Cisco ACE Application Control Engine Module 및 Cisco ACE 4710 Application Control Engine에서 여러 취약점 활용 식별 및 완화

다운로드 옵션

  • PDF     (260.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (96.5 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (97.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2011년 12월 25일
문서 ID:1496358747613257

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

자문 ID:cisco-amb-20100811-ace

http://tools.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20100811-ace

개정 1.1

2010년 8월 11일 16시 00분 UTC(GMT)

목차

Cisco 응답
장치별 완화 및 식별
추가 정보
개정 기록
Cisco 보안 절차
관련 정보

Cisco 응답

이 적용 완화 게시판은 Cisco ACE Application Control Engine Module 및 Cisco ACE 4710 Application Control Engine의 PSIRT Security Advisory Multiple Vulnerabilities에 대한 동반 문서이며 관리자가 Cisco 네트워크 장치에 구축할 수 있는 식별 및 완화 기술을 제공합니다.

취약성 특성

Cisco ACE Application Control Engine Module 및 Cisco ACE 4710 Application Control Engine에는 여러 취약점이 있습니다.이 하위 섹션에서는 다음과 같은 취약성을 요약합니다.

RTSP(Real-Time Streaming Protocol) 검사 서비스 거부 취약성:이 취약성은 인증 없이 그리고 최종 사용자의 상호 작용 없이 원격으로 악용될 수 있습니다.이 취약성을 성공적으로 악용하면 영향을 받는 디바이스가 충돌하여 DoS(서비스 거부) 상태가 될 수 있습니다.이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.익스플로잇을 위한 공격 벡터는 TCP 포트 554를 사용하는 RTSP 패킷을 통해 이루어집니다.

이 취약성에는 CVE 식별자 CVE-2010-2822가 할당되었습니다.

HTTP, RTSP 및 SIP(Session Initiation Protocol) 검사 서비스 거부 취약성:이 취약성은 인증 없이 그리고 최종 사용자의 상호 작용 없이 원격으로 악용될 수 있습니다.이 취약성을 성공적으로 악용하면 영향을 받은 디바이스가 crash하여 DoS 상태가 될 수 있습니다.이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.

익스플로잇을 위한 공격 벡터는 다음 프로토콜 및 포트를 사용하는 패킷을 통해 이루어집니다.

  • TCP 포트 80을 사용하는 HTTP
  • TCP 포트 554를 사용하는 RTSP
  • TCP 포트 5060을 사용하는 SIP

이 취약성에는 CVE 식별자 CVE-2010-2823이 할당되었습니다.

SSL 서비스 거부 취약성:이 취약성은 인증 없이 그리고 최종 사용자의 상호 작용 없이 원격으로 악용될 수 있습니다.이 취약성을 성공적으로 악용하면 영향을 받은 디바이스가 crash하여 DoS 상태가 될 수 있습니다.이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.익스플로잇을 위한 공격 벡터는 TCP 포트 443을 사용하는 SSL 패킷을 통해 이루어집니다.

이 취약성에는 CVE 식별자 CVE-2010-2824가 할당되었습니다.

SIP Inspection Denial of Service 취약성:이 취약성은 인증 없이 그리고 최종 사용자의 상호 작용 없이 원격으로 악용될 수 있습니다.이 취약성을 성공적으로 악용하면 영향을 받은 디바이스가 crash하여 DoS 상태가 될 수 있습니다.이 취약성을 악용하려는 시도가 반복되면 DoS 상태가 지속될 수 있습니다.

익스플로잇을 위한 공격 벡터는 다음 프로토콜 및 포트를 사용하는 패킷을 통해 이루어집니다.

  • TCP 포트 5060을 사용하는 SIP
  • UDP 포트 5060을 사용하는 SIP

공격자는 스푸핑된 패킷을 사용하여 이러한 취약성을 악용할 수 있습니다.

이 취약성에는 CVE 식별자 CVE-2010-2825가 할당되었습니다.

취약하고 영향을 받지 않는 고정 소프트웨어에 대한 정보는 PSIRT 보안 권고(PSIRT Security Advisory)에서 확인할 수 있으며, 이 정보는 다음 링크에서 확인할 수 있습니다.http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100811-ace

완화 기술 개요

Cisco 디바이스는 이러한 취약성에 대한 몇 가지 대책을 제공합니다.관리자는 이러한 보호 방법을 인프라 디바이스 및 네트워크를 이동하는 트래픽에 대한 일반적인 보안 모범 사례로서 고려하는 것이 좋습니다.이 섹션에서는 이러한 기술에 대한 개요를 제공합니다.

Cisco IOS® Software는 iACL(Infrastructure Access Control List)을 사용하여 효과적인 익스플로잇 방지 수단을 제공할 수 있습니다. 이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

효과적인 익스플로잇 방지는 Cisco ASA 5500 Series Adaptive Security Appliance 및 Cisco Catalyst 6500 Series 스위치용 FWSM(Firewall Services Module) 및 tACL(Transit Access Control List)을 사용하는 Cisco 7600 Series 라우터에서도 제공할 수 있습니다. 이 보호 메커니즘은 이러한 취약성을 악용하려는 패킷을 필터링하고 삭제합니다.

Cisco IPS(Intrusion Prevention System) 이벤트 작업을 효과적으로 사용하면 이러한 취약성을 악용하려는 공격에 대한 가시성과 보호를 제공할 수 있습니다.

Cisco IOS NetFlow 레코드는 네트워크 기반 익스플로잇 시도에 대한 가시성을 제공할 수 있습니다.

Cisco IOS Software, Cisco ASA 및 FWSM 방화벽은 show 명령 출력에 표시되는 syslog 메시지 및 카운터 값을 통해 가시성을 제공할 수 있습니다.

Cisco Security MARS(Security Monitoring, Analysis, and Response System) 어플라이언스는 사고, 쿼리 및 이벤트 보고를 통해 가시성을 제공할 수도 있습니다.

위험 관리

조직은 이러한 취약성의 잠재적 영향을 확인하기 위해 표준 위험 평가 및 완화 프로세스를 따라야 합니다.Triage는 프로젝트를 정렬하고 성공할 가능성이 가장 높은 작업의 우선 순위를 지정하는 것을 의미합니다.Cisco는 조직이 정보 보안 팀을 위해 위험 기반 분류 기능을 개발하는 데 도움이 되는 문서를 제공했습니다.보안 취약점 알림위험 분류 및 프로토타입 위한 위험 분류는 조직이 반복 가능한 보안 평가 및 응답 프로세스를 개발하는 데 도움이 됩니다.

장치별 완화 및 식별

caution.gif 주의: 모든 완화 기법의 효율성은 제품 혼합, 네트워크 토폴로지, 트래픽 동작, 조직 임무와 같은 특정 고객 상황에 따라 달라집니다.모든 컨피그레이션 변경과 마찬가지로, 변경 사항을 적용하기 전에 이 컨피그레이션의 영향을 평가하십시오.

차단 및 식별에 대한 구체적인 정보는 다음 디바이스에서 사용할 수 있습니다.

Cisco IOS 라우터 및 스위치

완화:인프라 액세스 제어 목록

인프라 디바이스를 보호하고 직접 인프라 공격의 위험, 영향 및 효율성을 최소화하기 위해 관리자는 iACL을 구축하여 인프라 장비에 전송되는 트래픽의 정책 시행을 수행하는 것이 좋습니다.관리자는 기존 보안 정책 및 컨피그레이션에 따라 인프라 디바이스로 전송되는 인증된 트래픽만 명시적으로 허용하여 iACL을 구성할 수 있습니다.인프라 디바이스를 최대한 보호하려면 구축된 iACL을 IP 주소가 구성된 모든 인터페이스의 인그레스 방향으로 적용해야 합니다.iACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작된 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

iACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 443의 무단 SSL 패킷을 거부합니다.다음 예에서 192.168.60.0/24은 영향을 받는 디바이스에서 사용하는 IP 주소 공간이며 192.168.100.1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다.모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하려면 주의해야 합니다.가능한 경우 인프라 주소 공간은 사용자 및 서비스 세그먼트에 사용되는 주소 공간과 구분되어야 합니다.이 주소 지정 방법론을 사용하면 iACL의 구축 및 구축에 도움이 됩니다.

iACL에 대한 추가 정보는 코어 보호입니다.인프라 보호 액세스 제어 목록.

 ip access-list extended Infrastructure-ACL-Policy
 
 ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable port !

  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443

 ! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks !

  deny tcp any 192.168.60.0 0.0.0.255 eq 443

 ! !-- Explicit deny ACE for traffic sent to addresses configured within !-- the infrastructure address space !

  deny ip any 192.168.60.0 0.0.0.255
  
 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Apply iACL to interfaces in the ingress direction !

interface GigabitEthernet0/0
 ip access-group Infrastructure-ACL-Policy in

인터페이스 액세스 목록을 사용하여 필터링하면 필터링된 트래픽의 소스로 ICMP 연결 불가 메시지를 다시 전송할 수 있습니다.이러한 메시지를 생성하면 디바이스의 CPU 사용률이 증가할 수 있습니다.Cisco IOS Software에서 ICMP 연결 불가 생성은 기본적으로 500밀리초마다 하나의 패킷으로 제한됩니다.인터페이스 컨피그레이션 명령 no ip unreachables를 사용하여 ICMP 연결 불가능 메시지 생성을 비활성화할 수 있습니다.전역 구성 명령 ip icmp rate-limit unreachable interval-in-ms를 사용하여 ICMP 도달 불가 속도 제한 기본값에서 변경할 수 있습니다.

식별:인프라 액세스 제어 목록

관리자가 인터페이스에 iACL을 적용한 후 show ip access-lists 명령은 iACL이 적용되는 인터페이스에서 필터링된 TCP 포트 443의 SSL 패킷 수를 식별합니다.관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인해야 합니다.show ip access-lists Infrastructure-ACL-Policy의 출력 예는 다음과 같습니다.

router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
    20 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (3713 matches)
    30 deny ip any 192.168.60.0 0.0.0.255
router#

앞의 예에서 액세스 목록 Infrastructure ACL-Policy는 TCP 포트 443(https)에서 ACE(액세스 제어 목록 항목) 라인 20에 대해 3713 SSL 패킷을 삭제했습니다.

ACE 카운터 및 syslog 이벤트를 사용하여 사고를 조사하는 방법에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence 백서를 참조하십시오.

관리자는 Cisco Embedded Event Manager를 사용하여 특정 조건이 충족될 때(예: ACE 카운터 적중) 계측 기능을 제공할 수 있습니다.보안 컨텍스트의 Applied Intelligence 백서 Embedded Event Manager는 이 기능을 사용하는 방법에 대한 추가 세부 정보를 제공합니다.

식별:액세스 목록 로깅

loglog-input access control list (ACL) 옵션은 특정 ACE와 일치하는 패킷을 로깅합니다.log-input 옵션은 패킷 소스와 대상 IP 주소 및 포트 외에 인그레스 인터페이스의 로깅을 활성화합니다.

주의:액세스 제어 목록 로깅은 CPU를 매우 많이 사용할 수 있으므로 매우 주의해야 합니다.ACL 로깅의 CPU 영향을 촉진하는 요인은 로그 생성, 로그 전송, 로그 지원 ACE와 일치하는 패킷을 전달하는 프로세스 스위칭입니다.

Cisco IOS Software의 경우 ip access-list logging interval-in-ms 명령은 ACL 로깅에 의해 발생하는 프로세스 스위칭의 영향을 제한할 수 있습니다.logging rate-limit rate-per-second [except loglevel] 명령은 로그 생성 및 전송의 영향을 제한합니다.

ACL 로깅의 CPU 영향을 Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터와 Supervisor Engine 720 또는 Supervisor Engine 32의 하드웨어에서 해결할 수 있으며 최적화된 ACL 로깅을 사용합니다.

ACL 로깅 구성 및 사용에 대한 자세한 내용은 Understanding Access Control List Logging Applied Intelligence 백서를 참조하십시오.

Cisco IOS NetFlow

식별:NetFlow 레코드를 사용한 트래픽 흐름 식별

관리자는 Cisco IOS 라우터 및 스위치에 Cisco IOS NetFlow를 구성하여 이러한 취약성을 악용하려는 시도가 될 수 있는 트래픽 흐름을 식별할 수 있습니다.관리자는 이러한 취약성을 악용하려는 시도인지 또는 합법적인 트래픽 흐름인지 확인하기 위해 흐름을 조사하는 것이 좋습니다.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.203  Gi0/1         192.168.60.103  06 0986 01BB    37
Gi0/0         192.168.11.56   Gi0/1         192.168.60.178  06 0911 01BB    13
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    11 0016 01BB     1
Gi0/0         192.168.23.97   Gi0/1         192.168.60.18   06 0B3E 01BB     5
Gi0/0         192.168.12.12   Gi0/1         192.168.60.91   06 0B89 01BB     3
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 0BD7 01BB    11
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1
router#

앞의 예에서는 TCP 포트 443(16진수 값 01BB)SSL에 대한 여러 흐름이 있습니다.

TCP 포트 443(16진수 값 01BB)의 SSL 패킷에 대한 트래픽 흐름만 보려면 show ip cache flow 명령을 사용합니다. | include SrcIf|_06_.*01BB는 다음과 같이 관련 TCP NetFlow 레코드를 표시합니다.

router#show ip cache flow | include SrcIf|_06_.*01BB
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.203  Gi0/1         192.168.60.103  06 0986 01BB    37
Gi0/0         192.168.11.56   Gi0/1         192.168.60.178  06 0911 01BB    13
Gi0/0         192.168.23.97   Gi0/1         192.168.60.18   06 0B3E 01BB     5
Gi0/0         192.168.12.12   Gi0/1         192.168.60.91   06 0B89 01BB     3
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 0BD7 01BB    11
router#

Cisco ASA 및 FWSM 방화벽

완화:전송 액세스 제어 목록

인터넷 연결 지점, 파트너 및 공급자 연결 지점 또는 VPN 연결 지점이 포함될 수 있는 인그레스 액세스 포인트에서 네트워크로 들어오는 트래픽으로부터 네트워크를 보호하려면 관리자가 정책 시행을 수행하기 위해 tACL을 구축하는 것이 좋습니다.관리자는 인증된 트래픽만 인그레스 액세스 포인트에서 네트워크에 들어가도록 명시적으로 허용하거나 기존 보안 정책 및 컨피그레이션에 따라 인증된 트래픽이 네트워크를 통과하도록 허용하여 tACL을 구성할 수 있습니다.tACL 해결 방법은 공격이 신뢰할 수 있는 소스 주소에서 시작된 경우 이러한 취약성에 대한 완벽한 보호를 제공할 수 없습니다.

tACL 정책은 영향을 받는 디바이스로 전송되는 TCP 포트 443의 무단 SSL 패킷을 거부합니다.다음 예에서 192.168.60.0/24은 영향을 받는 디바이스에서 사용하는 IP 주소 공간이며 192.168.100.1의 호스트는 영향을 받는 디바이스에 액세스해야 하는 신뢰할 수 있는 소스로 간주됩니다.모든 무단 트래픽을 거부하기 전에 라우팅 및 관리 액세스에 필요한 트래픽을 허용하려면 주의해야 합니다.

tACL에 대한 추가 정보는 전송 액세스 제어 목록에 있습니다.에지에서 필터링.


! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable port !

access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 443

! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks !

access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 443

! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !

access-list tACL-Policy extended deny ip any any

! !-- Apply tACL to interface(s) in the ingress direction !

access-group tACL-Policy in interface outside

식별:전송 액세스 제어 목록

tACL이 인터페이스에 적용된 후 관리자는 show access-list 명령을 사용하여 필터링된 TCP 포트 443의 SSL 패킷 수를 식별할 수 있습니다.관리자는 필터링된 패킷을 조사하여 이러한 취약성을 악용하려는 시도인지 확인하는 것이 좋습니다.show access-list tACL-Policy의 출력 예는 다음과 같습니다.

firewall#show access-list tACL-Policy
access-list tACL-Policy; 3 elements
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq https (hitcnt=3713)
access-list tACL-Policy line 2 extended deny tcp any 
     192.168.60.0 255.255.255.0 eq https (hitcnt=221)
access-list tACL-Policy line 3 extended deny ip any any (hitcnt=8)
firewall#

앞의 예에서 액세스 목록 tACL-Policy는 신뢰할 수 없는 호스트 또는 네트워크에서 받은 TCP 포트 443(https) SSL 패킷 221개를 삭제했습니다.또한 syslog 메시지 106023은 소스 및 목적지 IP 주소, 소스 및 목적지 포트 번호, 거부된 패킷에 대한 IP 프로토콜을 포함하는 중요한 정보를 제공할 수 있습니다.

식별:방화벽 액세스 목록 Syslog 메시지

log 키워드가 없는 ACE(Access Control Entry)에 의해 거부된 패킷에 대해 방화벽 syslog 메시지 106023이 생성됩니다.이 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series 시스템 로그 메시지, 8.2 - 106023에 있습니다.

Cisco ASA 5500 Series Adaptive Security Appliance에 대한 syslog 구성에 대한 정보는 모니터링 - 로깅 구성에 있습니다.Cisco Catalyst 6500 Series 스위치 및 Cisco 7600 Series 라우터용 FWSM에서 syslog를 구성하는 방법에 대한 정보는 Monitoring the Firewall Services Module에 있습니다.

다음 예에서는 show logging | grep regex 명령은 방화벽의 로깅 버퍼에서 syslog 메시지를 추출합니다.이러한 메시지는 이 문서에 설명된 취약성을 악용하려는 시도를 나타낼 수 있는 거부된 패킷에 대한 추가 정보를 제공합니다.grep 키워드와 함께 서로 다른 정규식을 사용하여 로깅된 메시지의 특정 데이터를 검색할 수 있습니다.

정규식 구문에 대한 추가 정보는 정규식 만들기에 있습니다.

firewall#show logging | grep 106023
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/443 by access-group "tACL-Policy"
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 
         dst inside:192.168.60.33/443 by access-group "tACL-Policy"
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 
         dst inside:192.168.60.240/443 by access-group "tACL-Policy"
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 
         dst inside:192.168.60.115/443 by access-group "tACL-Policy"
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2949 
         dst inside:192.168.60.38/443 by access-group "tACL-Policy"
  Aug 11 2010 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950 
         dst inside:192.168.60.250/443 by access-group "tACL-Policy"
firewall#

앞의 예에서 tACL tACL-Policy에 대해 로깅된 메시지는 TCP 포트 443(https)에 영향을 받는 디바이스에 할당된 주소 블록으로 전송된 SSL 패킷을 보여줍니다.

ASA 보안 어플라이언스용 syslog 메시지에 대한 추가 정보는 Cisco ASA 5500 Series 시스템 로그 메시지 8.2에 있습니다. FWSM용 syslog 메시지에 대한 추가 정보는 Catalyst 6500 Series 스위치 및 Cisco 7600 Series Router Firewall Services Module 로깅 시스템 로그 메시지에 있습니다.

syslog 이벤트를 사용하여 사고를 조사하는 방법에 대한 자세한 내용은 Identifying Incidents Using Firewall and IOS Router Syslog Events Applied Intelligence 백서를 참조하십시오.

Cisco 침입 방지 시스템

완화:Cisco IPS 시그니처 이벤트 작업

관리자는 Cisco IPS 어플라이언스 및 서비스 모듈을 사용하여 위협 탐지를 제공하고 이 문서에 설명된 취약성을 악용하려는 시도를 방지할 수 있습니다.이러한 취약성은 다음 서명에 의해 탐지될 수 있습니다.

  • 27359/0 - RTSP 검사 취약성
  • 27599/0 - Cisco ACE SIP 검사 DoS

27359/0 - 실시간 스트리밍 프로토콜 검사 취약성

Cisco IPS 버전 6.x 이상을 실행하는 센서용 서명 업데이트 S507부터 이 취약성은 서명 27359/0(서명 이름:실시간 스트리밍 프로토콜 검사 취약성). Signature 27359/0은 기본적으로 활성화되며, High 심각도 이벤트를 트리거하고, SFR(Signature Fidelity Rating)을 90으로 설정하며, produce-alert의 기본 이벤트 작업으로 구성됩니다.

시그니처 27359/0은 Cisco 식별자 CSCta85227에 설명된 대로 취약성을 악용하려는 특정 시도가 탐지되면 발생합니다.이 서명을 실행하면 이 취약성의 잠재적 익스플로잇이 나타날 수 있습니다.

27599/0 - Cisco ACE SIP 검사 DoS

Cisco IPS 버전 6.x 이상을 실행하는 센서용 서명 업데이트 S507부터 이 취약성은 서명 27599/0(서명 이름:Cisco ACE SIP Inspection DoS). Signature 27599/0은 기본적으로 활성화되며, Medium 심각도 이벤트를 트리거하고, SFR(Signature Fidelity Rating)을 85로 설정하며, produce-alert의 기본 이벤트 작업으로 구성됩니다.

시그니처 27599/0은 Cisco 식별자 CSCta65603 및 CSCta71569에 의해 문서화된 취약성을 악용하려는 특정 시도가 탐지되면 발생합니다.이 서명을 실행하면 이 취약성의 잠재적 익스플로잇이 나타날 수 있습니다.

관리자는 공격이 탐지될 때 이벤트 작업을 수행하도록 Cisco IPS 센서를 구성할 수 있습니다.구성된 이벤트 작업은 이 문서에 설명된 취약성을 악용하려는 공격으로부터 보호하기 위해 예방 또는 억제 제어를 수행합니다.

스푸핑된 IP 주소를 사용하는 익스플로잇은 구성된 이벤트 작업이 신뢰할 수 있는 소스의 트래픽을 실수로 거부할 수 있습니다.

Cisco IPS 센서는 이벤트 작업 사용과 함께 인라인 보호 모드로 구축할 때 가장 효과적입니다.Automatic Threat Prevention for Cisco IPS 6.x 이상 센서가 인라인 보호 모드로 구축되면 이 문서에 설명된 취약성을 악용하려는 공격에 대한 위협 차단이 제공됩니다.위협 방지는 트리거된 시그니처에 대해 이벤트 작업을 수행하는 기본 재정의에서 90보다 큰 riskRatingValue를 통해 수행됩니다.

위험 등급 및 위협 등급 계산에 대한 자세한 내용은 위험 등급 및 위협 등급을 참조하십시오.IPS 정책 관리를 간소화합니다.

Cisco 보안 모니터링, 분석 및 대응 시스템

식별:Cisco Security Monitoring, Analysis 및 Response System Incidents

Cisco Security Monitoring, Analysis, and Response System(Cisco Security MARS) 어플라이언스는 IPS 서명 27359/0(서명 이름:실시간 스트리밍 프로토콜 검사 취약성) 및 27599/0(서명 이름:Cisco ACE SIP Inspection DoS). S507 동적 시그니처 업데이트가 다운로드된 후 IPS 시그니처 27359/0 키워드에 NR-27359/0 또는 IPS 시그니처 2759/0에 NR-27599/0을 사용하고 쿼리 유형인 모든 일치하는 이벤트 Raw Message를Cisco 보안 어플라이언스에서 MARS IPS 서명으로 생성된 인시던트를 나열하는 보고서를 제공합니다.

Cisco Security MARS 어플라이언스의 4.3.1 및 5.3.1 릴리스부터 Cisco IPS 동적 서명 업데이트 기능이 추가되었습니다.이 기능은 Cisco.com 또는 로컬 웹 서버에서 새 시그니처를 다운로드하고, 해당 시그니처와 일치하는 수신 이벤트를 올바르게 처리하고 분류하며, 검사 규칙 및 보고서에 포함합니다.이러한 업데이트는 이벤트 정규화 및 이벤트 그룹 매핑을 제공하며, MARS 어플라이언스가 IPS 디바이스의 새 서명을 구문 분석할 수 있도록 합니다.

caution.gif 주의:  동적 서명 업데이트가 구성되지 않은 경우 이러한 새 시그니처와 일치하는 이벤트는 쿼리 및 보고서에서 알 수 없는 이벤트 유형으로 나타납니다.MARS는 이러한 이벤트를 검사 규칙에 포함하지 않으므로 네트워크 내에서 발생할 수 있는 위협 또는 공격에 대해서는 인시던트가 생성되지 않을 수 있습니다.

기본적으로 이 기능은 활성화되어 있지만 컨피그레이션이 필요합니다.구성되지 않은 경우 이 Cisco Security MARS 규칙이 트리거됩니다.

System Rule: CS-MARS IPS Signature Update Failure

이 기능을 활성화하고 구성할 경우 관리자는 Help > About(정보)을 선택하여 MARS에서 다운로드한 현재 서명 버전을 확인할 수 있습니다.

동적 시그니처 업데이트에 대한 추가 정보 및 동적 시그니처 업데이트 구성 지침은 Cisco Security MARS 4.3.15.3.1 릴리스에서 사용할 수 있습니다.

추가 정보

이 문서는 "있는 그대로" 제공되며 상품성 또는 특정 용도에 대한 적합성에 대한 보증을 포함하여 어떠한 종류의 보증이나 보증도 의미하지 않습니다.문서 또는 문서에서 링크된 자료에 대한 정보를 사용하는 것은 사용자의 책임입니다.CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE THIS DOCUMENT AT ANY TIME.

개정 기록

개정 1.1

2010년 8월 11일

IPS 서명 28301/0에 대한 참조를 제거했습니다.

개정 1.0

2010년 8월 11일

초기 공개 릴리스.

Cisco 보안 절차

Cisco 제품의 보안 취약점 보고, 보안 사고 지원, Cisco로부터 보안 정보를 받기 위한 등록 등에 대한 자세한 내용은 Cisco의 전 세계 웹 사이트(http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html)을 참조하십시오.여기에는 Cisco 보안 알림에 대한 언론 문의 지침이 포함됩니다.모든 Cisco 보안 권고 사항은 http://www.cisco.com/go/psirt에서 확인할 수 있습니다.

관련 정보