Cisco의 대응

• 이 Applied Mitigation Bulletin은 Cisco Unified Communications Domain Manager의 PSIRT Security Advisory Multiple Vulnerabilities에 대한 보조 문서이며 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다.

취약성 특성

• Cisco Unified Communications Domain Manager Application Software의 웹 프레임워크에 취약성이 있을 경우 인증되지 않은 원격 공격자가 BVSMWeb 포털 사용자 정보에 액세스하고 이를 수정할 수 있습니다. 익스플로잇을 위한 공격 벡터는 TCP 포트 80 및 443을 사용하는 HTTP 및 HTTPS IPv4 및 IPv6 패킷을 통해 이루어집니다.
  
  이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2014-3300이 할당되었습니다.

취약성 개요

• 취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 Cisco Security Advisory에서 확인할 수 있습니다. Cisco Security Advisory는 다음 링크에서 확인할 수 있습니다. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140702-cucdm

완화 기법 개요

• Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
  
  Cisco IOS Software는 IOS Zone-Based Firewall을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
  
  다음을 사용하여 Cisco ASA 5500 및 5500-X Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switch 및 Cisco 7600 Series Router용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.

  • 애플리케이션 레이어 프로토콜 검사
  • URL 필터링
  • 차세대 방화벽 서비스

  이러한 보호 메커니즘은 이 취약성을 악용하려는 패킷을 필터링 및 삭제합니다.
  
  Cisco ACE Application Control Engine Appliance 및 Module에서는 애플리케이션 프로토콜 검사를 사용하여 효과적인 익스플로잇 방지를 제공할 수도 있습니다.
  
  이 보호 메커니즘은 이 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.
  
  Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공할 수 있습니다.
  
  Cisco Web Security Appliance 이벤트 작업을 효과적으로 사용하면 웹을 통해 공격 벡터가 있는 취약성을 악용하려는 공격에 대한 가시성과 보호 기능을 제공할 수 있습니다.
  
  Cisco Cloud Web Security 이벤트 작업을 효과적으로 사용하면 웹을 통해 공격 벡터가 있는 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공합니다.

위험 관리

• 조직은 이 취약성의 잠재적인 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.

디바이스별 완화 및 식별

• 주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
  
  완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.

  • Cisco IOS 라우터 및 스위치
  • Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
  • Cisco ACE
  • Cisco 침입 방지 시스템
  • Cisco 웹 보안
  • Cisco 클라우드 웹 보안

  Cisco IOS 라우터 및 스위치

  완화: IOS Zone Based Firewall

  Cisco IOS Software Release 12.4(6)T부터 ZFW(Zone-Based Policy Firewall)가 Cisco IOS CBAC(Context-Based Access Control)를 대체했습니다. 방화벽 정책 애플리케이션을 세분화하고, 원하는 트래픽을 허용하기 위해 명시적 정책이 적용될 때까지 방화벽 보안 영역 간의 트래픽을 금지하는 기본 거부 정책을 제공합니다.
  
  Cisco IOS ZFW에서 영역은 네트워크의 보안 경계를 설정합니다. 영역은 트래픽이 네트워크의 다른 영역으로 이동할 때 정책 제한이 적용되는 경계를 정의합니다. 영역 간의 ZFW 기본 정책은 모든 트래픽을 거부하는 것입니다. 명시적으로 구성된 정책이 없으면 영역 간에 이동하려는 모든 트래픽이 차단됩니다. ZFW는 CPL(Cisco Policy Language)이라고 하는 컨피그레이션 정책 언어를 사용합니다. Cisco IOS Software Modular QoS(Quality-of-Service) CLI(MQC)에 익숙한 사용자는 형식이 QoS 컨피그레이션에서 클래스 맵이 사용되는 방식과 비슷하다는 것을 인식하여 정책 맵에 적용된 작업의 영향을 받을 트래픽을 지정할 수 있습니다. Cisco IOS ZFW는 스테이트풀 레이어 4 IPv4 및 IPv6 검사를 지원하며, 애플리케이션별 검사, 스테이트풀 방화벽 장애 조치, 인증 프록시, DoS(서비스 거부) 완화, URL 필터링 등을 제공할 수 있습니다.
  
  이 문서에 설명된 프로토콜 및 포트에 대한 액세스를 차단하는 정책은 Cisco IOS ZFW를 사용하여 구성할 수 있습니다. ZFW HTTP Layer 7 검사는 URL에 "/bvsmweb"이 있는 요청을 차단하는 데에도 사용할 수 있습니다.
  
  컨피그레이션 예는 Cisco Support Community 및 Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic 컨피그레이션 예의 IOS ZBF Set-by-Step Configuration 및 IPv 6 ZFW(Zone -Based Firewall) 컨피그레이션 문서를 참조하십시오. Cisco IOS ZBF에 대한 자세한 내용은 Zone-Based Policy Firewall Design and Application Guide를 참조하십시오.
  
  Cisco IOS Software Releases 12.4(20)T에 도입된 IOS User-Based Firewall 기능은 ID 또는 사용자 그룹 기반 보안을 제공하여 사용자 등급에 따라 차별화된 액세스를 제공할 수 있습니다. 사용자 ID, 디바이스 유형(예: IP 전화), 위치(예: 건물), 역할(예: 엔지니어)을 기준으로 분류를 제공할 수 있습니다.
  
  사용자 기반 방화벽 기능을 활용하여 프로토콜 및 포트에 대한 액세스를 차단하거나 애플리케이션을 필터링하는 Cisco IOS 방화벽 정책을 사용자 또는 사용자 그룹 단위로 구성할 수 있습니다.
  
  Cisco 사용자 기반 방화벽에 대한 자세한 내용은 User Based Firewall Support Guide 및 Feature Information for User-Based Firewall Support 섹션을 참조하십시오.

  Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽

  완화: 애플리케이션 레이어 프로토콜 검사

  애플리케이션 레이어 프로토콜 검사는 Cisco ASA 5500 및 5500-X Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.2(1)부터, Cisco Catalyst 6500 Series ASA Services Module의 경우 소프트웨어 릴리스 8.5부터, Cisco Firewall Services Module의 경우 소프트웨어 릴리스 4.0(1)부터 사용할 수 있습니다. 이 고급 보안 기능은 방화벽을 통과하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책을 통해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다. 애플리케이션 검사는 정책의 클래스 맵에서 일치하는 IPv4 및 IPv6 패킷을 모두 검사합니다.
  
  애플리케이션 레이어 프로토콜 검사 및 MPF(Modular Policy Framework)에 대한 자세한 내용은 책 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1의 Getting Started with Application Layer Protocol Inspection 섹션 에 나와 있습니다.
  
  주의: 애플리케이션 레이어 프로토콜 검사로 방화벽 성능이 저하됩니다. 관리자는 이 기능이 프로덕션 환경에 구축되기 전에 랩 환경에서 성능에 미치는 영향을 테스트하는 것이 좋습니다.
  
  HTTP 애플리케이션 검사
  관리자는 Cisco ASA 5500 및 5500-X Series Adaptive Security Appliance, Cisco 6500 Series ASA Services Module 및 Cisco Firewall Services Module에서 HTTP 검사 엔진을 사용하여 패턴 일치를 위한 정규식(영역)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 이 문서에 설명된 것과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호하는 데 도움이 될 수 있습니다. 다음 HTTP 애플리케이션 검사 컨피그레이션에서는 Cisco MPF(Modular Policy Framework)를 사용하여 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326의 트래픽을 검사하기 위한 정책을 생성합니다.
  
  주의: 구성된 회귀는 HTML 응답 본문의 임의 위치에서 텍스트 문자열과 일치할 수 있습니다. 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 애플리케이션이 영향을 받지 않도록 주의해야 합니다. regex 구문에 대한 추가 정보는 정규식 만들기에 있습니다.
  

  ! !-- Configure regex that looks for the string that !-- is typically used to exploit this vulnerability ! 
  regex CVE-2014-3300 ".+/bvsmweb"
  ! !-- Configure a regex class to match on the regular !-- expression that is configured above ! 
  class-map type regex match-any vulnerable_url_class
   match regex CVE-2014-3300
  ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
  object-group service WEBPORTS tcp
   port-object eq www 
   port-object eq 3128 
   port-object eq 8000 
   port-object eq 8010 
   port-object eq 8080 
   port-object eq 8888 
   port-object eq 24326 
  ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
  access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
  ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map Webports_Class
   match access-list Webports_ACL
  ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_Policy
   parameters
  ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A larger number may have an impact !-- on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !   body-match-maximum 200
   match response body regex class vulnerable_url_class   
    drop-connection log  
  ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
  policy-map global_policy
   class Webports_Class
    inspect http http_Policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
  service-policy global_policy global

  
  객체 그룹의 컨피그레이션 및 사용에 대한 자세한 내용은 책 1: Cisco ASA Series 일반 작업 CLI 컨피그레이션 가이드, 9.1의 글로벌 객체 추가 섹션을 참조하십시오.
  
  HTTP 애플리케이션 검사 및 MPF에 대한 추가 정보는 책 2: Cisco ASA Series Firewall CLI 컨피그레이션 가이드, 9.1의 HTTP 검사 섹션 에 있습니다.
  
  Cisco Firewall CLI를 사용하여 애플리케이션 검사의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.

  완화: URL 필터링

  URL 필터링은 Websense Enterprise Secure Computing SmartFilter(이전의 N2H2) 인터넷 필터링 제품을 활용하여 ASA에 적용할 수 있습니다. URL 필터링이 활성화된 경우 ASA는 인터넷 필터링 제품 컨피그레이션에 의해 HTTP, HTTPS 및 FTP에 대해 결정된 필터링 정책만 적용합니다.
  
  특히 HTTPS 콘텐츠의 경우 ASA는 디렉토리 및 파일 이름 정보 없이 URL 조회를 전송합니다. 필터링 서버가 HTTPS 연결 요청을 승인하면 ASA는 SSL 연결 협상을 완료하고 웹 서버의 응답이 원래 클라이언트에 도달할 수 있도록 허용합니다. 필터링 서버가 요청을 거부하면 ASA는 SSL 연결 협상이 완료되지 않도록 합니다. 브라우저에는 "페이지 또는 콘텐츠를 표시할 수 없습니다.
  
  URL 필터링은 url -server 및 filter 글로벌 CLI 명령을 사용하여 구성됩니다.
  
  URL 필터링은 URL에 "/bvsmweb"이 포함된 HTTP 요청을 필터링하여 이 문서에 설명된 취약성을 완화하는 데 사용할 수 있습니다.
  
  자세한 내용은 Cisco ASA Configuration Guide의 "Filtering HTTPS URLs" 및 Cisco Support Community에서 URL 필터링 구성 방법을 참조하십시오.

  완화: 차세대 방화벽 서비스

  Cisco ASA 5585-X(ASA CX SSP-10 및 -20 포함)용 Cisco ASA Software Release 8.4(5), Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X 및 ASA 5555-X용 Cisco ASA Software Release 9.1(3), Cisco ASA 5585-X(ASA CX SSP-40 및 -60 포함)부터 Cisco ASA 다음 NGFW(Generation Firewall) 서비스를 통해 관리자는 사용자(누가), 사용자가 액세스하려는 애플리케이션 또는 웹 사이트(무엇을), 액세스 시도의 출처(어디서), 액세스 시도 시간(때), 액세스에 사용되는 디바이스 속성(방법)을 기반으로 정책을 모니터링하거나 시행할 수 있습니다.
  
  NGFW 서비스는 별도의 하드웨어 모듈(ASA5585-X용 SSP) 또는 소프트웨어 모듈(ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X)에서 실행됩니다. ASA는 구성된 대로 정책을 모니터링 및/또는 시행하는 NGFW 모듈에 트래픽(MPF 정책 사용)을 전달합니다. NGFW 정책은 단일 또는 다중 장치 모드에서 Cisco PRSM(Prime Security Manager) 그래픽 사용자 인터페이스를 사용하여 구성할 수 있습니다. NGFW의 AVC(Application Visibility and Control) 서비스의 일부로 다양한 애플리케이션을 인식하고 조치를 취할 수 있습니다. 애플리케이션 인식은 시그니처 및 엔진 업데이트를 사용하여 지속적으로 업데이트됩니다. 마찬가지로 WSE(Web Security Essentials) 서비스는 웹 기능 및 요청을 검사하고 이에 따라 작동할 수 있습니다. 또한 웹 평판 정책을 사용하여 방문한 대상의 평판을 기준으로 트래픽을 필터링할 수 있습니다.
  
  Cisco NGFW는 "/bvsmweb" 문자열이 포함된 URL을 필터링하여 이 문서에 설명된 취약성을 완화하는 데 사용할 수 있습니다.
  
  모니터링 및 필터링 정책(AVC 및 WSE)은 암호화된 TLS 트래픽에도 적용할 수 있습니다.
  
  지원되는 애플리케이션에 대한 자세한 내용은 ASA NGFW Services Applications Portal을 참조하십시오. ASA 구성에 대한 자세한 내용은 Cisco ASA 컨피그레이션 가이드의 "ASA CX 모듈 구성" 섹션을 참조하십시오. ASA CX 구성에 대한 자세한 내용은 ASA CX 및 Cisco Prime Security Manager 사용 설명서를 참조하십시오.

  Cisco ACE

  완화: 애플리케이션 프로토콜 검사

  애플리케이션 프로토콜 검사는 Cisco ACE Application Control Engine Appliance 및 Module에서 사용할 수 있습니다. 이 고급 보안 기능은 Cisco ACE를 전송하는 트래픽에 대해 심층 패킷 검사를 수행합니다. 관리자는 글로벌 또는 인터페이스 서비스 정책을 통해 적용되는 검사 클래스 맵 및 검사 정책 맵의 컨피그레이션을 통해 특별한 처리가 필요한 애플리케이션에 대한 검사 정책을 구성할 수 있습니다.
  
  애플리케이션 프로토콜 검사에 대한 추가 정보는 Cisco ACE 애플리케이션 제어 엔진인 Security Guide vA5(1.0)의 Configuring Application Protocol Inspection 섹션에 있습니다.
  
  HTTP Deep Packet 검사
  
  HTTP Deep Packet 검사를 수행하기 위해 관리자는 패턴 매칭을 위한 정규식(regex)을 구성하고 검사 클래스 맵 및 검사 정책 맵을 구성할 수 있습니다. 이러한 방법은 이 문서에 설명된 것과 같은 특정 취약성 및 HTTP 트래픽과 관련될 수 있는 기타 위협으로부터 보호하는 데 도움이 될 수 있습니다. 다음 HTTP 애플리케이션 프로토콜 검사 컨피그레이션은 Cisco IPS #WEBPORTS 변수의 기본 포트인 TCP 포트 80, 3128, 8000, 8010, 8080, 8888, 24326에서 트래픽을 검사합니다.
  
  주의: 구성된 규칙은 HTML 패킷의 컨텐트에서 임의의 위치에 있는 텍스트 문자열과 일치할 수 있습니다. 일치하는 텍스트 문자열을 사용하는 합법적인 비즈니스 애플리케이션이 영향을 받지 않도록 주의해야 합니다.
  

  ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the string !-- /bvsmweb that is typically used to exploit !-- this vulnerability ! 
  class-map type http inspect match-any vulnerable_http_class
    match content ".*/bvsmweb.*"
  ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that is configured above !
  policy-map type inspect http all-match http_Policy
    class vulnerable_http_class
      reset log
  ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
  access-list WEBPORTS line 8 extended permit tcp any any eq www 
  access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
  access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
  access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
  access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
  access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
  access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
  ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map match-all L4_http_class
    match access-list WEBPORTS
  ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
  policy-map multi-match L4_http_Policy
    class L4_http_class
      inspect http policy http_Policy
  ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_Policy

  
  ACE 명령줄 인터페이스를 사용하여 애플리케이션 검사의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identification of Malicious Traffic Using Cisco ACE를 참조하십시오.

  Cisco 침입 방지 시스템

  완화: Cisco IPS 시그니처 테이블

  관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 취약성을 악용하려는 시도를 방지할 수 있습니다. 다음 표에는 이 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 CVE 식별자 및 해당 Cisco IPS 시그니처의 개요가 나와 있습니다.
  
  
  

  CVE ID	시그니처 릴리스	서명 ID	서명 이름	사용	심각도	충실도*
  CVE-2014-3300	S809	4462/0	Cisco Unified Communications Domain Manager BVSMWeb 무단 데이터 조작 취약성	예	중간	100

  
  
  * Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.
  
  관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하기 위해 예방 또는 억제 제어를 수행합니다.
  
  Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x 및 6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.
  
  위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
  
  Cisco Security Manager를 사용하여 Cisco IPS 센서의 활동을 보는 방법에 대한 자세한 내용은 Identification of Malicious Traffic Using Cisco Security Manager 백서를 참조하십시오.

  Cisco Web Security Appliance

  완화: 웹 보안

  Cisco WSA(Web Security Appliance)는 기업 보안을 저해하고 지적 재산을 노출시킬 수 있는 웹 기반 악성코드 및 스파이웨어 프로그램으로부터 기업 네트워크를 필터링하고 보호할 수 있습니다. 프록시로 작동하며 웹 평판 및 악성코드를 기반으로 특정 URL 카테고리, 웹 콘텐츠, 웹 애플리케이션(AVC), 웹 사이트를 필터링하는 사용자 및 그룹 기반 정책을 제공할 수 있습니다. 또한 WSA는 L4TM(L4 Traffic Monitor)을 사용하여 감염된 클라이언트를 탐지하고 악의적인 활동이 기업 네트워크 외부로 나가는 것을 차단할 수 있습니다. 웹 그래픽 사용자 인터페이스를 사용하여 정책을 구성할 수 있습니다. CLI도 사용할 수 있습니다. Web Security Appliance에는 HTTP, HTTPS, FTP 및 SOCKS와 같은 표준 통신 프로토콜에 대한 보호가 포함되어 있습니다.
  
  라우터 및 방화벽과 같은 네트워크 디바이스로 작동하기 위해 WSA는 WCCP(Web Cache Coordination Protocol)를 사용합니다. WCCP를 사용하면 컨텐츠 요청이 WSA에 투명하게 리디렉션되며, WSA의 컨피그레이션은 사용자가 브라우저에 웹 프록시를 구성할 필요 없이 해당 컨피그레이션에 따라 작동합니다. Cisco IOS WCCP에서는 ip wccp 명령을 사용하고 Cisco ASA에서는 wccp 명령을 사용하여 WCCP가 활성화됩니다.
  
  Cisco WSA를 사용하면 다음 문자열 "/bvsmweb"이 포함된 URL을 기준으로 웹 트래픽을 필터링하여 이 문서에 설명된 취약성을 완화할 수 있습니다.
  
  자세한 내용은 Cisco Support Community 의 ASA: WCCP 단계별 컨피그레이션 문서 및 Cisco IronPort AsyncOS Web User Guide를 참조하십시오.

  Cisco 클라우드 웹 보안

  완화: 클라우드 웹 보안

  Cisco CWS(Cloud Web Security)는 모든 웹 요청 및 응답을 분석하여 정의된 보안 정책에 따라 콘텐츠가 악의적인지, 부적절한지 또는 수용 가능한지 확인합니다. 이렇게 하면 성공적인 제로데이 위협을 비롯하여 위협으로부터 효과적으로 보호할 수 있습니다. Cisco CWS는 특정 URL 범주, 웹 콘텐츠, 파일 및 파일 유형, AVC(웹 애플리케이션), 웹 평판 및 악성코드를 기반으로 웹 사이트를 필터링하는 사용자 및 그룹 기반 정책을 제공할 수 있습니다. HTTP 및 HTTPS 트래픽을 모두 검사할 수 있습니다.
  
  ISR-G2 라우터 및 Cisco ASA Software Release 9.0의 Cisco IOS 15.2MT부터 Cisco CWS는 Cisco IOS 및 Cisco ASA와 투명하게 통합될 수 있습니다. 또한 AnyConnect 3.0부터 AnyConnect 클라이언트와 함께 CWS를 구축할 수 있습니다. CWS는 Cisco Cloud Connector 애플리케이션으로 엔드 호스트에 구축할 수도 있습니다.
  
  Cisco CWS는 regex "/bvsmweb"이 포함된 HTTP 필드를 기반으로 웹 트래픽을 필터링하여 이 문서에 설명된 취약성을 완화하는 데 사용할 수 있습니다.
  
  컨피그레이션 예는 Cisco Support Community의 ASA: ScanSafe Step-by-Step Configuration 및 IOS: Scansafe Step-by-Step Configuration 문서를 참조하십시오. IOS 및 ASA 컨피그레이션에 대한 자세한 내용은 Cisco ISR Web Security with Cisco ScanSafe Solution Guide 및 Cisco ASA 컨피그레이션 가이드의 Configuration Cisco Cloud Web Security 섹션을 참조하십시오. CWS 포털에 대한 자세한 내용은 Cisco ScanCenter Administrator Guide를 참조하십시오.

추가 정보

• 이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

개정 이력

• 버전	설명	섹션	날짜
  1	최초 릴리스		2014년 7월 2일 16:04(GMT)

  간단히 표시

Cisco 보안 절차

• Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보

• • Cisco Applied Mitigation 게시판
  • Cisco 보안
  • Cisco Security IntelliShield Alert Manager Service
  • Cisco IOS 디바이스를 강화하는 Cisco 가이드
  • Cisco 네트워크 기반 보호 백서
  • Cisco Network Foundation Protection 프레젠테이션
  • 보안 중심의 IP 주소 지정 방식
  • Zone-Based Policy Firewall 설계 및 애플리케이션 가이드
  • Cisco 방화벽 제품 - 홈 페이지 Cisco.com
  • Cisco Catalyst 6500 Series ASA Services Module
  • Cisco 5500-X
  • Cisco ASA-CX
  • ID 방화벽 구성
  • ASA CX 및 Cisco Prime Security Manager 사용 설명서
  • Cisco ACE Application Control Engine 모듈 설명서
  • Cisco 침입 방지 시스템
  • Cisco IPS 서명 다운로드
  • Cisco IPS 서명 검색 페이지
  • Sourcefire 차세대 보안
  • Sourcefire IPS Snort 규칙
  • Cisco 보안 관리자
  • Cisco Web Security Appliance(PDF)
  • Cisco Cloud Web Security 설명서
  • CVE(Common Vulnerabilities and Exposures)
  • Cisco Applied Mitigation 게시판 구독

영향을 받는 제품

• 보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
  
  

  기본 제품
  Cisco	Cisco Unified Communications Domain Manager	8.1(.1, .2, .3, .4)
  	Cisco Unified Communications Domain Manager 플랫폼	VOSS platform 4.4(.1)

  
  
  

  관련 제품