-
Dit Toegepaste Beperkingsbericht is een begeleidend document bij de Cisco-waarschuwing, Websites van financiële instellingen die worden aangestuurd door gedistribueerde Denial of Service-aanvallen, en biedt identificatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
De DDoS-aanvallen (Distributed Denial of Service) tegen financiële instellingen zijn gericht op buitensporig gebruik van middelen binnen het netwerk en zijn niet gericht op een specifieke kwetsbaarheid. Dit wordt op afstand geëxploiteerd zonder verificatie en zonder interactie van de eindgebruiker. Herhaalde pogingen kunnen resulteren in een aanhoudende DoS-conditie.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- UDP-poort 53
- UDP-poort 80
- TCP-poort 53
- TCP-poort 80
Een aanvaller kon spoofed pakketten gebruiken.
Het verkeer op UDP-poort 53, TCP-poort 53 en TCP-poort 80 vertegenwoordigen normaal geldig verkeer. Het verkeer dat is bestemd voor UDP-poort 80 vertegenwoordigt geen normale poort- en protocolcombinatie die door algemene toepassingen wordt gebruikt. Deze poort en protocolcombinatie zou impliciet moeten worden geblokkeerd door de ontkennen aan het einde van de meeste regelsets van toegangslijsten.
-
De DDoS-aanvallen die gericht zijn op financiële instellingen hebben geen betrekking op kwetsbaarheid, maar op een toestand van uitputting van hulpbronnen die wordt veroorzaakt door de overweldigende hoeveelheid verkeer.
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze aanvallen. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
- Toegangscontrolelijsten voor douanevervoer (ACL’s)
- Unicast Reverse Path Forwarding (uRPF)
Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die in deze aanvallen worden gebruikt.
De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.
Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:- TACL’s
- Application Layer Protocol Inspection
- Bedreigingsdetectie
- uRPF
Deze beschermingsmechanismen filteren en laten vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze aanvallen te exploiteren.
Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.
Cisco IOS-software, Cisco ASA, Cisco ASM, Cisco FWSM-firewalls en Cisco ACE Application Control Engine-applicatie en -module kunnen zichtbaarheid bieden door middel van syslogberichten en tegenwaarden die in de uitvoer van show-opdrachten worden weergegeven.
Effectief gebruik van IPS-gebeurtenissen (Cisco Inbraakpreventiesysteem) biedt zichtbaarheid in en bescherming tegen deze aanvallen.
De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco IOS-routers en -Switches
- Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco-inbraakpreventiesysteem
- Cisco Security Manager
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze aanvallen bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde IPv4-pakketten op UDP-poort 80 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld staat 192.168.60.0/24 voor de IP-adresruimte die door de betreffende apparaten wordt gebruikt. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Dit verkeer wordt normaal geblokkeerd door een impliciete ontkenning aan het eind van een ACL, maar door een specifieke ACL te maken is het voor beheerders gemakkelijker om te bepalen of ze op deze manier worden aangevallen. Opgemerkt moet worden dat tACL’s geen overgeabonneerde buis beschermen voorafgaand aan het apparaat waar de tACL wordt geïmplementeerd.
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny UDP any 192.168.60.0 0.0.0.255 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL !
Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP-onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdracht interfaceconfiguratie geen onbereikbaar ip. ICMP-onbereikbare snelheidsbeperking kan vanuit de standaardinstelling worden gewijzigd met behulp van de opdracht globale configuratie IP ICMP-snelheidslimiet voor onbereikbaar interval-in-ms.
Identificatie: Toegangscontrolelijsten voor douanevervoer
Nadat de beheerder de tACL op een interface heeft toegepast, toont hij IP-toegangslijsten en toont hij aan dat opdrachten van de ipv6-toegangslijst het aantal IPv4-pakketten op UDP-poort 80 identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze aanvallen uit te voeren. Voorbeelduitvoer voor IP-toegangslijsten 150 het volgende:
router#show ip access-lists 150 Extended IP access list 150 10 deny udp any 192.168.60.0 0.0.0.255 eq 80 (12 matches) 20 deny ip any any router#
In het vorige voorbeeld is toegangslijst 150 12 pakketten gevallen op UDP-poort 80 voor lijn 30 van de toegangscontrolelijst (ACE).
Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.
Identificatie: Vastlegging toegangslijst
De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.
Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.
Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.
De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.
Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het Witboek Inzicht in toegangscontrolelijst Vastlegging in Cisco Security.
Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding
De aanvallen die in dit document worden beschreven, kunnen worden uitgevoerd met gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.
Aanvullende informatie vindt u in de Unicast Reverse Path Forwarding Losse Mode functiehandleiding.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security.
Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ip interface tonen, cef drop tonen, ip cef switching statistieken functie tonen, en ip traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.
Opmerking: beginnend met Cisco IOS-softwarerelease 12.4(20)T is de opdracht ip cef-switching vervangen door de functie IP cef-switching.
Opmerking: de opdracht show | begin met regex en toon opdracht | regex-opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.
router#show cef interface GigabitEthernet 0/0 internal | include drop ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0 router#
Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.
router#show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_Err RP 27 0 0 18 0 0 router# router#show ip interface GigabitEthernet 0/0 | begin verify IP verify source reachable-via RX, allow default, allow self-ping 18 verification drops 0 suppressed verification drops router# router#show ip cef switching statistics feature IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP PAS uRPF 18 0 0 0 0 Total 18 0 0 0 0 -- CLI Output Truncated -- router# router#show ip traffic | include RPF 18 no route, 18 unicast RPF, 0 forced drop router#In het bovenstaande tonen cef interface type sleuf/poort intern, tonen cef drop, tonen ip interface type sleuf/poort, tonen ip cef switching statistieken functie, en tonen ip verkeer voorbeelden, uRPF heeft laten vallen 18 IP pakketten globaal ontvangen op alle interfaces met uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren binnen de het door:sturen informatiebasis van Cisco Express Forwarding.
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow
Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om deze denial of service (DoS) uit te voeren. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze legitieme verkeersstromen zijn.
router#show ip cache flow IP packet size distribution (90784136 total packets): 1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 4456704 bytes 1885 active, 63651 inactive, 59960004 added 129803821 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 402056 bytes 0 active, 16384 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) -------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet 11393421 2.8 1 48 3.1 0.0 1.4 TCP-FTP 236 0.0 12 66 0.0 1.8 4.8 TCP-FTPD 21 0.0 13726 1294 0.0 18.4 4.1 TCP-WWW 22282 0.0 21 1020 0.1 4.1 7.3 TCP-X 719 0.0 1 40 0.0 0.0 1.3 TCP-BGP 1 0.0 1 40 0.0 0.0 15.0 TCP-Frag 70399 0.0 1 688 0.0 0.0 22.7 TCP-other 47861004 11.8 1 211 18.9 0.0 1.3 UDP-DNS 582 0.0 4 73 0.0 3.4 15.4 UDP-NTP 287252 0.0 1 76 0.0 0.0 15.5 UDP-other 310347 0.0 2 230 0.1 0.6 15.9 ICMP 11674 0.0 3 61 0.0 19.8 15.5 IPv6INIP 15 0.0 1 1132 0.0 0.0 15.4 GRE 4 0.0 1 48 0.0 0.0 15.3 Total: 59957957 14.8 1 196 22.5 0.0 1.5 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.10.201 Gi0/1 192.168.60.102 06 0984 0050 1 Gi0/0 192.168.11.54 Gi0/1 192.168.60.158 06 0911 0035 3 Gi0/1 192.168.150.60 Gi0/0 10.89.16.226 06 0016 12CA 1 Gi0/0 192.168.13.97 Gi0/1 192.168.60.28 11 0B3E 0050 5 Gi0/0 192.168.10.17 Gi0/1 192.168.60.97 11 0B89 0050 1 Gi0/0 10.88.226.1 Gi0/1 192.168.202.22 11 007B 007B 1 Gi0/0 192.168.12.185 Gi0/1 192.168.60.239 11 0BD7 0050 1 Gi0/0 10.89.16.226 Gi0/1 192.168.150.60 06 12CA 0016 1 router#
In het bovenstaande voorbeeld zijn er meerdere stromen voor UDP-poort 80 (hexadecimale waarde 0050). Daarnaast zijn er ook stromen voor TCP-poort 53 (hex-waarde 0035) en TCP-poort 80 (hex-waarde 0050).
Dit verkeer wordt afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24 adresblok, dat voor infrastructuurapparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze aanvallen uit te voeren. Beheerders wordt aangeraden om de stromen voor TCP-poort 53 (hex-waarde 0035) en TCP-poort 80 (hex-waarde 0050) te vergelijken met normale basislijnen om te helpen bepalen of een aanval bezig is.
Zoals in het volgende voorbeeld wordt getoond, om alleen de pakketten op UDP-poort 80 (hex-waarde 0050) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_11_.*0050 opdracht om de verwante Cisco NetFlow-records weer te geven.
UDP-stromenrouter#show ip cache flow | include SrcIf|_11_.*0050 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0 192.168.12.110 Gi0/1 192.168.60.163 11 092A 0050 6 Gi0/0 192.168.11.230 Gi0/1 192.168.60.20 11 0C09 0050 1 Gi0/0 192.168.11.131 Gi0/1 192.168.60.245 11 0B66 0050 18 Gi0/0 192.168.13.7 Gi0/1 192.168.60.162 11 0914 0050 1 Gi0/0 192.168.41.86 Gi0/1 192.168.60.27 11 0B7B 0050 2 router#
Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow
Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.
De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.
! !-- Configure key and nonkey fields !-- in the user-defined flow record ! flow record FLOW-RECORD-ipv4 match ipv4 source address collect ipv4 protocol collect ipv4 destination address collect transport source-port collect transport destination-port collect interface input collect interface output collect counter packets ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record ! flow monitor FLOW-MONITOR-ipv4 record FLOW-RECORD-ipv4 ! !-- Apply the flow monitor to the interface !-- in the ingress direction ! interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input
De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:
router#show flow monitor FLOW-MONITOR-ipv4 cache format table Cache type: Normal Cache size: 4096 Current entries: 6 High Watermark: 1 Flows added: 9181 Flows aged: 9175 - Active timeout ( 1800 secs) 9000 - Inactive timeout ( 15 secs) 175 - Event aged 0 - Watermark aged 0 - Emergency aged 0 IPV4 SRC ADDR ipv4 dst addr trns src port trns dst port intf input intf output pkts ip prot =============== =============== ============= ============= ============ ============= ======= ======= 192.168.10.201 192.168.60.102 1456 80 Gi0/0 Gi0/1 1128 6 192.168.11.54 192.168.60.158 123 53 Gi0/0 Gi0/1 2212 17 192.168.150.60 10.89.16.226 2567 443 Gi0/0 Gi0/1 13 6 192.168.13.97 192.168.60.28 3451 80 Gi0/0 Gi0/1 1 6 192.168.10.17 192.168.60.97 4231 80 Gi0/0 Gi0/1 146 17 10.88.226.1 192.168.202.22 2678 443 Gi0/0 Gi0/1 10567 6 10.89.16.226 192.168.150.60 3562 80 Gi0/0 Gi0/1 30012 6
Als u alleen de pakketten op UDP-poort 80 wilt weergeven, gebruikt u de tabel met de cacheindeling van de Show Flow-Monitor FLOW-MONITOR-ipv4 | IPV4 DST ADDR |_80_.*_17_ opdracht om de gerelateerde NetFlow-records weer te geven.
Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15M&T en Cisco IOS Flexibele NetFlow Configuration Guide, Cisco IOS release 12.4T.
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze aanvallen bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde IPv4-pakketten op UDP-poort 80 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP adresruimte die door de beïnvloede apparaten wordt gebruikt. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Opgemerkt moet worden dat tACL’s geen overgeabonneerde buis beschermen voorafgaand aan het apparaat waar de tACL wordt geïmplementeerd.
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports ! ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny UDP any 192.168.60.0 255.255.255.0 eq 80 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
Identificatie: Toegangscontrolelijsten voor douanevervoer
Nadat tACL is toegepast op een interface, kunnen beheerders het bevel van de show access-list gebruiken om het aantal IPv4 pakketten op UDP-poort 80 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze aanvallen uit te voeren. Voorbeelduitvoer voor toegangslijst weergeven van ACL-beleid het volgende:
firewall#show access-list tACL-Policy access-list tACL-Policy; 2 elements; name hash: 0x3452703d access-list tACL-Policy line 1 extended deny udp any 192.168.60.0 255.255.255.0 eq 80 (hitcnt=8)
access-list tACL-Policy line 2 extended deny ip any any (hitcnt=8)In het voorafgaande voorbeeld, heeft de toegangslijst van ACL-Policy 8 IPv4-pakketten op UDP-poort 80 laten vallen die van een onbetrouwbare host of netwerk zijn ontvangen. Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.
Identificatie: berichten in Firewall Access List System
Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de aanvallen uit te voeren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106023 Oct 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 dst inside:192.168.60.191/80 by access-group "tACL-Policy" Sep 04 2012 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 dst inside:192.168.60.33/80 by access-group "tACL-Policy" firewall#
In het voorafgaande voorbeeld tonen de berichten die voor de tACL-tACL-Policy zijn geregistreerd mogelijk gespoofde IPv4-pakketten voor UDP-poort 80 die naar het adresblok is verzonden, dat aan de betreffende apparaten is toegewezen.
Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.
Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.
Beperking: Application Layer Protocol Inspectie
Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Deze protocolinspectie helpt bescherming te bieden tegen vele algemene aanvallen door middel van 'denial of service' (DoS), zoals
- SYN Flood Protection - Biedt SYN bescherming tegen overstromingen door het minimaliseren van embryonale verbindingen en het verzekeren van een goede staat.
- DNS-toepassingsinspectie - Als DNS-verzoeken niet voldoen aan de standaard DNS-protocolrichtlijnen, wordt het pakket verbroken. Hiertoe behoren slecht gevormde verzoeken en verzoeken van meer dan een bepaalde lengte.
De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.
Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.
Identificatie: detectie van bedreigingen
Cisco adaptieve security applicatie ondersteunt de bedreigingsdetectiefunctie in softwarereleases 8.0 en hoger. Gebruikend fundamentele bedreigingsopsporing, controleert het veiligheidstoestel het tarief gelaten vallen pakketten en veiligheidsgebeurtenissen met de volgende redenen:
- Ontkenning door toegangslijsten
- Slechte pakketindeling (zoals ongeldige IP-header of ongeldige TCP-hdr-lengte)
- Overschreden verbindingsgrenzen (zowel systeembrede resourcegrenzen als limieten in de configuratie)
- DoS-aanval gedetecteerd (zoals een ongeldige stateful packet inspection (SPI), fout bij stateful firewall-controle)
- Standaard firewallcontroles mislukt (deze optie is een gecombineerd tarief dat alle firewall-gerelateerde pakketdalingen in deze bulleted lijst bevat. Het omvat geen niet-firewall-gerelateerde druppels zoals interface-overload, pakketten die bij toepassingsinspectie zijn mislukt, en scanning aanval gedetecteerd.)
- Verdachte ICMP-pakketten gedetecteerd
- Toepassingscontrole mislukt pakketten
- Interfaceoverbelasting
- Scanaanval gedetecteerd (Deze optie controleert scanaanvallen; het eerste TCP-pakket is bijvoorbeeld geen SYN-pakket, of de TCP-verbinding is mislukt de handdruk met drie richtingen. Volledige detectie van scandreigingen [raadpleeg de Configureren van scanning Threat Detection voor meer informatie] neemt deze informatie over scanning-aanvalssnelheid en handelt erop door hosts te classificeren als aanvallers en ze bijvoorbeeld automatisch te onthullen.)
- Onvolledige sessiedetectie zoals TCP/SYN-aanval gedetecteerd of geen UDP-sessieaanval met gegevens gedetecteerd.
Waarschuwing: het configureren van geavanceerde bedreigingsdetectiestatistieken kan een aanzienlijke invloed hebben op de CPU van het apparaat.
Voor infrastructuren die worden geconfronteerd met de aanvallen die in dit document worden beschreven, zijn de gebeurtenissen waarop u zich kunt richten:
- Verbindingsgrenzen overschreden (als verbindingsbeperking is ingesteld op de firewall)
- Interfaceoverbelasting
- Aanvalsdetectie scannen
- Onvolledige sessiedetectie
Meer informatie over het configureren van bedreigingsdetectie voor Cisco ASA 5500 Series adaptieve security applicatie is te vinden in Config Threat Detection. Informatie over het configureren van bedreigingsdetectie voor Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in het configureren van bedreigingsdetectie.
Dankzij de juiste configuratie van basisdetectie van bedreigingen kunnen beheerders de opdracht detectiesnelheid voor bedreigingen tonen gebruiken om de bedreigingsgebeurtenissen te tonen die Cisco ASA of Cisco ASM hebben gedetecteerd. In het volgende voorbeeld worden 20 SYN aanval-gerelateerde gebeurtenissen per seconde en 223 SYN Trigger gebeurtenissen binnen het burst interval getoond, en 30 Scanning aanval-gerelateerde gebeurtenissen en 451 Scanning Trigger gebeurtenissen binnen het burst interval, wat een indicatie kan zijn van een aanhoudende SYN-vloed.
firewall# show threat-detection rate Average(eps) Current(eps) Trigger Total events 10-min ACL drop: 1 10 0 983 1-hour ACL drop: 0 0 0 983 10-min SYN attck: 2 20 223 1982 1-hour SYN attck: 0 0 87 1982 10-min Scanning: 3 30 451 2269 1-hour Scanning: 0 0 154 2269 10-min Bad pkts: 0 0 0 4 1-hour Bad pkts: 0 0 0 4 10-min Firewall: 1 10 0 987 1-hour Firewall: 0 0 0 987 10-min Interface: 1 0 0 851 1-hour Interface: 0 0 0 851 firewall#
Dankzij de juiste configuratie van geavanceerde detectie van bedreigingen kunnen beheerders de opdracht Statistieken voor detectie van bedreigingen tonen gebruiken om statistische bedreigingsdetectieinformatie over Cisco ASA en Cisco ASM weer te geven. Het volgende voorbeeld toont de toegang-lijst dalingen die door bedreigingsopsporing worden geregistreerd.
firewall# show threat-detection statistics Top Name Id Average(eps) Current(eps) Trigger Total events 1-hour ACL hits: 01 INSIDE/12 0 2 0 44 02 OUTSIDE/11 0 4 0 36 03 INSIDE/6 0 3 0 24 04 OUTSIDE/50 0 1 0 7 05 INSIDE/5 0 0 0 5 06 WEBPORTS-ACL/1.1 0 0 0 5 07 INSIDE/19 0 0 0 4 08 OUTSIDE/9 0 0 0 1 8-hour ACL hits: 01 INSIDE/12 0 2 0 445 02 OUTSIDE/50 0 4 0 368 03 INSIDE/6 0 3 0 225 04 OUTSIDE/11 0 1 0 213 05 WEBPORTS-ACL/1.1 0 0 0 149 06 INSIDE/5 0 0 0 143 07 OUTSIDE/9 0 0 0 2 24-hour ACL hits: 01 OUTSIDE/50 0 2 0 1644 02 INSIDE/12 0 4 0 1520 03 OUTSIDE/11 0 3 0 928 04 INSIDE/6 0 0 0 713 05 WEBPORTS-ACL/1.1 0 0 0 539 06 INSIDE/5 0 0 0 513 07 INSIDE/19 0 0 0 106 08 OUTSIDE/9 0 0 0 59 09 OUTSIDE/13 0 0 0 57 10 OUTSIDE/15 0 0 0 57
Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding
De aanvallen die in dit document worden beschreven, kunnen worden uitgevoerd door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en de Unicast Reverse Path Forwarding Cisco Security White Paper te begrijpen.
Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding
Firewallsyslog-bericht 106021 wordt gegenereerd voor pakketten die worden geweigerd door uRPF. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106021.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
firewall#show logging | grep 106021 Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny UDP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside Sep 21 2012 00:15:13: %ASA-1-106021: Deny TCP reverse path check from 192.168.60.1 to 192.168.60.100 on interface outside
De opdracht Snel zetten kan ook het aantal pakketten identificeren dat de uRPF-functie is kwijtgeraakt, zoals in het volgende voorbeeld:
firewall#
show asp drop frame rpf-violated Reverse-path verify failed 11 firewall#In het voorafgaande voorbeeld, uRPF 11 IP pakketten gedaald die op interfaces met uRPF gevormd worden ontvangen. Het ontbreken van uitvoer geeft aan dat de uRPF-functie in de firewall geen pakketten heeft laten vallen.
Voor extra informatie over het debuggen van versnelde security pad gedropte pakketten of verbindingen, verwijzen we naar de Cisco Security Appliance Command Reference voor show asp drop.
Cisco-inbraakpreventiesysteem
Beperken: Cisco IPS-handtekeningtabel
Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden. De volgende tabel geeft een overzicht van de respectieve IPS-handtekeningen van Cisco die gebeurtenissen bij potentiële pogingen activeren.
CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity* Opmerkingen NA S672-software 1493/0 Gedistribueerde weigering van dienstverlening aan financiële instellingen Ja Hoog 90
NA
S593 2152/0 ICMP-overstroming Nee Gemiddeld 100
gepensioneerd
NA
S572 4002/0 UDP-hostoverstroming Nee Laag 75
gepensioneerd
NA
S520 4004/0 DNS-overstromingsaanval Nee Gemiddeld 85
gepensioneerd NA
S593 6009/0 SYN Flood DoS Nee Gemiddeld 85
gepensioneerd
NA
S573 6901/0 Net Flood ICMP-antwoord Nee informatie 100
gepensioneerd
NA
S573 6902/0 Net Flood ICMP-aanvraag Nee informatie 100
gepensioneerd
NA
S573 6903/0 Net Flood ICMP Any Nee informatie 100 gepensioneerd NA
S573 6910/0 Net Flood UDP Nee informatie 100
gepensioneerd
NA
S573 6920/0 Netto TCP bij overstroming Nee informatie 100 gepensioneerd * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.
Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde actie van de gebeurtenis voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de in de vorige tabel genoemde aanvallen uit te voeren.
Aanvallen die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.
Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de modus voor inline bescherming worden geïmplementeerd, biedt bedreigingspreventie tegen een aanvaller die probeert de aanvallen uit te voeren die in dit document worden beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.
Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.
Cisco Security Manager
Identificatie: Cisco Security Manager
Cisco Security Manager, gebeurtenisviewer
Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en de Event Viewer leveren, die kan zoeken naar gebeurtenissen die gerelateerd zijn aan de aanvallen die in dit document worden beschreven.
Met behulp van de voorgedefinieerde weergave IPS Alert Events in het Event Viewer kan de gebruiker de zoekstring in het gebeurtenisfilter invoeren om alle opgenomen gebeurtenissen met betrekking tot de volgende Cisco IPS-handtekeningen terug te sturen:
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de aanvallen uit te voeren die in dit document worden beschreven.
- Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24)
- Gebruik het filter voor bestemmingsservice om objecten te filteren die UDP-poort 80 bevatten.
Een Event Type ID-filter kan met de vooraf gedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de aanvallen uit te voeren die in dit document worden beschreven:
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.
Cisco Security Manager-rapportbeheer
Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.
Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de handtekenings-ID is ingesteld op
- 1493/0
- 2152/0
- 4002/0
- 4004/0
- 6009/0
- 6901/0
- 6902/0
- 6903/0
- 6910/0
- 6920/0
Ook in Rapportbeheer kan het Top Services-rapport worden gebruikt met de volgende configuratie om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de aanvallen uit te voeren die in dit document worden beschreven:
- Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
- Stel een actie van Deny in op de pagina Criteria instellingen
Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.
Identificatie: Event Management System Partner Events
Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslog-berichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de aanvallen uit te voeren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:
- 1493/0 Gedistribueerde weigering van dienstverlening aan financiële instellingen
- 2152/08 ICMP-overstroming
- 4002/2000 UDP-hostoverstroming
- 4004/2000 DNS-overstromingsaanval
- 6009/0 SYN DoS tegen overstromingen
- 6901/00 Net Flood ICMP-antwoord
- 6902/00 Net Flood ICMP-verzoek
- 6903/0 Net Flood ICMP Any
- 6910/2010 Net-UDP met overstromingen
- 6920/2000 Net Flood TCP-systeem
- ASA 5500-4-106023 (ACL-ontkenning)
Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 4 Dit Cisco Applied Mitigation Bulletin is bijgewerkt om nieuwe bestemmingen te gebruiken voor links naar diverse ondersteunende technische documenten. 2015-december-01 16:31 GMT 3 Dit Cisco Applied Mitigation Bulletin is bijgewerkt met behulp van de Cisco ASA en Cisco ASM bedreigingsdetectie functie om potentiële bron uitputting aanvallen te helpen identificeren. 2012-oktober-23 14:06 GMT 2 Dit Cisco Applied Mitigation Bulletin is geactualiseerd om extra informatie over detectie van bedreigingen met Cisco ASA en Cisco ASM te bevatten.
2012-oktober-16 16:08 GMT 1 Eerste openbare release van Cisco Application Mitigation Bulletin. 2012-oktober-04 21:38 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten IntelliShield Toegepaste beperking Bulletin Oorspronkelijke release (basis)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten