 있습니다.
syslog 이벤트를 사용한 인시던트 조사에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Cisco Security Intelligence Operations 백서를 참조하십시오.
Cisco 보안 관리자
식별: Cisco Security Manager
Cisco Security Manager, 이벤트 뷰어
소프트웨어 버전 4.0부터 Cisco Security Manager는 Cisco 방화벽에서 syslog를 수집하고 이 문서에 설명된 취약성과 관련된 이벤트를 쿼리할 수 있는 이벤트 뷰어를 제공합니다.
이벤트 뷰어의 미리 정의된 Firewall Denied Events(방화벽 거부 이벤트) 보기에서 다음 필터를 사용하면 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 액세스 목록 거부 syslog 메시지를 제공합니다.
- Destination 이벤트 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60:::/64)
- Destination Service 이벤트 필터를 사용하여 TCP 포트 80, 82, 83, 443, 8080, 8443이 포함된 객체를 필터링합니다
이벤트 유형 ID 필터는 이벤트 뷰어의 Firewall Denied Events 미리 정의된 보기와 함께 다음 목록에 표시된 syslog ID를 필터링하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있는 모든 캡처된 Cisco 방화벽 거부 syslog 메시지를 제공할 수 있습니다.
- ASA-4-106023(ACL 거부)
Cisco Security Manager 이벤트에 대한 자세한 내용은 Cisco Security Manager 사용 설명서의 이벤트 필터링 및 쿼리 섹션을 참조하십시오.
Cisco Security Manager 보고서 관리자
보고서 관리자에서 상위 서비스 보고서를 다음 구성과 함께 사용하여 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타내는 이벤트 보고서를 생성할 수 있습니다.
- Destination IP 네트워크 필터를 사용하여 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 포함하는 네트워크 객체를 필터링할 수 있습니다(예: IPv4 주소 범위 192.168.60.0/24 및 IPv6 주소 범위 2001:DB8:1:60::/64)
- 기준 설정 페이지에서 거부 작업을 설정합니다.
ID: Event Management System 파트너 이벤트
Cisco는 Cisco Developer Network를 통해 업계 최고의 SIEM(Security Information and Event Management) 기업과 협력하고 있습니다. 이러한 파트너십을 통해 Cisco는 장기 로그 아카이빙 및 포렌식, 이기종 이벤트 상관관계, 고급 규정 준수 보고 등 비즈니스 문제를 해결하는, 검증되고 테스트된 SIEM 시스템을 제공할 수 있습니다. Security Information and Event Management 파트너 제품을 활용하여 Cisco 디바이스에서 이벤트를 수집한 다음, 수집된 이벤트에서 방화벽의 deny syslog 메시지에 의해 생성된 인시던트를 쿼리할 수 있습니다. 이는 이 문서에 설명된 취약성을 악용하려는 잠재적 시도를 나타낼 수 있습니다. 쿼리는 다음 목록에 표시된 것처럼 Sig ID 및 Syslog ID로 수행할 수 있습니다.
- ASA-4-106023(ACL 거부)
SIEM 파트너에 대한 자세한 내용은 Security Management System 웹 사이트를 참조하십시오.
-
Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.
-
보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
기본 제품 Cisco Cisco WSA(Web Security Appliance) 7.1(.0, .1, .2, .3, .4) | 7.5(.0-000, .1-000) | 7.7(.0-000) Cisco ESA(Email Security Appliance) 7.1(.0, .1, .2, .3, .4, .5) | 7.3(.0, .1, .2) | 7.5(.0, .1, .2) | 7.6(.0, .1-000, .2) Cisco Content SMA(Security Management Appliance) 7.2(.0, .1, .2) | 7.7(.0, .1) | 7.9 (.0, .1) | 8.0(.0)
관련 제품
-
이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO는 언제든지 알림을 변경하거나 업데이트할 수 있는 권리를 보유합니다.
배포 URL을 생략하는 이 문서의 텍스트를 독립 실행형으로 복사하거나 패러프레이즈는 관리되지 않는 복사본이며 중요한 정보가 없거나 사실 오류가 있을 수 있습니다. 이 문서의 정보는 Cisco 제품의 최종 사용자를 대상으로 합니다