Cisco Applied Mitigation 게시판-
이 Applied Mitigation Bulletin은 Cisco ASR 1000 Series, Cisco ISR 4400 Series 및 Cisco Cloud Services 1000v Series 라우터를 위한 Cisco IOS XE Software의 PSIRT Security Advisory Multiple Vulnerabilities와 함께 제공되는 문서로서 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다.
이 문서에서는 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다. 이 문서에 제시된 기술은 의 두 가지 취약성에만 적용됩니다. Cisco IOS XE Software Layer 4 Redirect Crafted Packet Denial of Service 취약성,
Cisco IOS XE Software는 TCP 패킷 원격 코드 실행 취약점을, Cisco IOS XE Software 공통 플로우 테이블은 패킷 서비스 거부 취약점을 각각 작성했습니다.
-
Cisco IOS XE에는 여러 취약점이 있습니다. 다음 하위 섹션에는 이러한 취약성이 요약되어 있습니다.
Cisco IOS XE Software Common Flow Table Created Packet Denial of Service Vulnerability: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 익스플로잇을 위한 공격 벡터는 IPv4(Internet Protocol version 4) 패킷을 통해 작성된 TCP 또는 UDP입니다. 공격자는 스푸핑된 패킷을 사용하여 이 취약성을 악용할 수 있습니다.
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2015-0639가 할당되었습니다.
Cisco IOS XE Software는 TCP 패킷 원격 코드 실행 취약성을 개발했습니다. : 이 취약성은 인증 및 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 영향을 받는 시스템에서 임의의 코드를 실행하거나 DoS(서비스 거부) 조건을 실행할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 익스플로잇을 위한 공격 벡터는 제작된 TCP 패킷을 통해 이루어집니다.
이 취약성에는 CVE(Common Vulnerabilities and Exposures) 식별자 CVE-2015-0644가 할당되었습니다.
Cisco IOS XE Software Layer 4 Redirect Craft Packet Denial of Service 취약성: 이 취약성은 인증 없이 그리고 최종 사용자 상호 작용 없이 원격으로 악용될 수 있습니다. 이 취약성을 성공적으로 악용하면 DoS(서비스 거부) 조건이 발생할 수 있습니다. 이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다. 익스플로잇을 위한 공격 벡터는 제작된 TCP 패킷을 통해 이루어집니다.
이 취약성에는 CVE(Common Vulnerabilities and Exposures) ID CVE-2015-0645가 할당되었습니다.
-
취약한 소프트웨어, 영향을 받지 않는 소프트웨어, 그리고 고정된 소프트웨어에 대한 정보는 Cisco Security Advisory에서 확인할 수 있습니다. Cisco Security Advisory는 다음 링크에서 확인할 수 있습니다. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-iosxe
-
Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대응책을 제공합니다. 관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로 고려하는 것이 좋습니다. 이 문서에서는 이러한 기술에 대한 개요를 제공합니다.
Cisco IOS Software는 다음 방법을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
- IOS 영역 기반 및 사용자 기반 방화벽
- uRPF(유니캐스트 역방향 경로 전달)
- IP 소스 가드(IPSG)
이러한 보호 메커니즘은 이러한 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
uRPF의 올바른 배포 및 구성은 스푸핑된 소스 IP 주소를 사용하는 패킷을 사용하는 공격에 대한 효과적인 보호 방법을 제공합니다. uRPF는 가능한 모든 트래픽 소스에 가깝게 배포해야 합니다.
IPSG의 적절한 구축 및 구성은 액세스 레이어에서 스푸핑 공격을 효과적으로 방어합니다.
다음을 사용하여 Cisco ASA 5500 및 5500-X Series Adaptive Security Appliance, Cisco Catalyst 6500 Series ASASM(ASA Services Module), Cisco Catalyst 6500 Series Switch 및 Cisco 7600 Series Router용 FWSM(Firewall Services Module)에서도 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
- uRPF
- TCP 정규화
이러한 보호 메커니즘은 이러한 취약성을 악용하려는 패킷의 소스 IP 주소를 확인하고 필터링하고 삭제합니다.
TCP 정규화를 사용하는 Cisco ACE Application Control Engine Appliance 및 Module에서도 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다.
이 보호 메커니즘은 취약성 중 하나를 악용하려는 패킷을 필터링하고 삭제합니다.
Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이 취약성을 악용하려는 공격에 대한 가시성과 차단 기능을 제공할 수 있습니다.
-
조직은 이러한 취약성의 잠재적 영향을 판단하기 위해 표준 위험 평가 및 완화 프로세스를 따르는 것이 좋습니다. 분류(Triage)란 성공 가능성이 가장 높은 프로젝트를 분류하고 노력을 우선 순위를 정하는 것을 말한다. Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 될 문서를 제공했습니다. 보안 취약성 알림에 대한 위험 분류 및 위험 분류 및 프로토타이핑은 조직이 반복 가능한 보안 평가 및 대응 프로세스를 개발하는 데 도움이 될 수 있습니다.
-
주의: 모든 완화 기법의 효과는 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무 등 특정 고객 상황에 따라 달라집니다. 모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가합니다.
완화 및 식별에 대한 구체적인 정보를 다음 장치에 사용할 수 있습니다.
Cisco IOS 라우터 및 스위치
Cisco IOS 소프트웨어는 기본적으로 통과 트래픽에 대해 다양한 패킷 검사를 수행합니다. 예를 들어, 패킷의 IP 헤더 정확성을 확인합니다. 능동적으로 트래픽을 처리하는 Cisco IOS 디바이스는 기본적으로 CVE-2015-0645를 악용하려고 시도한 패킷을 식별하고 삭제합니다. 이 취약성을 악용할 수 있는 패킷에 대한 보호는 구성할 수 없는 작업입니다. 이 기능을 활성화하는 데 컨피그레이션 변경이 필요하지 않습니다.완화: IOS 영역 기반 및 사용자 기반 방화벽
Cisco IOS Software Release 12.4(6)T부터 ZFW(Zone-Based Policy Firewall)가 Cisco IOS CBAC(Context-Based Access Control)를 대체했습니다. 방화벽 정책 애플리케이션을 세분화하고, 원하는 트래픽을 허용하기 위해 명시적 정책이 적용될 때까지 방화벽 보안 영역 간의 트래픽을 금지하는 기본 거부 정책을 제공합니다.
Cisco IOS ZFW에서 영역은 네트워크의 보안 경계를 설정합니다. 영역은 트래픽이 네트워크의 다른 영역으로 이동할 때 정책 제한이 적용되는 경계를 정의합니다. 영역 간의 ZFW 기본 정책은 모든 트래픽을 거부하는 것입니다. 명시적으로 구성된 정책이 없으면 영역 간에 이동하려는 모든 트래픽이 차단됩니다. ZFW는 CPL(Cisco Policy Language)이라고 하는 컨피그레이션 정책 언어를 사용합니다. Cisco IOS Software Modular QoS(Quality-of-Service) CLI(MQC)에 익숙한 사용자는 형식이 QoS 컨피그레이션에서 클래스 맵이 사용되는 방식과 비슷하다는 것을 인식하여 정책 맵에 적용된 작업의 영향을 받을 트래픽을 지정할 수 있습니다. Cisco IOS ZFW는 스테이트풀 레이어 4 IPv4 및 IPv6 검사를 지원하며, 애플리케이션별 검사, 스테이트풀 방화벽 장애 조치, 인증 프록시, DoS(Denial of Service) 완화, URL 필터링 등을 제공할 수 있습니다.
Cisco IOS ZFW는 CVE-2015-0639를 악용하려는 패킷을 식별하고 삭제합니다.
컨피그레이션 예는 Cisco Support Community 및 Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic 컨피그레이션 예의 IOS ZBF Set-by-Step Configuration 및 IPv 6 ZFW(Zone -Based Firewall) 컨피그레이션 문서를 참조하십시오. Cisco IOS ZBF에 대한 자세한 내용은 Zone-Based Policy Firewall Design and Application Guide를 참조하십시오.
Cisco IOS Software Releases 12.4(20)T에 도입된 IOS User-Based Firewall 기능은 ID 또는 사용자 그룹 기반 보안을 제공하여 사용자 등급에 따라 차별화된 액세스를 제공할 수 있습니다. 사용자 ID, 디바이스 유형(예: IP 전화), 위치(예: 건물), 역할(예: 엔지니어)을 기준으로 분류를 제공할 수 있습니다.
사용자 기반 방화벽 기능을 활용하여 프로토콜 및 포트에 대한 액세스를 차단하거나 애플리케이션을 필터링하는 Cisco IOS 방화벽 정책을 사용자 또는 사용자 그룹 단위로 구성할 수 있습니다.
Cisco 사용자 기반 방화벽에 대한 자세한 내용은 User Based Firewall Support Guide 및 Feature Information for User-Based Firewall Support 섹션을 참조하십시오.완화: 스푸핑 보호
유니캐스트 역방향 경로 전달
이 문서에 설명된 CVE-2015-0645는 스푸핑된 IP 패킷으로 악용될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF(Unicast Reverse Path Forwarding)를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 네트워크를 통과하는 합법적인 트래픽을 삭제할 수 있으므로 관리자는 이 기능을 구축하는 동안 적절한 uRPF 모드(느슨하거나 엄격함)가 구성되었는지 확인하는 것이 좋습니다. 엔터프라이즈 환경에서는 사용자 지원 레이어 3 인터페이스의 인터넷 에지 및 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
uRPF 구성 및 사용에 대한 자세한 내용은 Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations 백서를 참조하십시오.
IP Source Guard
IPSG(IP source guard)는 DHCP 스누핑 바인딩 데이터베이스 및 수동으로 구성된 IP 소스 바인딩을 기반으로 패킷을 필터링하여 라우팅되지 않은 레이어 2 인터페이스의 IP 트래픽을 제한하는 보안 기능입니다. 관리자는 IPSG를 사용하여 소스 IP 주소 및/또는 MAC 주소를 위조하여 패킷을 스푸핑하려고 시도하는 공격자의 공격을 방지할 수 있습니다. IPSG를 올바르게 구축하고 구성하면 엄격한 모드 uRPF와 결합하여 이 문서에 설명된 CVE-2015-0645에 대한 가장 효과적인 스푸핑 보호 수단을 제공합니다.
IPSG 구축 및 컨피그레이션에 대한 추가 정보는 DHCP 기능 및 IP 소스 가드 구성에 있습니다.
IOS 명령줄 인터페이스를 사용하여 스푸핑 보호의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identifying the Effectiveness of Security Mitigating Using Cisco IOS Software를 참조하십시오.Cisco ASA, Cisco ASASM 및 Cisco FWSM 방화벽
Cisco ASA 소프트웨어는 기본적으로 통과 트래픽에 대해 다양한 패킷 검사를 수행합니다. 예를 들어, 패킷의 IP 헤더 정확성을 확인합니다. 능동적으로 트래픽을 검사하는 Cisco ASA는 기본적으로 CVE-2015-0645를 악용하려고 시도한 패킷을 식별하고 삭제합니다. 이 취약성을 악용할 수 있는 패킷에 대한 보호는 구성할 수 없는 작업입니다. 이 기능을 활성화하는 데 컨피그레이션 변경이 필요하지 않습니다.완화: 유니캐스트 역방향 경로 전달을 사용한 스푸핑 보호
이 문서에 설명된 CVE-2015-0645는 스푸핑된 IP 패킷으로 악용될 수 있습니다. 관리자는 스푸핑에 대한 보호 메커니즘으로 uRPF를 구축하고 구성할 수 있습니다.
uRPF는 인터페이스 레벨에서 구성되며 확인 가능한 소스 IP 주소가 없는 패킷을 탐지하고 삭제할 수 있습니다. 소스 IP 주소에 대한 적절한 반환 경로가 있는 경우 스푸핑된 패킷이 uRPF 지원 인터페이스를 통해 네트워크에 들어갈 수 있으므로 관리자는 uRPF를 사용하여 완벽한 스푸핑 보호를 제공해서는 안 됩니다. 엔터프라이즈 환경에서는 인터넷 에지와 사용자 지원 레이어 3 인터페이스의 내부 액세스 레이어에서 uRPF를 활성화할 수 있습니다.
uRPF의 컨피그레이션 및 사용에 대한 자세한 내용은 ip verify reverse-path에 대한 Cisco Security Appliance Command Reference 및 Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations 백서를 참조하십시오.
방화벽 명령줄 인터페이스를 사용하여 스푸핑 보호의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.완화: TCP 정규화
TCP 정규화 기능은 보안 어플라이언스가 탐지될 때 작동할 수 있는 비정상 패킷을 식별합니다. 예를 들어, 보안 어플라이언스는 패킷을 허용, 삭제 또는 지울 수 있습니다. TCP 노멀라이저에는 구성 불가능한 작업과 구성 가능한 작업이 포함됩니다. 일반적으로 연결을 삭제 또는 지우는 구성 불가능한 작업은 악성으로 간주되는 패킷에 적용됩니다. TCP 정규화는 Cisco ASA 5500 Series Adaptive Security Appliance의 경우 소프트웨어 릴리스 7.0(1)부터, Cisco Catalyst 6500 Series ASA Services Module의 경우 소프트웨어 릴리스 8.5부터, Cisco Firewall Services Module의 경우 소프트웨어 릴리스 3.1(1)부터 사용할 수 있습니다.
TCP 정규화는 기본적으로 활성화되어 있으며 CVE-2015-0639를 악용할 수 있는 패킷을 삭제합니다. 이 취약성을 악용할 수 있는 패킷에 대한 보호는 구성할 수 없는 TCP 정규화 작업입니다. 이 기능을 활성화하는 데 컨피그레이션을 변경할 필요가 없습니다.
TCP 정규화에 대한 추가 정보는 책 2: Cisco ASA Series Firewall CLI 컨피그레이션 가이드, 9.2의 Connection limits and Timeouts 섹션에 있습니다.
방화벽 CLI(Command Line Interface)를 사용하여 TCP 정규화의 효과를 평가하는 방법에 대한 자세한 내용은 Cisco Security Intelligence Operations 백서 Identification of Security Exploits with Cisco ASA, Cisco ASASM 및 Cisco FWSM Firewalls를 참조하십시오.Cisco ACE
완화: TCP 정규화
TCP 정규화는 Cisco ACE가 흐름의 다양한 단계에서 수행하는 일련의 확인으로 구성된 레이어 4 기능으로, 연결이 닫히는 것을 통한 초기 연결 설정부터 시작합니다. 하나 이상의 고급 TCP 연결 설정을 구성하여 많은 세그먼트 검사를 제어하거나 변경할 수 있습니다. Cisco ACE는 이러한 TCP 연결 설정을 사용하여 수행할 검사와 검사 결과에 따라 TCP 세그먼트의 폐기 여부를 결정합니다. Cisco ACE는 비정상이거나 형식이 잘못된 것으로 보이는 세그먼트를 폐기합니다.
TCP 정규화는 기본적으로 활성화되어 있으며 CVE-2015-0639를 악용할 수 있는 패킷을 삭제합니다. 이 취약성을 악용할 수 있는 패킷에 대한 보호는 구성할 수 없는 TCP 정규화 작업입니다. 이 기능을 활성화하는 데 컨피그레이션을 변경할 필요가 없습니다.
TCP 정규화에 대한 자세한 내용은 Security Guide vA5(1.0), Cisco ACE Application Control Engine의 Configuring TCP/IP Normalization and IP Reassembly Parameters 섹션에 있습니다.
Cisco 침입 방지 시스템
완화: Cisco IPS 시그니처 테이블
관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 여러 취약점을 악용하려는 시도를 방지할 수 있습니다. 다음 표에서는 CVE 식별자 및 이 취약성을 악용하려는 잠재적 시도에 대한 이벤트를 트리거할 해당 Cisco IPS 시그니처의 개요를 제공합니다.
CVE ID 시그니처 릴리스 서명 ID 서명 이름 사용 심각도 충실도* CVE-2015-0644 S858 5094/0 Cisco IOS XE Software Denial of Service 예 중간 85
* Fidelity는 SFR(Signature Fidelity Rating)이라고도 하며 사전 정의된 서명의 정확도를 나타내는 상대적 측정값입니다. 값의 범위는 0~100이며 Cisco Systems, Inc.에서 설정합니다.
관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다. 구성된 이벤트 작업은 예방 또는 억제 제어를 수행하여 이전 표에 나열된 취약성을 악용하려는 공격으로부터 보호하도록 합니다.
스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업으로 인해 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.
Cisco IPS 센서는 이벤트 동작의 사용과 결합된 인라인 보호 모드에서 구축될 때 가장 효과적입니다. 인라인 보호 모드에서 구축되는 Automatic Threat Prevention for Cisco IPS 7.x 및 6.x Sensor는 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 방지 기능을 제공합니다. 위협 방지는 riskRatingValue가 90보다 큰 트리거된 서명에 대해 이벤트 작업을 수행하는 기본 재정의를 통해 구현됩니다.
위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급: IPS 정책 관리 간소화를 참조하십시오.
Cisco Security Manager를 사용하여 Cisco IPS 센서의 활동을 보는 방법에 대한 자세한 내용은 Identification of Malicious Traffic Using Cisco Security Manager 백서를 참조하십시오.
-
이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.
-
간단히 표시버전 설명 섹션 날짜 1 최초 릴리스 2015년 3월 25일 16:01(GMT)
-
Cisco 제품의 보안 취약성 보고, 보안 사고에 대한 지원 요청, Cisco의 보안 정보 수신을 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html)에서 확인할 수 있습니다. 여기에는 Cisco 보안 알림과 관련된 언론 문의에 대한 지침이 포함됩니다. 모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.
-
보안 취약성은 다음과 같은 제품 조합에 적용됩니다.
기본 제품 Cisco Cisco IOS XE Software 3.1S(3.1.0S, 3.1.1S, 3.1.2S, 3.1.3S, 3.1.4S, 3.1.5S, 3.1.6S) | 3.2S(3.2.0S, 3.2.1S, 3.2.2S, 3.2.3S) | 3.3S(3.3.0S, 3.3.1S, 3.3.2S) | 3.4S(3.4.0S, 3.4.1S, 3.4.2S, 3.4.3S, 3.4.4S, 3.4.5S, 3.4.6S) | 3.5S(기본, 3.5.0S, 3.5.1S, 3.5.2S) | 3.6S(기본, 3.6.0S, 3.6.1S, 3.6.2S) | 3.7S(기본, 3.7.0S, 3.7.1S, 3.7.2S, 3.7.3S, 3.7.4S, 3.7.5S, 3.7.6S, 3.7.7S) | 3.8S(기본, 3.8.0S, 3.8.1S) | 3.9S(3.9.0S, 3.9.1S) | 3.10S(3.10.0aS)
관련 제품
-
이 문서는 "있는 그대로" 제공되며, 상품성 또는 특정 사용에 대한 적합성의 보증을 포함하여 어떤 종류의 보장 또는 보증도 의미하지 않습니다. 문서 또는 문서에 링크된 자료의 정보를 사용하는 것은 귀하의 책임입니다. CISCO는 언제든지 알림을 변경하거나 업데이트할 수 있는 권리를 보유합니다.
배포 URL을 생략하는 이 문서의 텍스트를 독립 실행형으로 복사하거나 패러프레이즈는 관리되지 않는 복사본이며 중요한 정보가 없거나 사실 오류가 있을 수 있습니다. 이 문서의 정보는 Cisco 제품의 최종 사용자를 대상으로 합니다