Cisco의 대응

• Cisco의 대응

  이 Applied Mitigation Bulletin은 다음 PSIRT Security Advisories와 함께 제공되는 문서입니다.

  이 문서에서는 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다.

취약성 특성

• 취약성 특성

취약성 개요

• 취약성 개요

  취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 고정된 소프트웨어에 대한 정보는 다음 링크에서 확인할 수 있는 Cisco Security Advisory에서 확인할 수 있습니다. .

완화 기법 개요

• 완화 기법 개요

  Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.

  Cisco IOS Software는 을(를) 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다. 이 보호 메커니즘은 이 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

  Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이러한 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공할 수 있습니다.

위험 관리

• 위험 관리

  조직은 이러한 취약성의 잠재적 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

• 디바이스별 완화 및 식별

  주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.

  완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

  • Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
  • Cisco 침입 방지 시스템
  • Sourcefire 침입 방지 시스템
  • Cisco Ironport 클라우드 보안

  Cisco IOS 라우터 및 스위치

  완화: 인프라 액세스 제어 목록

  인프라 디바이스를 보호하고 직접 인프라 공격의 위험, 영향 및 효과를 최소화하기 위해 관리자는 iACL을 구축하여 인프라 장비에 전송된 트래픽의 정책 시행을 수행하는 것이 좋습니다. 관리자는 기존 보안 정책 및 컨피그레이션에 따라 인프라 디바이스로 전송되는 승인된 트래픽만 명시적으로 허용하여 iACL을 구성할 수 있습니다. 인프라 디바이스를 최대한 보호하려면 구축된 iACL을 IP 주소가 구성된 모든 인터페이스의 인그레스 방향으로 적용해야 합니다. iACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작되는 경우 이 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

  iACL 정책은 영향을 받는 디바이스에 전송되는 무단 IPv4 및 IPv6 패킷을 거부합니다. 다음 예에서 192.168.60.0/242001:DB8:1:60::/64은 영향을 받는 디바이스에서 사용하는 IP 주소 공간을 나타내며 192.168.100.1 2001:DB8::100:1의 호스트는 영향을 받는 디바이스에 대한 액세스를 필요로 하는 신뢰할 수 있는 소스로 간주됩니다. 모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하도록 주의해야 합니다. 인프라 주소 공간은 가능한 경우 사용자 및 서비스 세그먼트에 사용되는 주소 공간과 구분되어야 합니다. 이 주소 지정 방법론을 사용하면 iACL의 구축 및 구축에 도움이 됩니다.

  iACL에 대한 자세한 내용은 Protecting Your Core: Infrastructure Protection Access Control List를 참조하십시오.

  
  ip access-list extended Infrastructure-ACL-Policy 
   ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
   ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
    deny ip any 192.168.60.0 0.0.0.255
   !
  ! !-- Create the corresponding IPv6 tACL !
  ipv6 access-list IPv6-Infrastructure-ACL-Policy
   ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
   ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses !
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
    permit icmp any any nd-ns
    permit icmp any any nd-na
   ! !-- Explicit deny for all other IPv6 traffic !
    deny ipv6 any 2001:DB8:1:60::/64
   ! ! !-- Apply tACLs to interface in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group Infrastructure-ACL-Policy in 
   ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in 

  인터페이스 액세스 목록으로 필터링하면 ICMP 도달 불가 메시지를 필터링된 트래픽의 소스로 다시 전송합니다. 이러한 메시지를 생성하면 디바이스에서 CPU 사용률이 증가하는 원치 않는 영향을 미칠 수 있습니다. Cisco IOS Software에서 ICMP 연결 불가능 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다. ICMP 연결 불가 메시지 생성은 인터페이스 컨피그레이션 명령 no ip unreachable 및 no ipv6 unreachable을 사용하여 비활성화할 수 있습니다. ICMP 연결 불가능 속도 제한은 ip icmp rate-limit unreachable interval-in-ms 및 ipv6 icmp error-interval interval-in-ms 전역 컨피그레이션 명령을 사용하여 기본값에서 변경할 수 있습니다.

  Cisco IOS Software 명령줄 인터페이스를 사용하여 iACL의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software를 참조하십시오.

추가 정보

• 이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

개정 이력

• 버전	설명	섹션	날짜
  1	알림 기록 최초 릴리스		2014년 3월 05일 16:02(GMT)

  간단히 표시

Cisco 보안 절차

• Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

• • Cisco Applied Mitigation 게시판
  • Cisco 보안
  • Cisco Security IntelliShield Alert Manager Service
  • Cisco IOS 디바이스를 강화하는 Cisco 가이드
  • Cisco IOS NetFlow - 홈 페이지(Cisco.com)
  • Cisco IOS NetFlow 백서
  • NetFlow 성능 분석
  • 보안 중심의 IP 주소 지정 방식
  • CVE(Common Vulnerabilities and Exposures)

영향을 받는 제품

• 보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
  
  

  기본 제품
  Cisco	Cisco WLC(Wireless LAN Controller)	4.0(.108, .155.0, .155.5, .179.8, .179.11, .196, .206.0, .217.0, .219.0) | 4.1(기본, .171.0, .181.0, .185.0) | 4.2(기본, .61.0, .99.0, .112.0, .117.0, .130.0, .173.0, .174.0, .176.0, .182.0) | 5.0(.148.0, .148.2) | 5.1(.151.0, .152.0, .160.0) | 5.2(.157.0, .169.0) | 6.0(기본, 182.0, 188.0, 196.0, 199.4, 202.0) | 7.0(기본, 98.0, 98.218, 116.0, 220.0) | 7.1(기본, 91.0) | 7.2(기본, 103.0) | 7.3(기본, .101.0, .112) | 7.4(기본, 1.54, .100, .100.60, .110.0) | 7.5(기본, .102.0)

  
  
  

  관련 제품