Cisco Response

• Dit Toegepaste Matiging Bulletin is een begeleidend document aan PSIRT Security Advisory Portable SDK voor UPnP-apparaten bevat kwetsbaarheden voor bufferoverloop en biedt identificatie- en mitigatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

• De Intel PoNP SDK en de draagbare SDK voor UPnP™ Apparaten (libupnp) worden beïnvloed door meerdere kwetsbaarheden bij het verwerken van SSDP-verzoeken (Simple Service Discovery Protocol) via IP versie 4 (IPv4) en IP versie 6 (IPv6). Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid zou de uitvoering van willekeurige codes kunnen toestaan. De aanvalsvector voor exploitatie is via SSDP IPv4- en IPv6-pakketten met UDP-poort 1900. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.

  Aan deze kwetsbaarheid zijn de Common Vulnerabilities and Exposations (CVE)-identificatoren CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-59 toegekend en CVE-2012-5965.

Overzicht van kwetsbaarheden

• Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130129-upnp

Overzicht Mitigation Technique

• Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

  Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:

  • Toegangscontrolelijsten voor infrastructuur (iACL’s)
  • Unicast Reverse Path Forwarding (uRPF)
  • IP-bronbeveiliging (IPSG)

  Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.

  De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.

  De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag.

  Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:

  • Toegangscontrolelijsten voor douanevervoer (ACL’s)
  • Unicast Reverse Path Forwarding (uRPF)

  Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.

  Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

  Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

  Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.

  De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.

Risicobeheer

• Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

  • Cisco IOS-routers en -Switches
  • Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco-inbraakpreventiesysteem
  • Cisco Security Manager

  Cisco IOS-routers en -Switches

  Beperking: toegangscontrolelijsten voor infrastructuur

  Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen te minimaliseren, wordt beheerders aangeraden om lijsten met toegangscontroles voor de infrastructuur (iACL’s) te implementeren om beleidshandhaving uit te voeren van verkeer dat naar infrastructuurapparatuur wordt verzonden. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het iACL-beleid ontkent onbevoegde SSDP-pakketten op UDP-poort 1900 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.

  Aanvullende informatie over iACL’s is te vinden in Protected Your Core: Infrastructure Protection Access Control Lists.

  ip access-list extended Infrastructure-ACL-Policy
    ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !
    permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 1900
    permit udp host 192.168.100.1 host 239.255.255.250 eq 1900
    ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
    deny udp any 192.168.60.0 0.0.0.255 eq 1900
   ! !-- Explicit deny ACE for traffic sent to addresses configured within !-- the infrastructure address space !
    deny ip any 192.168.60.0 0.0.0.255  
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! ! !-- Create the corresponding IPv6 iACL !
  ipv6  access-list IPv6-Infrastructure-ACL-Policy
   ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocols and ports !
    permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 1900
    permit udp host 2001:DB8::100:1 FF02:0:0:0:0:0:0:C eq 1900
    permit udp host 2001:DB8::100:1 FF05:0:0:0:0:0:0:C eq 1900   
    permit udp host 2001:DB8::100:1 FF08:0:0:0:0:0:0:C eq 1900  
    permit udp host 2001:DB8::100:1 FF0E:0:0:0:0:0:0:C eq 1900 
    ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks to global and !-- link-local addresses !
    deny udp any 2001:DB8:1:60::/64 eq 1900
   ! !-- Permit other required traffic to the infrastructure address !-- range and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
    permit icmp any any nd-ns
    permit icmp any any nd-na
    ! 
   !-- Explicit deny for all other IPv6 traffic to the global !-- infrastructure address range !
    deny ipv6 any 2001:DB8:1:60::/64
    !
   !-- Permit or deny all other Layer 3 and Layer 4 traffic !-- in accordance with existing security policies and configurations ! !-- Apply iACLs to interfaces in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group Infrastructure-ACL-Policy in
   ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

  Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdracht ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp fout-interval interval-in-ms.

  Identificatie: Toegangscontrolelijsten voor infrastructuur

  Nadat de beheerder iACL op een interface heeft toegepast, zullen de IP-toegangslijsten van de show en de opdrachten van de ipv6-toegangslijst het aantal SSDP-pakketten op UDP-poort 1900 identificeren die zijn gefilterd op interfaces waarop de iACL is toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten infrastructuur-ACL-Beleid en toont ipv6 toegang-lijst IPv6-infrastructuur-ACL-Beleid volgt:

  router#show ip access-lists Infrastructure-ACL-Policy
  Extended IP access list Infrastructure-ACL-Policy
      10 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 1900 (60 matches)
      20 permit udp host 192.168.100.1 host 239.255.255.250 eq 1900  (60 matches)
      30 deny udp any 192.168.60.0 0.0.0.255 eq 1900 (9 matches)
      40 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
  router#

  In het vorige voorbeeld is de toegangslijst Infrastructuur-ACL-Beleid gedaald met 9 SSDP-pakketten op UDP-poort 1900 voor regel 20 van de toegangscontrolelijst (ACE).

  router#show ipv6 access-list IPv6-Infrastructure-ACL-Policy 
  IPv6 access list IPv6-Infrastructure-ACL-Policy
      permit udp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 1900 (71 matches) sequence 10
      permit udp host 2001:DB8::100:1 FF02:0:0:0:0:0:0:C eq 1900 (12 matches) sequence 20
      permit udp host 2001:DB8::100:1 FF05:0:0:0:0:0:0:C eq 1900 (15 matches) sequence 30
      permit udp host 2001:DB8::100:1 FF08:0:0:0:0:0:0:C eq 1900 (17 matches) sequence 40
      permit udp host 2001:DB8::100:1 FF0E:0:0:0:0:0:0:C eq 1900 (11 matches) sequence 50
      deny udp any 2001:DB8:1:60::/64 eq 1900 (58 matches) sequence 60
      permit icmp any any nd-ns (80 matches) sequence 70
      permit icmp any any nd-na (80 matches) sequence 80
      deny ipv6 any 2001:DB8:1:60::/64 (5 matches) sequence 90
  

  In het vorige voorbeeld heeft de toegangslijst IPv6-Infrastructure-ACL-Policy 58 SSDP-pakketten op UDP-poort 1900 voor regel 20 van de toegangscontrolelijst (ACE) verbroken.

  Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.

  Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.

  Identificatie: Vastlegging toegangslijst

  De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.

  Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.

  Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.

  De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.

  Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het Witboek Inzicht in toegangscontrolelijst Vastlegging in Cisco Security.

  Beperken: bescherming tegen spoofing

  Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding

  De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.

  uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.

  Aanvullende informatie vindt u in de Unicast Reverse Path Forwarding Losse Mode functiehandleiding.

  Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security.

  Beperking: bescherming tegen spoofing met IP-bronbeveiliging

  IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheden die in dit document worden beschreven.

  Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.

  Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

  Met uRPF correct geïmplementeerd en geconfigureerd door de netwerkinfrastructuur, kunnen beheerders de show cef interface type sleuf/poort intern gebruiken, ip interface tonen, cef drop tonen, ip cef switching statistieken functie tonen, en ip traffic opdrachten tonen om het aantal pakketten dat uRPF heeft laten vallen te identificeren.

  Opmerking: beginnend met Cisco IOS-softwarerelease 12.4(20)T is de opdracht ip cef-switching vervangen door de functie IP cef-switching.

  Opmerking: de opdracht show | begin met regex en toon opdracht | regex-opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.

  router#show cef interface GigabitEthernet 0/0 internal | include drop
    ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
    IPv6 unicast RPF: via=rx acl=None, drop=10, sdrop=0
  router#

  Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.

  router#show cef drop
  CEF Drop Statistics
  Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
  RP            27           0           0          18           0           0
  router#
  
  router#show ip interface GigabitEthernet 0/0 | begin verify
  
    IP verify source reachable-via RX, allow default, allow self-ping
    18 verification drops
    0 suppressed verification drops
  router#
  router#show ipv6 interface GigabitEthernet 0/0 | section IPv6 verify
  
    IPv6 verify source reachable-via rx 
    0 verification drop(s) (process), 10 (CEF)
    0 suppressed verification drop(s) (process), 0 (CEF)
    --      CLI Output Truncated       --  
  router#
  
  router#show ip cef switching statistics feature
  
  IPv4 CEF input features:
  Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
  RP PAS uRPF                     18          0          0          0          0
  Total                           18          0          0          0          0
      --      CLI Output Truncated       --  
  router#
  router#show ipv6 cef switching statistics feature
  
  IPv6 CEF input features:
  Feature                       Drop   Consume   Punt   Punt2Host   Gave route
  RP LES Verify Unicast R         10         0      0           0            0
  Total                           10         0      0           0            0
      --      CLI Output Truncated       --  
  router#
  
  router#show ip traffic | include RPF
           18 no route, 18 unicast RPF, 0 forced drop
  router#
  router#show ipv6 traffic | include RPF
           10 RPF drops, 0 RPF suppressed, 0 forced drop
  router#

  In de bovenstaande show cef interface type sleuf / poort intern, tonen cef drop, tonen ip interface type sleuf / poort en tonen ipv6 interface type sleuf / poort, tonen ip cef switching statistieken functie en tonen ipv6 cef switching statistieken functie, en tonen ip verkeer en tonen ipv6 verkeer voorbeelden, uRPF heeft de volgende pakketten die globaal ontvangen op alle interfaces met uRPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren binnen de het doorsturen informatiebasis van Cisco Express Forwarding.

  • 18 IPv4-pakketten
  • 10 IPv6-pakketten

  Cisco IOS NetFlow en Cisco IOS flexibele NetFlow

  Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow

  Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om deze kwetsbaarheden te exploiteren. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

  router#show ip cache flow
  IP packet size distribution (90784136 total packets):
     1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000
  
      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
  
  IP Flow Switching Cache, 4456704 bytes
    1885 active, 63651 inactive, 59960004 added
    129803821 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds
  IP Sub Flow Cache, 402056 bytes
    0 active, 16384 inactive, 0 added, 0 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added
    last clearing of statistics never
  Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
  --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
  TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
  TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
  TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
  TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
  TCP-X              719      0.0         1    40      0.0       0.0       1.3
  TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
  TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
  TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
  UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
  UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
  UDP-other       310347      0.0         2   230      0.1       0.6      15.9
  ICMP             11674      0.0         3    61      0.0      19.8      15.5
  IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
  GRE                  4      0.0         1    48      0.0       0.0      15.3 
  Total:        59957957     14.8         1   196     22.5       0.0       1.5
  
  SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  11 0984 076C     1
  Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  11 0911 076C     3
  Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
  Gi0/0         192.168.60.97   Gi0/1         192.168.60.28   11 0B3E 076C     5
  Gi0/0         192.168.60.17   Gi0/1         192.168.60.97   11 0B89 076C     1
  Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
  Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  11 0BD7 076C     1
  Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 12CA 0016     1
  router#

  In het vorige voorbeeld zijn er meerdere stromen voor SSDP op UDP-poort 1900 (hexadecimale waarde 076C).

  Dit verkeer wordt afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24 adresblok, dat door getroffen apparaten wordt gebruikt. De pakketten in deze stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te exploiteren. Beheerders wordt aangeraden om deze stromen te vergelijken met het gebruik van de basislijn voor SSDP-verkeer via UDP-poort 1900 en ook de stromen te onderzoeken om te bepalen of ze afkomstig zijn van onbetrouwbare hosts of netwerken.

  Zoals in het volgende voorbeeld wordt getoond, om alleen de SSDP-pakketten op UDP-poort 1900 (hex-waarde 076C) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_11_.*076C opdracht om de verwante Cisco NetFlow-records weer te geven:

  UDP-stromen

  router#show ip cache flow | include SrcIf|_11_.*076C
  SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  11 092A 076C     6
  Gi0/0         192.168.60.230   Gi0/1         192.168.60.20   11 0C09 076C     1
  Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  11 0B66 076C    18
  Gi0/0         192.168.60.7     Gi0/1         192.168.60.162  11 0914 076C     1
  Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   11 0B7B 076C     2
  router#

  Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow

  Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden geprobeerd om te profiteren van de kwetsbaarheden die in dit document worden beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

  De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.

  router#show ipv6 flow cache
  
  IP packet size distribution (50078919 total packets):
     1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
     .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

      512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
     .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

  IP Flow Switching Cache, 475168 bytes
    8 active, 4088 inactive, 6160 added
    1092984 ager polls, 0 flow alloc failures
    Active flows timeout in 30 minutes
    Inactive flows timeout in 15 seconds

  IP Sub Flow Cache, 33928 bytes
    16 active, 1008 inactive, 12320 added, 6160 added to flow
    0 alloc failures, 0 force free
    1 chunk, 1 chunk added

  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  2001:DB...128::201 Gi0/0    2001:DB...128::20 Local    0x11 0x16C4 0x076C 1464
  2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
  2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x076C 1001  
  2001:DB...128::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x076C 1292  
  2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
  2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
  2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193 

  Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

  In het vorige voorbeeld zijn er meerdere IPv6-stromen voor SSDP op UDP-poort 1900 (hex-waarde 076C).

  De SSDP-pakketten op UDP-poort 1900 zijn afkomstig van en verzonden naar adressen binnen het adresblok 2001:DB8:1:60::/64 dat door de betreffende apparaten wordt gebruikt. De pakketten in de UDP-stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te benutten. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor SSDP verkeer op UDP haven 1900 te vergelijken en ook de stromen te onderzoeken om te bepalen of zij van onbetrouwbare gastheren of netwerken afkomstig zijn.

  Zoals in het volgende voorbeeld wordt getoond, kunt u alleen de SSDP-pakketten op UDP-poort 1900 (hex-waarde 076C) bekijken door het cachegeheugen van de show ipv6-stroom te gebruiken | inclusief SrcIf|_11_.*076C opdracht om de verwante Cisco NetFlow-records weer te geven:

  UDP-stromen

  router#show ip cache flow | include SrcIf|_11_.*076C
  SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
  2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x076C 3 
  2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x076C 11 
  2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x076C 8
  router#
  
  

  Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow

  Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.

  De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

  ! !-- Configure key and nonkey fields !-- in the user-defined flow record !
  flow record FLOW-RECORD-ipv4
   match ipv4 source address
   collect ipv4 protocol
   collect ipv4 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
  flow monitor FLOW-MONITOR-ipv4
   record FLOW-RECORD-ipv4
  ! !-- Apply the flow monitor to the interface !-- in the ingress direction !
  interface GigabitEthernet0/0
   ip flow monitor FLOW-MONITOR-ipv4 input

  De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

  router#show flow monitor FLOW-MONITOR-ipv4 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                1
  
    Flows added:                                   9181
    Flows aged:                                    9175
      - Active timeout      (  1800 secs)          9000
      - Inactive timeout    (    15 secs)           175
      - Event aged                                    0
      - Watermark aged                                0
      - Emergency aged                                0
  
  IPV4 SRC ADDR   ipv4 dst addr   trns src port trns dst port intf input intf output pkts   ip prot
  =============== =============== ============= ============= ========== =========== ====== =======
   192.168.60.201  192.168.60.102          1456          1900      Gi0/0       Gi0/1   1128     17
   192.168.11.54   192.168.60.158           123          1900      Gi0/0       Gi0/1   2212     17
   192.168.150.60    10.89.16.226          2567           443      Gi0/0       Gi0/1     13      6
   192.168.13.97    192.168.60.28          3451          1900      Gi0/0       Gi0/1      1     17
   192.168.60.17    192.168.60.97          4231          1900      Gi0/0       Gi0/1    146     17
     10.88.226.1   192.168.202.22          2678           443      Gi0/0       Gi0/1  10567      6
    10.89.16.226   192.168.150.60          3562            80      Gi0/0       Gi0/1  30012      6

  Als u alleen de SSDP-pakketten op UDP-poort 1900 wilt bekijken, gebruikt u de tabel met de cacheindeling van de Show Flow Monitor FLOW-MONITOR-ipv4 | IPV4 DST ADDR |_1900_.*_17_ opdracht om de gerelateerde NetFlow-records weer te geven.

  Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15.1M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.

  Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow

  De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

  ! !-- Configure key and nonkey fields !-- in the user-defined flow record !
  flow record FLOW-RECORD-ipv6
   match ipv6 source address
   collect ipv6 protocol
   collect ipv6 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  ! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
  flow monitor FLOW-MONITOR-ipv6
   record FLOW-RECORD-ipv6
  ! !-- Apply the flow monitor to the interface !-- in the ingress direction !
  interface GigabitEthernet0/0
    ipv6 flow monitor FLOW-MONITOR-ipv6 input

  De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

  router#show flow monitor FLOW-MONITOR-ipv6 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                2
  
    Flows added:                                   539
    Flows aged:                                    532
      - Active timeout      (  1800 secs)          350
      - Inactive timeout    (    15 secs)          182
      - Event aged                                   0
      - Watermark aged                               0
      - Emergency aged                               0
  
  IPV6 SRC ADDR     ipv6 dst addr     trns src port trns dst port intf input intf output pkts ip prot
  ================= ================= ============= ============= ========== =========== ==== =======
  2001:DB...06::201  2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
  2001:DB...128::201  2001:DB...28::20         1265          1900      Gi0/0       Gi0/0 1237      17
  2001:DB...128::201  2001:DB...28::20         1441          1900      Gi0/0       Gi0/0 2346      17
  2001:DB...06::201  2001:DB...28::20          1890          1900      Gi0/0       Gi0/0 5009      17
  2001:DB...06::201  2001:DB...28::20          2856          5060      Gi0/0       Gi0/0  486      17
  2001:DB...06::201  2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
  2001:DB...06::201  2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

  Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

  Als u alleen de SSDP op de UDP-poort 1900 wilt weergeven, gebruikt u de tabel met de cacheindeling van de Show Flow Monitor FLOW-MONITOR-ipv6 | de opdracht IPV6 DST ADR.|_1900_.*_17_ opnemen om de verwante Cisco IOS flexibele NetFlow-records weer te geven.

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  Beperking: toegangscontrolelijsten voor douanevervoer

  Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het tACL-beleid ontkent onbevoegde SSDP-pakketten op UDP-poort 1900 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

  Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.

  ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocol and port !
  access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 1900
  access-list tACL-Policy extended permit udp host 192.168.100.1 
       host 239.255.255.250 eq 1900
  ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 1900
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list tACL-Policy extended deny ip any any
  ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable protocol and port !
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            2001:db8:1:60::/64 eq 1900
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            host FF02:0:0:0:0:0:0:C eq 1900
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            host FF05:0:0:0:0:0:0:C eq 1900
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            host FF08:0:0:0:0:0:0:C eq 1900
  ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1
            host FF0E:0:0:0:0:0:0:C eq 1900
  ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 1900
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  ipv6 access-list IPv6-tACL-Policy deny ip any any
  ! !-- Apply tACLs to interfaces in the ingress direction !
  access-group tACL-Policy in interface outside
  access-group IPv6-tACL-Policy in interface outside

  Identificatie: Toegangscontrolelijsten voor douanevervoer

  Nadat tACL is toegepast op een interface, kunnen beheerders het bevel van de show access-list gebruiken om het aantal SSDP-pakketten op UDP-poort 1900 t te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegangslijst tACL-Policy en toont toegangslijst IPv6-tACL-Policy volgt:

  firewall#show access-list tACL-Policy
  access-list tACL-Policy; 4 elements; name hash: 0x3452703d
  access-list tACL-Policy line 1 extended permit udp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 1900 (hitcnt=31)
  access-list tACL-Policy line 2 extended permit udp host 192.168.100.1 
       host 239.255.255.250 eq 1900 (hitcnt=11) 
  access-list tACL-Policy line 3 extended deny udp any 192.168.60.0 
       255.255.255.0 eq 1900 (hitcnt=8)
  access-list tACL-Policy line 4 extended deny ip any any (hitcnt=8)

  In het vorige voorbeeld is de toegangslijst naar ACL-Policy gedaald met 8 SSDP-pakketten op UDP-poort 1900 die van een onbetrouwbare host of netwerk zijn ontvangen. Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.

  firewall#show access-list IPv6-tACL-Policy                 
  ipv6 access-list IPv6-tACL-Policy; 7 elements; name hash: 0x566a4229
  ipv6 access-list IPv6-tACL-Policy line 1 permit udp host 2001:db8:1:100::1 
       2001:db8:1:60::/64 eq 1900 (hitcnt=59) 
  ipv6 access-list IPv6-tACL-Policy line 2 permit udp host 2001:db8:1:100::1 
       host FF02:0:0:0:0:0:0:C eq 1900 (hitcnt=14) 
  ipv6 access-list IPv6-tACL-Policy line 3 permit udp host 2001:db8:1:100::1 
       host FF05:0:0:0:0:0:0:C eq 1900 (hitcnt=17)
  ipv6 access-list IPv6-tACL-Policy line 4 permit udp host 2001:db8:1:100::1 
       host FF08:0:0:0:0:0:0:C eq 1900 (hitcnt=11)
  ipv6 access-list IPv6-tACL-Policy line 5 permit udp host 2001:db8:1:100::1 
       host FF0E:0:0:0:0:0:0:C eq 1900 (hitcnt=12)
  ipv6 access-list IPv6-tACL-Policy line 6 udp any 
       2001:db8:1:60::/64 eq 1900 (hitcnt=47)
  ipv6 access-list IPv6-tACL-Policy line 7 deny ip any any (hitcnt=27)

  In het vorige voorbeeld heeft de toegangslijst IPv6-tACL-Policy 47 SSDP-pakketten op UDP-poort 1900 verbroken die van een onbetrouwbare host of netwerk zijn ontvangen. Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.

  Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.

  Identificatie: berichten in Firewall Access List System

  Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.

  Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

  In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

  Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

  firewall#show logging | grep 106023
    Jan 29 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 
           dst inside:192.168.60.191/1900 by access-group "tACL-Policy"
    Jan 29 2013 00:15:13: %ASA-4-106023: Deny udp src outside:192.0.2.200/2945 
           dst inside:192.168.60.33/1900 by access-group "tACL-Policy"
  firewall#

  In het vorige voorbeeld tonen de berichten die voor het tACL-tACL-beleid zijn geregistreerd mogelijk gespoofde SSDP-pakketten voor UDP-poort 1900 die naar het adresblok zijn gestuurd dat aan de betreffende apparaten is toegewezen.

  Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.

  Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.

  Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding

  De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.

  uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.

  Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en de Unicast Reverse Path Forwarding Cisco Security White Paper te begrijpen.

  Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

  Firewallsyslog-bericht 106021 wordt gegenereerd voor pakketten die worden geweigerd door uRPF. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106021.

  Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

  In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

  Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

  firewall#show logging | grep 106021
    Jan 29 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
           192.168.60.1 to 192.168.60.100 on interface outside
    Jan 29 2013 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
           192.168.60.1 to 192.168.60.101 on interface outside
    Jan 29 2013 00:15:13: %ASA-1-106021: Deny TCP reverse path check from
           192.168.60.1 to 192.168.60.102 on interface outside

  De opdracht Snel zetten kan ook het aantal pakketten identificeren dat de uRPF-functie is kwijtgeraakt, zoals in het volgende voorbeeld:

  firewall#show asp drop frame rpf-violated
    Reverse-path verify failed                          11
  firewall#

  In het voorafgaande voorbeeld, uRPF 11 IP pakketten gedaald die op interfaces met uRPF gevormd worden ontvangen. Het ontbreken van uitvoer geeft aan dat de uRPF-functie in de firewall geen pakketten heeft laten vallen.

  Voor extra informatie over het debuggen van versnelde security pad gedropte pakketten of verbindingen, verwijzen we naar de Cisco Security Appliance Command Reference voor show asp drop.

  Cisco-inbraakpreventiesysteem

  Beperken: Cisco IPS-handtekeningtabel

  Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.

  CVE-id	Handtekeningrelease	Handtekening-ID	Handtekeningnaam	Ingeschakeld	Ernst	Fidelity*
  CVE-2012-5958	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5959	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5960	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5961	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5962	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5963	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5964	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90
  CVE-2012-5965	S692-software	1851/0	Draagbare SDK voor UPnP-apparaten met overloop van buffers	Ja	Hoog	90

  * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

  Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.

  Explosies die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.

  Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert de kwetsbaarheden te exploiteren die in dit document worden beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

  Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

  Cisco Security Manager

  Identificatie: Cisco Security Manager

  Cisco Security Manager, gebeurtenisviewer

  Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.

  Met behulp van de voorgedefinieerde weergave IPS Alert Events in het gebeurtenisvenster kan de gebruiker de zoekstring 1851/0 invoeren in het gebeurtenisfilter om alle opgenomen gebeurtenissen met betrekking tot Cisco IPS-handtekening 1851/0 terug te sturen.

  Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.

  • Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
  • Gebruik het eventfilter voor bestemmingsservice om objecten te filteren die UDP-poort 1900 bevatten

  Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:

  • ASA 5500-40-106021 (uRPF-spoofing)
  • ASA 5500-4-106023 (ACL-ontkenning)

  Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.

  Cisco Security Manager-rapportbeheer

  Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.

  Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de handtekenings-id is ingesteld op 1851/00, genereert Cisco Security Manager een uitgebreid rapport waarin het aantal opgeslagen waarschuwingen voor de handtekening van belang wordt gerangschikt ten opzichte van de totale som van alle handtekeningen die in het rapport worden weergegeven.

  Cisco Security Manager genereert een uitgebreid rapport waarin de telling van de opgeslagen waarschuwingen voor de handtekening van belang wordt gerangschikt ten opzichte van de totale som van alle signaleringen voor handtekeningen die in het rapport worden weergegeven.

  Ook in Rapportbeheer kan het Top Services-rapport worden gebruikt met de volgende configuratie om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:

  • Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
  • Stel een actie van Deny in op de pagina Criteria instellingen

  Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.

  Identificatie: Event Management System Partner Events

  Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die door een Cisco IPS-handtekening zijn gemaakt of syslogberichten van firewalls te ontkennen die kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:

  • 1851/1850 Draagbare SDK voor UPnP-apparaten met bufferoverloop
  • ASA 5500-40-106021 (uRPF-spoofing)
  • ASA 5500-4-106023 (ACL-ontkenning)

  Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Waarschuwingsgeschiedenis Eerste vrijgave		2013-januari-30 17:24 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

• • Cisco-bulletins voor toegepaste beperking
  • Cisco-beveiliging
  • Cisco Security IntelliShield Alert Manager-service
  • Cisco IOS NetFlow - startpagina op Cisco.com
  • Cisco IOS NetFlow-witboeken
  • NetFlow-prestatieanalyse
  • Witboeken voor Cisco Network Foundation-bescherming
  • Presentaties voor Cisco Network Foundation-bescherming
  • Een security georiënteerde benadering van IP-adressering
  • Opdrachttaal voor gereedschap beveiligen op Cisco IOS
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Verbeteringen in Unicast Reverse Path Forwarding voor de Internet Service Provider
  • Cisco-inbraakpreventiesysteem
  • Cisco-downloads voor IPS-handtekeningen
  • Cisco-zoekpagina voor IPS-handtekeningen
  • Cisco Security Manager
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Cisco-software	Cisco PVC2300 videocamera voor bedrijven - Audio/PoE-firmware	1 (.1.1.4, .1.2.6)
  	Cisco RVS400 Gigabit security router - VPN-firmware	1.3 (.0.5, .1.0, .2.0, .3.5) | 2,0 (basis, 0,3)
  	Cisco WRVS440N Gigabit security router	2.0 (basis, 0,7, 0,8, 1,3)
  	Cisco ASA 5500 Series security applicatie	2 (Basis, .1.18)
  	Cisco WRP400 Wireless-G breedbandrouter met 2 telefoonpoorten en firmware	1 (0,00,06, 01,00) | 2 ( 0.00.05, 00.20, 00.26)
  IntelliShield	Security Activity Bulletin	Oorspronkelijke release (basis)

  
  
  

  Verwante producten
  FreeBSD-project	FreeBSD	7.3 (Basis) | 7,4 (Basis) | 8,0 (basis) | 8.1 (Basis) | 8.2 (Basis) | 8.3 (Basis) | 9,0 (basis) | 9.1 (Basis)
  Openbare GNU-licentie	libupine	1.6 (Basis, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13, .14, .15, .16, .17)