Bijgewerkt:13 september 2012

Document-id:1470489910950157

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Cisco-bulletin over toegepaste beperking

Identificatie en beperking van benutting van de kwetsbaarheid voor Cisco ASA-CX en Cisco PRSM-logbehoud en -ontkenning van services

Doc ID:

26840

Voor het eerst gepubliceerd:

20 september 12 16:00 GMT

Laatst bijgewerkt:

20 september 13 16:08 GMT

Versie:

CVE-2012-4629

Cisco Response

Dit Toegepaste Matiging Bulletin is een begeleidend document bij de PSIRT Security Advisory Cisco ASA-CX en Cisco PRSM Log Retention Denial of Service Vulnerability en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

Cisco ASA CX Context-Aware Security applicatie en Cisco Prime Security Manager (PRSM) bevatten een Denial of Service (DoS) kwetsbaarheid in versies voorafgaand aan 9.0.2-103. Een succesvolle benutting van deze kwetsbaarheid op Cisco ASA-CX kan ertoe leiden dat het apparaat stopt met de verwerking van gebruikersverkeer en beheertoegang tot Cisco ASA-CX verhindert. Een succesvolle benutting van deze kwetsbaarheid op Cisco PRSM kan ertoe leiden dat de software niet reageert en niet beschikbaar is.

De kwetsbaarheid is gedocumenteerd in Cisco bug-id CSCub70603 (alleen geregistreerde klanten) voor Cisco ASA-CX Context-Aware Security Manager en Cisco Prime Security Manager en is toegewezen aan Common Vulnerabilities and Exposations (CVE) ID CVE-2012-4629.

Overzicht van kwetsbaarheden

Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120905-asacx.

Overzicht Mitigation Technique

Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van infrastructuurtoegangscontrolelijsten (iACL’s). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.

Er kan ook worden gezorgd voor effectieve explosiepreventie door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, wanneer een ASA zonder de CX-servicesmodule een ASA CX met een servicesmodule beschermt.

Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

Risicobeheer

Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

Cisco IOS-routers en -Switches
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

Cisco IOS-routers en -Switches

Beperking: toegangscontrolelijsten voor infrastructuur

Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen tot een minimum te beperken, wordt beheerders aangeraden om toegangscontrolelijsten voor de infrastructuur (iACL’s) te implementeren om beleidshandhaving van verkeer dat naar infrastructuurapparatuur wordt verzonden uit te voeren. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het onderstaande iACL-beleid ontkent onbevoegde IPv4- en IPv6-pakketten op TCP-poorten 22, TCP-443, UDP-poort 3799 en ICMP-echoverzoeken die worden verzonden naar getroffen ASA-CX-beheerinterfaces, en daarnaast TCP-poortbeheerinterfaces 446 en UDP-poort 514 die worden verzonden naar getroffen PRSM-serverbeheerinterfaces. In het volgende voorbeeld, 192.168.60.0/24 is het netwerk waar de ASA-CX beheersinterface verblijft, 192.168.60.6/32 is de PRSM-server beheersinterface. 2001:DB8:1:60::/64 vertegenwoordigt de IPv6-adresruimte die wordt gebruikt door de betrokken ASA-CX-beheerinterface en PRSM-serverbeheerinterface, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als betrouwbare bronnen die toegang tot de betrokken apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.

Aanvullende informatie over iACL’s is te vinden in Protected Your Core: Infrastructure Protection Access Control Lists.

ip access-list extended Infrastructure-ACL-Policy
!
!-- Include explicit permit statements for trusted sources
!-- that require access to the management port on the ASA-CX
!
permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799
permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8
!
!-- Include additional permit statements for trusted sources
!-- that require access on the PRSM server
!
permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466
permit udp host 192.168.100.1 host 192.168.60.6 eq 514
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
deny tcp any 192.168.60.0 0.0.0.255 eq 22
deny tcp any 192.168.60.0 0.0.0.255 eq 443
deny udp any 192.168.60.0 0.0.0.255 eq 3799
deny icmp any 192.168.60.0 0.0.0.255 8
deny tcp any host 192.168.60.6 eq 4466
deny udp any host 192.168.60.6 eq 514
!
!-- Explicit deny ACE for traffic sent to addresses configured within
!-- the infrastructure address space
!
deny ip any 192.168.60.0 0.0.0.255  
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!
!-- Create the corresponding IPv6 tACL
!
ipv6  access-list IPv6-Infrastructure-ACL-Policy
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable protocol and port
!
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799
permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514
permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks to global and
!-- link-local addresses
!
deny tcp any 2001:DB8:1:60::/64 eq 22
deny tcp any 2001:DB8:1:60::/64 eq 443
deny tcp any 2001:DB8:1:60::/64 eq 4466
deny udp any 2001:DB8:1:60::/64 eq 3799
deny udp any 2001:DB8:1:60::/64 eq 514
!
!-- Permit other required traffic to the infrastructure address
!-- range and allow IPv6 neighbor discovery packets, which
!-- include neighbor solicitation packets and neighbor
!-- advertisement packets
!
permit icmp any any nd-ns
permit icmp any any nd-na
! 
!-- Explicit deny for all other IPv6 traffic to the global
!-- infrastructure address range
!
deny ipv6 any 2001:DB8:1:60::/64
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic
!-- in accordance with existing security policies and configurations
!
!
!-- Apply tACLs to interfaces in the ingress direction
!
interface GigabitEthernet0/0
ip access-group Infrastructure-ACL-Policy in
ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp fout-interval interval-in-ms.

Identificatie: Toegangscontrolelijsten voor infrastructuur

Nadat de beheerder iACL op een interface heeft toegepast, zullen de IP-toegangslijsten en de opdrachten voor IPv6-toegangslijst tonen het aantal IPv4- en IPv6-pakketten identificeren die zijn gefilterd op interfaces waarop iACL is toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten infrastructuur-ACL-Beleid en toont ipv6 toegang-lijst IPv6-infrastructuur-ACL-Beleid volgt:

router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 (60 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443 (38 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799 (47 matches)
    40 permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8 (60 matches)
    50 permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466 (45 matches)
    60 permit udp host 192.168.100.1 host 192.168.60.6 eq 514 (46 matches)
    70 deny tcp any 192.168.60.0 0.0.0.255 eq 22 (9 matches)
    80 deny tcp any 192.168.60.0 0.0.0.255 eq 443 (27 matches)
    90 deny udp any 192.168.60.0 0.0.0.255 eq 3799(13 matches)
    100 deny icmp any 192.168.60.0 0.0.0.255 8 (55 matches)
    110 deny tcp any host 192.168.60.6 eq 4466(11 matches)
    120 deny udp any host 192.168.60.6 eq 514 (12 matches)
    130 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
router#

In het vorige voorbeeld is de toegangslijst Infrastructuur-ACL-Beleid gedaald

9 SSH-pakketten op TCP-poort 22 voor ACE-lijn (Access Control List Entry) 70.
27 HTTPS-pakketten op TCP-poort 443 voor regel 80 van de toegangscontrolelijst (ACE).
13 pakketten op UDP-poort 3799 voor lijn 90 van de toegangscontrolelijst (ACE).
5 ICMP-pakketten voor regel 100 van de toegangscontrolelijst (ACE).
1 TCP-pakketten op TCP-poort 4466 voor regel 110 van de toegangscontrolelijst (ACE).
12 SYSLOG-pakketten op UDP-poort 514 voor lijn 120 van de toegangscontrolelijst (ACE).

router#show ipv6 access-list IPv6-Infrastructure-ACL-Policy 
IPv6 access list IPv6-Infrastructure-ACL-Policy
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 (71 matches) sequence 10
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443 (71 matches) sequence 20
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466 (71 matches) sequence 30
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799 (71 matches) sequence 40
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514 (71 matches) sequence 50
    permit icmp6 any 2001:DB8:1:60::/64 (71 matches) sequence 60
    deny tcp any 2001:DB8:1:60::/64 eq 22 (9 matches) sequence 70
    deny tcp any 2001:DB8:1:60::/64 eq 443 (27 matches) sequence 80
    deny tcp any 2001:DB8:1:60::/64 eq 4466 (13 matches) sequence 90
    deny udp any 2001:DB8:1:60::/64 eq 3799 (55 matches) sequence 100
    deny udp any 2001:DB8:1:60::/64 eq 514 (12 matches) sequence 101
    permit icmp any any nd-ns (80 matches) sequence 102
    permit icmp any any nd-na (80 matches) sequence 103
    deny ipv6 any 2001:DB8:1:60::/64 (5 matches) sequence 104

In het vorige voorbeeld is de toegangslijst IPv6-Infrastructuur-ACL-Policy gedaald

9 SSH-pakketten op TCP-poort 22 voor ACE-lijn 70 (Access Control List Entry).
27 HTTPS-pakketten op TCP-poort 443 voor regel 80 van de toegangscontrolelijst (ACE).
13 pakketten op TCP-poort 4466 voor lijn 90 van de toegangscontrolelijst (ACE).
55 TCP-pakketten op UDP-poort 3799 voor regel 100 van de toegangscontrolelijst (ACE).
12 SYSLOG-pakketten op UDP-poort 514 voor lijn 101 van de toegangscontrolelijst (ACE).

Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het Witboek Cisco Security Identifying Incidents Use Firewall en IOS Router Syslog Events.

Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.

Cisco IOS NetFlow en Cisco IOS flexibele NetFlow

Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow

Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om deze kwetsbaarheid te exploiteren. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheid te exploiteren of dat ze legitieme verkeersstromen zijn.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  01 0984 0800     9
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  01 0911 0000     4
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 01BB     1
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 0ED7     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 0016     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1
router#

In het vorige voorbeeld zijn er meerdere stromen voor SSH op TCP-poort 22 (hex-waarde 0016), HTTPS op TCP-poort 443(hex-waarde 01BB), UDP-poort 3799(hex-waarde 0ED7) evenals ICMP-echoverzoeken en echoantwoorden (hex-waarden 0800 en 0000) respectievelijk.

Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 0016) en de TCP-poort 4466-pakketten (hex-waarde 1172) te bekijken, gebruikt u de cachestroom van ip | neem SrcIf|_06_.*(0016|1172)_opdracht op om de verwante Cisco NetFlow-records weer te geven:

TCP-stromen

router#show ip cache flow | include SrcIf|_06_.*(0016|1172)
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 0016     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 0016     3
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 1172     1
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 0911 1172     3
router#

Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow

Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden geprobeerd te profiteren van de kwetsbaarheid die in dit document wordt beschreven. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheid te exploiteren of dat ze legitieme verkeersstromen zijn.

De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.

router#show ipv6 flow cache

IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added>
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Go0/1    0x06 0x16C4 0x0016 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x11 0x0000 0x0ED7 1168
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0016 1597
2001:DB...06::201 Gi0/0    2001:DB...28::20 Go0/1    0x06 0x16C4 0x1172 1466
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155

Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

In het vorige voorbeeld zijn er meerdere IPv6-stromen voor SSH op TCP-poort 22 (hex-waarde 0016), UDP-poort 3799 (hex-waarde 0ED7), TCP op poort 4466 (hex-waarde 1172) .

Zoals in het volgende voorbeeld wordt getoond, om alleen de SSH-pakketten op TCP-poort 22 (hex-waarde 0016) te bekijken, gebruikt u het cachegeheugen van de show ipv6 flow | inclusief SrcIf|_06_.*0016_ opdracht om de verwante Cisco NetFlow-records weer te geven:

TCP-stromen

router#show ipv6 flow cache | include SrcIf|_06_.*0016_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x16C4 0x0016 1464 
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x0016 1597
router#

Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow

Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.

De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input

De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR  ipv4 dst addr  trns src port  trns dst port  intf input intf output pkts  ip prot
============== ============== =============  =============  ========== =========== ===== =======
192.168.10.201 192.168.60.102          1456             22       Gi0/0       Gi0/1 10128 6
192.168.10.201 192.168.60.102          1316            443       Gi0/0       Gi0/1 1898  6
192.168.10.201 192.168.60.102          1456           4466       Gi0/0       Gi0/1 1128  6
192.168.10.17  192.168.60.97           4231            514       Gi0/0       Gi0/1 14606 17
192.168.10.17  192.168.60.97           4231           3799       Gi0/0       Gi0/1 10223 17
10.88.226.1    192.168.202.22          2678             53       Gi0/0       Gi0/1 10567 17  
10.89.16.226   192.168.150.60          3562             80       Gi0/0       Gi0/1 30012 6

Als u alleen de SSH-pakketten op TCP-poort 2 wilt weergeven, gebruikt u de tabel met de cacheindeling van de Show Flow Monitor FLOW-MONITOR-ipv4 | IPV4 DST ADDR |_22_.*_6_ opdracht om de gerelateerde NetFlow-records weer te geven.

Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15.1M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.

Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow

De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software wordt uitgevoerd in de 15.1T-trein . Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-bronadres, zoals gedefinieerd door de IPv6-bronadres overeenkomen belangrijke veldverklaring. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv6
 match ipv6 source address
 collect ipv6 protocol
 collect ipv6 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv6
 record FLOW-RECORD-ipv6
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
  ipv6 flow monitor FLOW-MONITOR-ipv6 input

De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                2

  Flows added:                                   539
  Flows aged:                                    532
    - Active timeout      (  1800 secs)          350
    - Inactive timeout    (    15 secs)          182
    - Event aged                                   0
    - Watermark aged                               0
    - Emergency aged                               0

IPV6 SRC ADDR     ipv6 dst addr    trns src port trns dst port intf input intf output pkts ip prot
================= ================ ============= ============= ========== =========== ==== =======
2001:DB...06::201 2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
2001:DB...06::201 2001:DB...28::20          1265            22      Gi0/0       Gi0/0 1237       6
2001:DB...06::201 2001:DB...28::20          1890           443      Gi0/0       Gi0/0 5009       6
2001:DB...06::201 2001:DB...28::20          1043          4466      Gi0/0       Gi0/0  501       6
2001:DB...06::201 2001:DB...28::20          2044          3799      Gi0/0       Gi0/0 4522      17
2001:DB...06::201 2001:DB...28::20          2856           514      Gi0/0       Gi0/0  486      17

Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

Als u alleen de SSH-pakketten op TCP-poort 2 wilt weergeven, gebruikt u de tabel met het cacheformaat FLOW-MONITOR-ipv6 van de showflow-monitor | de opdracht IPV6 DST ADR.|_22_.*_6_ te omvatten om de verwante Cisco IOS flexibele NetFlow-records weer te geven.

Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

Beperking: toegangscontrolelijsten voor douanevervoer

Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het tACL-beleid ontkent onbevoegde SSH pakketten op TCP-poorten 22, TCP-443, UDP-poort 3799 en ICMP-echoverzoeken die worden verzonden naar getroffen ASA-CX-beheerinterfaces, en daarnaast TCP-poortbeheerinterfaces 446 en UDP-poort514 die worden verzonden naar getroffen PRSM-serverbeheerinterfaces. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.

! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocol and port !
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22
access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 443
access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3799
access-list tACL-Policy extended permit icmp host 192.168.100.1 192.168.60.0 0.0.0.255 8
access-list tACL-Policy extended permit tcp host 192.168.100.1 host 192.168.60.6 eq 4466
access-list tACL-Policy extended permit udp host 192.168.100.1 host 192.168.60.6 eq 514
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 22
access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 443
access-list tACL-Policy extended deny udp any 192.168.60.0 0.0.0.255 eq 3799
access-list tACL-Policy extended deny tcp any host 192.168.60.6 eq 4466
access-list tACL-Policy extended deny udp any host 192.168.60.6 eq 514
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations

access-list tACL-Policy extended permit icmp any any nd-ns
access-list tACL-Policy extended permit icmp any any nd-na
! !-- Explicit deny for all other IP traffic !
access-list tACL-Policy extended deny ip any any
access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

!
!-- Create the corresponding IPv6 tACL
!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable protocols and ports
!
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 443
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 4466
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3799
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 514
ipv6 access-list IPv6-tACL-Policy permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 22
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 443
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 4466
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 3799
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 514
!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!

ipv6 access-list IPv6-tACL-Policy permit icmp any any nd-ns
ipv6 access-list IPv6-tACL-Policy permit icmp any any nd-na
!-- Explicit deny for all other IP traffic
!
ipv6 access-list IPv6-tACL-Policy deny ip any any
!
!--

Identificatie: Toegangscontrolelijsten voor douanevervoer

Nadat tACL is toegepast op een interface, kunnen beheerders de show access-list opdracht gebruiken om het aantal SSH-pakketten te identificeren die zijn verzonden naar TCP-poort 22, TCP 443, UDP-poort 3799 en ICMP-echoverzoeken die zijn verzonden naar de betreffende ASA-CX-beheerinterfaces, en daarnaast TCP-poort 446 en UDP-poort 514-verzoeken die zijn verzonden naar de betreffende PRSM-serverbeheerinterfaces die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegangslijst tACL-Policy en toont toegangslijst IPv6-tACL-Policy volgt:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 14 elements; name hash: 0x3452703d
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq ssh (hitcnt=31)
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq https (hitcnt=13) 
access-list tACL-Policy line 3 extended permit udp host 192.168.100.1 192.168.60.0 255.255.255.0 
  eq 3799 (hitcnt=8)
access-list tACL-Policy line 4 extended permit icmp host 192.168.100.1 192.168.60.0 255.255.255.0 8 
  (hitcnt=8)
access-list tACL-Policy line 5 extended permit tcp host 192.168.100.1 192.168.60.6 255.255.255.255 
  eq 4466 (hitcnt=8)
access-list tACL-Policy line 6 extended permit udp host 192.168.100.1 192.168.60.6 255.255.255.255 
  eq syslog (hitcnt=8)
access-list tACL-Policy line 7 extended deny tcp any 192.168.60.0 0.0.0.255 eq ssh (hitcnt=9)
access-list tACL-Policy line 8 extended deny tcp any 192.168.60.0 0.0.0.255 eq https (hitcnt=27)
access-list tACL-Policy line 9 extended deny udp any 192.168.60.0 0.0.0.255 eq 3799 (hitcnt=13)
access-list tACL-Policy line 10 extended deny tcp any 192.168.60.6 0.0.0.0 eq 4466 (hitcnt=11)
access-list tACL-Policy line 11 extended deny udp any 192.168.60.6 0.0.0.0 eq syslog (hitcnt=12)
access-list tACL-Policy line 12 extended permit icmp any any nd-ns (hitcnt=144)
access-list tACL-Policy line 13 extended permit icmp any any nd-na (hitcnt=128)
access-list tACL-Policy line 14 extended deny ip any any (hitcnt=8)

In het voorafgaande voorbeeld is de toegangslijst naar ACL-beleid gedaald

9 SSH-pakketten op TCP-poort 22 voor ACE-lijn (Access Control List Entry) 7
27 HTTPS-pakketten op TCP-poort 443 voor ACE-lijn 8
13 pakketten op UDP-poort 3799 voor ACE-lijn 9
1 TCP-pakketten op TCP-poort 4466 voor ACE-lijn 10
12 SYSLOG-pakketten op UDP-poort 514 voor ACE-lijn 11

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 14 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 22 (hitcnt=52)
ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 443 (hitcnt=59)
ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 4466 (hitcnt=12)
ipv6 access-list IPv6-tACL-Policy line 4 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 3799 (hitcnt=22)
ipv6 access-list IPv6-tACL-Policy line 5 permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 
  eq 514 (hitcnt=11)
ipv6 access-list IPv6-tACL-Policy line 6 permit icmp6 host 2001:DB8::100:1 2001:DB8:1:60::/64 
  (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 7 deny tcp any 2001:DB8:1:60::/64 eq 22 (hitcnt=53)
ipv6 access-list IPv6-tACL-Policy line 8 deny tcp any 2001:DB8:1:60::/64 eq 443 (hitcnt=133)
ipv6 access-list IPv6-tACL-Policy line 9 deny tcp any 2001:DB8:1:60::/64 eq 4466 (hitcnt=11)
ipv6 access-list IPv6-tACL-Policy line 10 deny udp any 2001:DB8:1:60::/64 eq 3799 (hitcnt=35)
ipv6 access-list IPv6-tACL-Policy line 11 deny udp any 2001:DB8:1:60::/64 eq 514 (hitcnt=159)
ipv6 access-list IPv6-tACL-Policy line 12 permit icmp any any nd-ns (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 13 permit icmp any any nd-na (hitcnt=19)
ipv6 access-list IPv6-tACL-Policy line 14 deny ipv6 any 2001:DB8:1:60::/64 (hitcnt=89)

In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy de volgende pakketten verbroken die van een onbetrouwbare host of een onbetrouwbaar netwerk worden ontvangen:

53 SSH-pakketten op TCP-poort 22 voor ACE-lijn 7
133 HTTPS-pakketten op TCP-poort 443 voor ACE-lijn 8
11 pakketten op TCP-poort 4466 voor ACE-lijn 9
35 pakketten op UDP-poort 3799 voor ACE-lijn 10
159 SYSLOG-pakketten op UDP-poort 514 voor ACE-lijn 11

Identificatie: berichten in Firewall Access List System

Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.

Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

firewall#show logging | grep 106023
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/ssh by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 
         dst inside:192.168.60.33/443 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2946 
         dst inside:192.168.60.33/4466 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2947 
         dst inside:192.168.60.33/514 by access-group "tACL-Policy"
  Sep 6 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2948 
         dst inside:192.168.60.33/3799 by access-group "tACL-Policy"
firewall#

In het vorige voorbeeld, tonen de berichten die voor tACL tACL-Policy zijn geregistreerd SSH-pakketten voor TCP-poort 22 , pakketten voor TCP-poort 443, pakketten voor TCP-poort 4466, Syslog-pakketten voor UDP-poort 514, en pakketten voor UDP-poort 3799 die naar het adresblok zijn verzonden dat aan de betreffende apparaten is toegewezen.

Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.

Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events voor Cisco Security.

Cisco Security Manager, gebeurtenisviewer

Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheid die in dit document wordt beschreven.

Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven.

Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
Gebruik het gebeurtenisfilter Bestemmingsdienst om objecten te filteren die TCP-poort 22 bevatten
Gebruik het gebeurtenisfilter Bestemmingsdienst om objecten te filteren die TCP-poort 443 bevatten
Gebruik het gebeurtenisfilter Bestemming Service om objecten te filteren die TCP-poort 4466 bevatten
Gebruik het filter voor bestemmingsservice om objecten te filteren die UDP-poort 3799 bevatten
Gebruik het filter voor bestemmingsservice om objecten te filteren die UDP-poort 514 bevatten

Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.

Cisco Security Manager-rapportbeheer

Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.

In de Rapportbeheer kan het Top Services-rapport met de volgende configuratie worden gebruikt om een rapport van gebeurtenissen te genereren dat aangeeft dat er potentiële pogingen zijn gedaan om de kwetsbaarheid te benutten die in dit document wordt beschreven:

Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
Stel een actie van Deny in op de pagina Criteria instellingen

Aanvullende informatie

DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Gerelateerd aan dit bericht

Cisco ASA 5500-CX en Cisco PRSM-encryptie van logboekbehoud en kwetsbaarheid voor servicecontracten

Revisiegeschiedenis

Versie	Beschrijving	doorsnede	Datum
2	Deze versie van het Cisco Applied Mitigation Bulletin is bijgewerkt om een opmaakprobleem te corrigeren.		2012-september-13 16:08 GMT
1	Cisco Applied Mitigation Bulletin eerste publieke release		2012-september-12 16:00 GMT

Minder tonen

Cisco-beveiligingsprocedures

Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

Gerelateerde informatie

Betrokken producten

De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.

Primaire producten
Cisco-software	Cisco ASA CX contextbewuste security software	9,0 (.1-40, .2-68)
	Cisco Prime Security Manager (PRSM)	9,0 (.1-40, .2-68)

Verwante producten

Juridische Vrijwaring

DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.

Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten