Bijgewerkt:6 augustus 2016

Document-id:1470489959562190

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Cisco-bulletin over toegepaste beperking

Cisco Applied Mitigation Bulletin: Microsoft Security Bulletin release voor april 2013

Doc ID:

28764

Voor het eerst gepubliceerd:

2013 april 9 18:15 GMT

Laatst bijgewerkt:

2013 mei 8 14:53 GMT

Versie:

CVE-2013-0078

CVE-2013-1282

CVE-2013-1283

Meer...

IntelliShield

CVE-2013-0078

CVE-2013-1282

CVE-2013-1283

Meer...

IntelliShield

Cisco Response

Microsoft kondigde negen veiligheidsbulletins aan die 14 kwetsbaarheden adresseren als deel van het maandelijkse veiligheidsbulletin van 9 April, 2013. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms13-apr. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

De kwetsbaarheden die lokaal op het kwetsbare apparaat kunnen worden geëxploiteerd, gebruikersinteractie vereisen, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mail bedreigingen) of e-mailbijlagen, zijn in de volgende lijst:
- MS13-028
- MS13-029
- MS13-030
- MS13-031
- MS13-032
- MS13-033
- MS13-034
- MS13-035
- MS13-036
De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheid met een netwerkaanvalsvector, die later in dit document in detail wordt besproken.
Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden vermeld in Cisco Event Response: Microsoft Security Bulletin release voor april 2013.

Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".

Kwetsbaarheid Kenmerken

MS13-029, Vulnerability in Remote Desktop Client kan Remote Code Execution (2828223) toestaan: Deze kwetsbaarheid is toegewezen Common Vulnerabilities and Exposations (CVE) identifier CVE-2013-1296. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Als deze kwetsbaarheid met succes wordt benut, kan willekeurige code worden uitgevoerd. De aanvalsvector voor de exploitatie van deze kwetsbaarheid is via HTTP-pakketten die doorgaans TCP-poort 80 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.

De Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM), Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers, en Cisco ACE Application Control Engine applicatie en module bieden bescherming voor potentiële pogingen om deze kwetsbaarheid te exploiteren (een onderwerp dat in dit document is opgenomen). Cross-site scripting (XSS) en phishing kunnen ook worden gebruikt om deze kwetsbaarheid te exploiteren. Raadpleeg voor extra informatie over aanvallen met cross-site scripting en de methoden die zijn gebruikt om deze kwetsbaarheid te exploiteren het Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting Threat Vectors.

Ook cross-site request forgery (CSRF) kan worden gebruikt om deze kwetsbaarheid te exploiteren. Raadpleeg voor extra informatie over aanvallen op verzoek van andere sites het Cisco Application Mitigation Bulletin: Understanding Cross-Site request Forgery Threat Vectors.

MS13-032, Kwetsbaarheid in Active Directory kan leiden tot Ontkenning van Service (2830914): Deze kwetsbaarheid is toegewezen Common Vulnerabilities and Exposations (CVE) identifier CVE-2013-1282. Deze kwetsbaarheid kan op afstand worden uitgebuit met verificatie en zonder gebruikersinteractie. Succesvolle exploitatie van deze kwetsbaarheid kan resulteren in een denial of service (DoS). Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector is de LDAP-pakketten met TCP-poorten 389, 636 en 3268.

MS13-035, Kwetsbaarheid in de Onderdeel van de Reiniging van HTML zou de Verhoging van Privilege (2821818) kunnen toestaan: Deze kwetsbaarheid is toegewezen Gemeenschappelijke Kwetsbaarheid en Blootstellingen (CVE) herkenningsteken CVE-2013-1289. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Succesvolle uitbuiting van deze kwetsbaarheid kan resulteren in verhoogde privileges. De aanvalsvector is het HTTP-protocol met TCP-poort 80-pakketten. Vanwege de aard van XSS kwetsbaarheden, zal geen extra informatie worden gepresenteerd in dit bulletin.

Raadpleeg voor extra informatie over aanvallen met cross-site scripting en de methoden die zijn gebruikt om deze kwetsbaarheid te exploiteren het Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting Threat Vectors.

Ook cross-site request forgery (CSRF) kan worden gebruikt om deze kwetsbaarheid te exploiteren. Raadpleeg voor extra informatie over CSRF-aanvallen het Cisco Applied Mitigation Bulletin: Understanding Cross-Site Request Forgery Threat Vectors.

Overzicht van kwetsbaarheden

Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in het Microsoft Security Bulletin Samenvatting voor April 2013, dat beschikbaar is op de volgende link: http://www.microsoft.com/technet/security/bulletin/ms13-apr.mspx

Overzicht Mitigation Technique

De kwetsbaarheden die lokaal op het kwetsbare apparaat kunnen worden geëxploiteerd, gebruikersinteractie vereisen of kunnen worden geëxploiteerd met behulp van webgebaseerde aanvallen (deze omvatten maar zijn niet beperkt tot XSS, phishing en webgebaseerde e-mailbedreigingen) of e-mailbijlagen, zijn in de volgende lijst:
- MS13-028
- MS13-029
- MS13-030
- MS13-031
- MS13-032
- MS13-033
- MS13-034
- MS13-035
- MS13-036
Deze kwetsbaarheden worden op het endpoint met het meeste succes verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Cisco Security Agent Host Inbraakpreventiesysteem (HIPS) of antivirusproducten.

De kwetsbaarheden die een netwerkmatiging hebben zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van transittoegangscontrolelijsten (tACL’s).

Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen om de kwetsbaarheid te exploiteren die een vector van de netwerkaanval heeft.

Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met de volgende methoden:
- TACL’s
- Toepassingslaag voor protocolinspectie
Deze beschermingsmechanismen filteren en laten vallen pakketten die proberen om de kwetsbaarheden te exploiteren die een vector van de netwerkaanval hebben.

De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.

Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren zoals later in dit document besproken.

De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.

Risicobeheer

Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

Cisco IOS-routers en -Switches
Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Cisco ACE
Cisco-inbraakpreventiesysteem
Cisco Security Manager

Cisco IOS-routers en -Switches

Beperking: toegangscontrolelijsten voor douanevervoer

Voor MS13-032 wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren voor het uitvoeren van beleidshandhaving om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, waaronder internetverbindingspunten, partner- en leveranciersknooppunten of VPN-verbindingspunten. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het tACL-beleid ontkent onbevoegde LDAP IPv4- en IPv6-pakketten op TCP-poorten 389, 636 en 3268 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

Aanvullende informatie over ACL’s is beschikbaar in Transit Access Control Lists: Filtering at Your Edge.

! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports for MS13-032 !
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks against MS13-032 !
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 389
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 636
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 3268 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
access-list 150 deny ip any any
! !-- Create the corresponding IPv6 tACL !
ipv6 access-list IPv6-Transit-ACL-Policy
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports for MS13-032 !
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636
permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268
! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses !
deny tcp any 2001:DB8:1:60::/64 eq 389
deny tcp any 2001:DB8:1:60::/64 eq 636
deny tcp any 2001:DB8:1:60::/64 eq 3268
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
permit icmp any any nd-ns
permit icmp any any nd-na
!
!-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any
! ! !-- Apply tACLs to interfaces in the ingress direction !
interface GigabitEthernet0/0
ip access-group 150 in
ipv6 traffic-filter IPv6-Transit-ACL-Policy in

Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp error-interval interval-in-ms.

Identificatie: Toegangscontrolelijsten voor douanevervoer

Nadat de beheerder de tACL op een interface heeft toegepast, toont hij IP-toegangslijsten en toont hij ipv6-toegangslijsten met opdrachten die het aantal LDAP IPv4- en IPv6-pakketten op TCP-poorten 389, 636 en 3268 identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De voorbeelduitvoer voor toont IP-toegangslijsten 150 en toont ipv6-toegangslijst IPv6-Transit-ACL-Policy als volgt:

router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 389
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 636
    30 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 3268
    40 deny tcp any 192.168.60.0 0.0.0.255 eq 389 (18 matches)
    50 deny tcp any 192.168.60.0 0.0.0.255 eq 636 (30 matches)
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 3268 (9 matches)
    70 deny ip any any
router#

In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:

18 LDAP-pakketten op TCP-poort 389 voor ACE-lijn 40
30 LDAP-pakketten op TCP-poort 636 voor ACE-lijn 50
9 LDAP-pakketten op TCP-poort 3268 voor ACE-lijn 60

router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 389 (10 matches) sequence 10
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 636 (8 matches) sequence 20
    permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 3268 (3 matches) sequence 30
    deny tcp any 2001:DB8:1:60::/64 eq 389 (40 matches) sequence 40
    deny tcp any 2001:DB8:1:60::/64 eq 636 (21 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 3268 (17 matches) sequence 60
    permit icmp any any nd-ns (78 matches) sequence 70
    permit icmp any any nd-na (92 matches) sequence 80
    deny ipv6 any any sequence (7 matches) 90

In het vorige voorbeeld heeft de toegangslijst IPv6-Transit-ACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:

40 LDAP-pakketten op TCP-poort 389 voor ACE-lijn 40
21 LDAP-pakketten op TCP-poort 636 voor ACE-lijn 50
17 LDAP-pakketten op TCP-poort 3268 voor ACE-lijn 60

Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.

Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. Het Cisco Security Intelligence Operations-witboek Embedded Event Manager in een security context biedt aanvullende informatie over hoe u deze functie kunt gebruiken.

Identificatie: Vastlegging toegangslijst

De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.

Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.

Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.

De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.

Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het witboek Inzicht in toegangscontrolelijst en Cisco Security Intelligence Operations.

Cisco IOS NetFlow en Cisco IOS flexibele NetFlow

Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow

Voor MS13-032 kunnen beheerders Cisco IOS NetFlow op Cisco IOS-routers en -switches configureren als hulp bij de identificatie van IPv4-verkeersstromen die mogelijk pogingen zijn om te profiteren van de kwetsbaarheid die in dit document wordt beschreven en die een netwerkaanvalsvector heeft. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om de kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 4731 027C    14
Gi0/0         192.168.11.54   Gi0/1         192.168.60.158  06 4732 0CC4    13
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    11 0016 00A1     1
Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 4733 0185    25
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 4734 0185     1
Gi0/0         10.88.226.1     Gi0/1         192.168.202.22  11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  11 0BD7 00A2    22
Gi0/0         10.89.16.226    Gi0/1         192.168.150.60  06 4735 0CC4    21

In het bovenstaande voorbeeld zijn er meerdere stromen voor LDAP op TCP-poorten 389 (hex-waarde 0185), 636 (hex-waarde 027C) en 3268 (hex-waarde 0CC4).

Zoals in het volgende voorbeeld wordt getoond, om alleen de verkeersstromen voor LDAP-pakketten op TCP-poorten 389 (hex-waarde 0185), 636 (hex-waarde 027C) en 3268 (hex-waarde 0CC4) te bekijken, gebruikt u de cachestroom van de show ip | inclusief SrcIf|_06_.*(0185|027C|0CC4)_ opdracht om de verwante Cisco NetFlow-records weer te geven: TCP-stromen

router#show ip cache flow | include SrcIf|_06_.*(0185|027C|0CC4)_
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.12.110   Gi0/1         192.168.60.163  06 092A 0185     5
Gi0/0         192.168.11.230   Gi0/1         192.168.60.20   06 0C09 0CC4     9
Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  06 0B66 0CC4    28
Gi0/0         192.168.13.7     Gi0/1         192.168.60.162  06 0914 027C    13
Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   06 0B7B 027C    42

Identificatie: IPv6 Traffic Flow Identification met Cisco IOS NetFlow

Voor MS13-032 kunnen beheerders Cisco IOS NetFlow op Cisco IOS-routers en -switches configureren als hulp bij de identificatie van IPv6-verkeersstromen die kunnen worden getracht te profiteren van de kwetsbaarheden die in dit document worden beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

De volgende uitvoer is van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.

router#show ipv6 flow cache

IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x06 0x36C4 0x027C 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x360A 0x0185 1597
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x06 0x3610 0x0CC4 1001  
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x06 0x3634 0x027C 1292  
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193

Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

In het vorige voorbeeld zijn er meerdere IPv6-stromen voor LDAP op TCP-poorten 389 (hex-waarde 0185), 636 (hex-waarde 027C) en 3268 (hex-waarde 0CC4).

Zoals in het volgende voorbeeld wordt getoond, om alleen de LDAP-pakketten op TCP-poorten 389 (hex-waarde 0185), 636 (hex-waarde 027C) en 3268 (hex-waarde 0CC4) te bekijken, gebruikt u het cachegeheugen van de show ipv6 flow | inclusief SrcIf|_06_.*(0185|027C|0CC4)_ opdracht om de verwante Cisco NetFlow-records weer te geven:

TCP-stromen

router#show ipv6 flow cache | include SrcIf|_06_.*(0185|027C|0CC4)_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x360A 0x0185 1597
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x06 0x3610 0x0CC4 1001  
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x06 0x3634 0x027C 1292  
router#

Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS flexibele NetFlow

Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.

Voor MS13-032 kunnen beheerders Cisco IOS Flexibele NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die kunnen worden getracht om de kwetsbaarheid te benutten die in dit document wordt beschreven en die een netwerkaanvalsvector heeft. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om de kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv4
 match ipv4 source address
 collect ipv4 protocol
 collect ipv4 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv4
 record FLOW-RECORD-ipv4
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
 ip flow monitor FLOW-MONITOR-ipv4 input

De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

router#show flow monitor FLOW-MONITOR-ipv4 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                1

  Flows added:                                   9181
  Flows aged:                                    9175
    - Active timeout      (  1800 secs)          9000
    - Inactive timeout    (    15 secs)           175
    - Event aged                                    0
    - Watermark aged                                0
    - Emergency aged                                0

IPV4 SRC ADDR  ipv4 dst addr  trns src port trns dst port intf input intf output pkts ip prot
============== ============== ============= ============= ========== =========== ==== =======
192.168.10.201 192.168.60.102          1456           389      Gi0/0       Gi0/1 1128       6
 192.168.11.54 192.168.60.158           123           636      Gi0/0       Gi0/1 2212       6
192.168.150.60   10.89.16.226          2567           161      Gi0/0       Gi0/1   13       6
 192.168.13.97  192.168.60.28          3451           389      Gi0/0       Gi0/1    1       6
 192.168.10.17  192.168.60.97          4231          3268      Gi0/0       Gi0/1  146       6
   10.88.226.1 192.168.202.22          2678           161      Gi0/0       Gi0/1  567      17
  10.89.16.226 192.168.150.60          3562            53      Gi0/0       Gi0/1  312      17

Alleen LDAP-pakketten bekijken gebruik op TCP-poorten 389, 636 en 3268 de tabel met deshow flow-monitor-ipv4 cache-indeling | IPV4 DST ADDR |_(389|636|3268)_.*_6_ opdracht om de gerelateerde NetFlow-records weer te geven.

Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.

Identificatie: IPv6 Traffic Flow Identification met Cisco IOS flexibele NetFlow

Voor MS13-032 kunnen beheerders Cisco IOS Flexibele NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv6-verkeersstromen die kunnen worden getracht om de kwetsbaarheid te benutten die in dit document wordt beschreven en die een netwerkaanvalsvector heeft. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om de kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv6-stromen op basis van het IPv6-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv6-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv6-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

! !-- Configure key and nonkey fields !-- in the user-defined flow record !
flow record FLOW-RECORD-ipv6
 match ipv6 source address
 collect ipv6 protocol
 collect ipv6 destination address
 collect transport source-port
 collect transport destination-port
 collect interface input
 collect interface output
 collect counter packets
! !-- Configure the flow monitor to !-- reference the user-defined flow !-- record !
flow monitor FLOW-MONITOR-ipv6
 record FLOW-RECORD-ipv6
! !-- Apply the flow monitor to the interface !-- in the ingress direction !
interface GigabitEthernet0/0
  ipv6 flow monitor FLOW-MONITOR-ipv6 input

De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

router#show flow monitor FLOW-MONITOR-ipv6 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               6
  High Watermark:                                2

  Flows added:                                   539
  Flows aged:                                    532
    - Active timeout      (  1800 secs)          350
    - Inactive timeout    (    15 secs)          182
    - Event aged                                   0
    - Watermark aged                               0
    - Emergency aged                               0

IPV6 SRC ADDR     ipv6 dst addr     trns src port trns dst port intf input intf output pkts ip prot
================= ================= ============= ============= ========== =========== ==== =======
2001:DB...06::201  2001:DB...28::20           123           123      Gi0/0       Gi0/0   17      17
2001:DB...06::201  2001:DB...28::20          1265           389      Gi0/0       Gi0/0  583       6
2001:DB...06::201  2001:DB...28::20          1441          3268      Gi0/0       Gi0/0 2346       6
2001:DB...06::201  2001:DB...28::20          1890           636      Gi0/0       Gi0/0 5009       6
2001:DB...06::201  2001:DB...28::20          2856            23      Gi0/0       Gi0/0  486       6
2001:DB...06::201  2001:DB...28::20          3012            53      Gi0/0       Gi0/0 1016      17
2001:DB...06::201  2001:DB...28::20          2477            53      Gi0/0       Gi0/0 1563      17

Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

Als u alleen de LDAP-pakketten op TCP-poort 389, 636 en 3268 wilt bekijken, gebruikt u de tabel met de flow-monitor-ipv6-cache. | inclusief IPV6 DST ADDR|_(389|636|3268)_.*_6_ opdracht om de verwante Cisco IOS flexibele NetFlow-records weer te geven.

Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

Beperking: toegangscontrolelijsten voor douanevervoer

Voor MS13-032 wordt beheerders aangeraden om TACL’s te implementeren voor het uitvoeren van beleidshandhaving om het netwerk te beschermen tegen verkeer dat het netwerk binnenkomt op toegangspunten, waaronder internetverbindingspunten, partner- en leverancierskanalen of VPN-verbindingspunten. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het tACL-beleid ontkent onbevoegde LDAP IPv4- en IPv6-pakketten op TCP-poorten 389, 636 en 3268, die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 is de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.

! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports !-- for MS13-032 !
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 389
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 636
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 3268
! !-- The following vulnerability-specific ACEs !-- can aid in identification of attacks !
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 389
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 636
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 3268
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
access-list tACL-Policy extended deny ip any any
! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable ports !-- for MS13-032 !
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1
          2001:db8:1:60::/64 eq 389
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1
          2001:db8:1:60::/64 eq 636
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1
          2001:db8:1:60::/64 eq 3268
! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 389
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 636
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 3268
! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
ipv6 access-list IPv6-tACL-Policy deny ip any any
! !-- Apply tACLs to interfaces in the ingress direction !
access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

Identificatie: Toegangscontrolelijsten voor douanevervoer

Nadat tACL is toegepast op een interface, kunnen beheerders de opdracht show access-list gebruiken om het aantal LDAP IPv4- en IPv6-pakketten op TCP-poorten 389, 636 en 3268 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegangslijst tACL-Policy en toont toegangslijst IPv6-tACL-Policy volgt:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 7 elements; name hash: 0x3452703d
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq ldap (hitcnt=43) 0xd5859bc3
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq ldaps (hitcnt=52) 0x5a2f2215
access-list tACL-Policy line 3 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 3268 (hitcnt=23) 0x15899a86
access-list tACL-Policy line 4 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq ldap (hitcnt=28) 0x6bbaab7a
access-list tACL-Policy line 5 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq ldaps (hitcnt=20) 0x5abcaa1b
access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq 3268 (hitcnt=19) 0x43fd9bee
access-list tACL-Policy line 7 extended deny ip any any (hitcnt=6) 0xfb7b3a57

In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:

28 LDAP-pakketten op TCP-poort 389 voor ACE-lijn 4
20 LDAP pakketten op TCP-poort 636 voor ACE-lijn 5
19 LDAP pakketten op TCP-poort 3268 voor ACE-lijn 6

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 7 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 2001:db8::100:1 
     2001:db8:1:60::/64 eq ldap (hitcnt=41) 0xee9e533c
ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 2001:db8::100:1 
     2001:db8:1:60::/64 eq ldaps (hitcnt=4) 0x9b48ee6e
ipv6 access-list IPv6-tACL-Policy line 3 permit tcp host 2001:db8::100:1 
     2001:db8:1:60::/64 eq 3268 (hitcnt=5) 0x0fa65021
ipv6 access-list IPv6-tACL-Policy line 4 deny tcp any 
     2001:db8:1:60::/64 eq ldap (hitcnt=42) 0xd94c53d7
ipv6 access-list IPv6-tACL-Policy line 5 deny tcp any 
     2001:db8:1:60::/64 eq ldaps (hitcnt=23) 0x0199d443
ipv6 access-list IPv6-tACL-Policy line 6 deny tcp any 
     2001:db8:1:60::/64 eq 3268 (hitcnt=13) 0xc611afbb
ipv6 access-list IPv6-tACL-Policy line 7 deny ip any any (hitcnt=40) 0xa6445d5d

In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy de volgende pakketten verbroken die van een onbetrouwbare host of een onbetrouwbaar netwerk worden ontvangen:

42 LDAP-pakketten op TCP-poort 389 voor ACE-lijn 4
23 LDAP-pakketten op TCP-poort 636 voor ACE-lijn 5
13 LDAP-pakketten op TCP-poort 3268 voor ACE-lijn 6

Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.

Identificatie: berichten in Firewall Access List System

Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.

Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

firewall#show logging | grep 106023
  Apr 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.118/4731 
         dst inside:192.168.60.11/636 by access-group "tACL-Policy"
  Apr 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.100/4732 
         dst inside:192.168.60.133/3268 by access-group "tACL-Policy"
  Apr 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.209/4733 
         dst inside:192.168.60.180/3268 by access-group "tACL-Policy"
  Apr 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.180/4734 
         dst inside:192.168.60.134/389 by access-group "tACL-Policy"
  Apr 09 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.89/4735 
         dst inside:192.168.60.29/389 by access-group "tACL-Policy"
firewall#

In het voorafgaande voorbeeld, tonen de berichten die voor tACL tACL-Policy zijn geregistreerd LDAP-pakketten voor TCP-poorten 389, 636, en 3268, die naar het adresblok zijn verzonden dat aan de betreffende apparaten is toegewezen.

Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.

Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.

Beperking: Application Layer Protocol Inspectie

Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Beheerders kunnen een inspectiebeleid opstellen voor toepassingen die een speciale behandeling vereisen door middel van de configuratie van kaarten van inspectieklasse en kaarten van het inspectiebeleid, die door middel van een globaal of interfacedienstenbeleid worden toegepast.

Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.

Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

HTTP-toepassingsinspectie
Voor MS13-029 kunnen beheerders met behulp van de HTTP-inspectieengine op de Cisco ASA 5500 Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en de Cisco Firewall Services Module reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en kaarten van inspectiebeleid. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd. Het voorbeeld hieronder bevat voorbeelden voor Windows Vista SP1 en Windows 7. Voor andere versies van het Windows-besturingssysteem raadpleegt u de pagina Met de afstandsbediening van het bureaublad ActiveX op de Microsoft-website.

Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.

Aanvullende informatie over ActiveX maakt gebruik van en beperkt de mogelijkheden van Cisco-firewalltechnologieën die beschikbaar zijn in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection Cisco Security Intelligence Operations.

! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes for the !-- ActiveX Class ID !-- "7390F3D8-0439-4C05-91E3-CF5CB290C3D0" !-- for Windows Vista SP1 and !-- "A9D7038D-B5ED-472E-9C47-94BEA90A5910" !-- for Windows 7 !-- that are associated with MS13-029 ! regex CLSID_MS13-029-VISTA "7390[fF]3[dD]8[-]0439[-]4[cC]05[-]91[eE]3
                 [-][cC][fF]5[cC][bB]290[cC]3[dD]0"
regex CLSID_MS13-029-W7 "[aA]9[dD]7038[dD][-][bB]5[eE][dD][-]472[eE]
                 [-]9[cC]47[-]94[bB][eE][aA]90[aA]5910"
! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! 
class-map type regex match-any MS13-029_class
 match regex CLSID_MS13-029-VISTA
 match regex CLSID_MS13-029-W7
! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map Webports_Class
 match access-list Webports_ACL
! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Apr_2013_policy
 parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !  body-match-maximum 1380
 match response body regex class MS13-029_class
  drop-connection log
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
policy-map global_policy
 class Webports_Class
  inspect http MS_Apr_2013_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

Raadpleeg de Cisco ASA 5500 Series Configuration Guide in combinatie met de CLI, 8.2 voor het configureren van objectgroepen en de sectie Config Objecten en Toegangslijsten van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5. voor extra informatie over de configuratie en het gebruik van objectgroepen.

Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie - Overzicht van de Cisco ASA 5500 Series configuratiehandleiding die de CLI, 8.2 gebruikt.

Identificatie: Application Layer Protocol Inspection

Er wordt een firewallsyslog-bericht 415007 gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415007.

Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

HTTP-toepassingsinspectie

firewall#show logging | grep 415007
  Apr 09 2013 14:35:54: %ASA-5-415007: HTTP - matched Class 22: 
         MS13-029_class in policy-map MS_Apr_2013_policy, Body matched - 
         Dropping connection from inside:192.168.60.85/2130 to 
         outside:192.0.2.63/80
  Apr 09 2013 14:35:55: %ASA-5-415007: HTTP - matched Class 20: 
         MS13-029_class in policy-map MS_Apr_2013_policy, Body matched - 
         Dropping connection from inside:192.168.60.86/2133 to 
         outside:192.0.2.63/80
  Apr 09 2013 14:36:03: %ASA-5-415007: HTTP - matched Class 24:
         MS13-029_class in policy-map MS_Apr_2013_policy, Body matched - 
         Dropping connection from inside:192.168.60.87/2129 to 
         outside:192.0.2.63/80

Als HTTP-toepassingsinspectie is ingeschakeld, zal de opdracht Protocol inspecteren voor show-service het aantal HTTP-pakketten identificeren die door deze functie worden geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy inspect http:

firewall# show service-policy inspect http
Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
    Class-map: Webports_Class
      Inspect: http MS_Apr_2013_policy, packet 5025, drop 13, reset-drop 0
       protocol violations
          packet 0        
       match response body regex class MS13-029_class
         drop-connection log, packet 13

In het vorige voorbeeld zijn 5025 HTTP-pakketten geïnspecteerd en zijn 13 HTTP-pakketten gevallen.

Cisco ACE

Beperken: Application Protocol Inspection

Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.

Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.

HTTP-pakketcontrole voor diep gebruik

Om HTTP diepe pakketinspectie voor MS13-029 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklassekaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsprotocolinspectie van HTTP zal verbindingen laten vallen waar de inhoud van HTTP om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd. Het voorbeeld hieronder bevat voorbeelden voor Windows Vista SP1 en Windows 7. Voor andere versies van het Windows-besturingssysteem raadpleegt u de pagina Met de afstandsbediening van het bureaublad ActiveX op de Microsoft-website.

Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed.

Aanvullende informatie over ActiveX-explosies en -beperkingen die gebruikmaken van de Cisco ACE Application Control Engine-applicatie en -module is beschikbaar in het witboek Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Inspection van Cisco Security Intelligence Operations.

! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regexes for the !-- ActiveX Class ID !-- "7390F3D8-0439-4C05-91E3-CF5CB290C3D0" !-- for Windows Vista SP1 and !-- "A9D7038D-B5ED-472E-9C47-94BEA90A5910" !-- for Windows 7 !-- that are associated with MS13-029 ! 
class-map type http inspect match-any MS13-029_class
  match content ".*7390[fF]3[dD]8[-]0439[-]4[cC]05[-]91[eE]3
                 [-][cC][fF]5[cC][bB]290[cC]3[dD]0.*"
  match content ".*[aA]9[dD]7038[dD][-][bB]5[eE][dD][-]472[eE]
                 [-]9[cC]47[-]94[bB][eE][aA]90[aA]5910.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
policy-map type inspect http all-match MS_Apr_2013
  class MS13-029_class
    reset log
! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map match-all L4_http_class
  match access-list WEBPORTS
! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
policy-map multi-match L4_MS_Apr_2013
  class L4_http_class
    inspect http policy MS_Apr_2013  
! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Apr_2013

Aanvullende informatie over HTTP Deep Packet Inspection en Application Protocol Inspection is te vinden in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.

Identificatie: Application Protocol Inspection

HTTP-pakketcontrole voor diep gebruik

Cisco ACE-systeembericht 415007 van Application Control Engine wordt gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415007.

ACE/Admin# show logging | include 415007

Apr 09 2013 15:26:43: %ACE-5-415007: HTTP - matched ms13-029 in policy-map 
     L4_MS_Apr_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a 
Apr 09 2013 15:30:33: %ACE-5-415007: HTTP - matched ms13-029 in policy-map 
     L4_MS_Apr_2013, Body matched - Resetting connection from 
     vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3c

Wanneer de diepe pakketinspectie van HTTP wordt toegelaten, zal het show service-policy policy policy detail commando het aantal HTTP-verbindingen identificeren die door deze functie worden geïnspecteerd en verwijderd. Het volgende voorbeeld toont output voor show service-policy L4_MS_apr_2013 detail:

ACE/Admin# show service-policy L4_MS_Apr_2013 detail

Status     : ACTIVE
Description: -----------------------------------------
Context Global Policy:
  service-policy: L4_MS_Apr_2013
    class: L4_http_class
      inspect http:
        L7 inspect policy : MS_Apr_2013
        Url Logging: DISABLED
        curr conns       : 0         , hit count        : 1         
        dropped conns    : 0         
        client pkt count : 3         , client byte count: 589                   
        server pkt count : 3         , server byte count: 547                   
        conn-rate-limit      : 0         , drop-count : 0         
        bandwidth-rate-limit : 0         , drop-count : 0         
        L4 policy stats:
          Total Req/Resp: 4          , Total Allowed: 2         
          Total Dropped : 2          , Total Logged : 0         
        L7 Inspect policy : MS_Apr_2013
          class/match : MS13-029_class
            Inspect action :
               reset log
            Total Inspected      : 4          , Total Matched: 2         
            Total Dropped OnError: 0

In het vorige voorbeeld zijn 4 HTTP-verbindingen geïnspecteerd en zijn 2 HTTP-verbindingen verbroken.

Cisco-inbraakpreventiesysteem

Beperken: acties voor Cisco IPS-handtekeningen

Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.

CVE-id	Handtekeningrelease	Handtekening-ID	Handtekeningnaam	Ingeschakeld	Ernst	Fidelity*
CVE-2013-1289	S706	2088/0	SafeHTML cross-site scripting aanval	Nee	Hoog	85
CVE-2013-1296	S706	2092/0	Microsoft ActiveX Remote Code uitvoeren	Ja	Hoog	85
CVE-2013-1282	S706	2095/0	Microsoft Active Directory-serviceweigering	Ja	Gemiddeld	85

* Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.

Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

Cisco-gegevens over IPS-handtekeningen

De volgende gegevens zijn gecompileerd via externe bewakingsservices die worden geleverd door het Cisco Remote Management Services-team uit een voorbeeldgroep van Cisco IPS-sensoren waarop een versie van Cisco IPS Signature Update [S706] of hoger wordt uitgevoerd. Het doel van deze gegevens is om inzicht te geven in pogingen om de kwetsbaarheden te exploiteren die zijn vrijgegeven als deel van de Microsoft April Security Update die op 9 April, 2013 is vrijgegeven. Deze data zijn verzameld van gebeurtenissen die werden geactiveerd op 8 mei 2013.

CVE-id	Handtekening-ID	Percentage sensoren dat de handtekening weergeeft	Percentage sensoren dat de handtekening weergeeft onder de tien meest bekeken gebeurtenissen
CVE-2013-1289	2088/0	0	0
CVE-2013-1296	2092/0	0	0
CVE-2013-1282	2095/0	0	0

Cisco Security Manager

Identificatie: Cisco Security Manager

Cisco Security Manager, gebeurtenisviewer

Beginnend in softwareversie 4.0, kan Cisco Security Manager systemen van Cisco firewalls en Cisco IPS-apparaten verzamelen en het gebeurtenisvenster bieden, dat kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheden die in dit document worden beschreven.

Met behulp van de voorgedefinieerde weergave IPS Alert Events in het gebeurtenisvenster kan de gebruiker de volgende zoekstrings in het gebeurtenisfilter invoeren om alle opgenomen gebeurtenissen met betrekking tot de Cisco IPS-handtekeningen terug te sturen.

[2088/0]

[2092/0]

[2095/0]

Het gebruik van de volgende filters in de vooraf gedefinieerde weergave Firewall Denied Events in het Event Viewer biedt alle opgenomen Cisco-toegangslijsten voor firewalls om syslog-berichten te ontkennen die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven.

Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
Gebruik het gebeurtenisfilter Bestemmingsdienst om objecten te filteren die de volgende TCP-poorten bevatten:

389
636
3268

Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s in de volgende lijst te filteren om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:

ASA 5500-4-106023 (ACL-ontkenning)
ASA 4-415007 (HTTP-inspectie)

Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.

Cisco Security Manager-rapportbeheer

Beginnend in softwareversie 4.1, ondersteunt Cisco Security Manager de Report Manager, de Cisco IPS Event Reporting-functie. Deze eigenschap staat een beheerder toe om rapporten te bepalen die op de gebeurtenissen van Cisco IPS van belang worden gebaseerd. Rapporten kunnen worden gepland of gebruikers kunnen desgewenst ad-hocrapporten uitvoeren.

Met behulp van Report Manager kan de gebruiker een IPS Top Signatures-rapport definiëren voor Cisco IPS-apparaten die van belang zijn op basis van tijdbereik en handtekeningskenmerken. Wanneer de handtekeningsidentificatie is ingesteld op 2088/2008, genereert Cisco Security Manager een uitgebreid rapport waarin het aantal opgeslagen waarschuwingen voor de handtekening van belang wordt gerangschikt in vergelijking met de totale som van alle handtekeningwaarschuwingen die in het rapport worden weergegeven.

Ook in Rapportbeheer kan het Top Services-rapport worden gebruikt met de volgende configuratie om een rapport te genereren van gebeurtenissen die wijzen op mogelijke pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven:

Gebruik het IP-netwerkfilter van bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24 en IPv6-adresbereik 2001:DB8:1:60::/64).
Stel een actie van Deny in op de pagina Criteria instellingen

Raadpleeg voor meer informatie over IPS Event Reporting van Cisco Security Manager het gedeelte IPS Top Reports van de Cisco Security Manager Gebruikershandleiding.

Identificatie: Event Management System Partner Events

Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. Security Information en Event Management-partnerproducten kunnen worden benut om gebeurtenissen van Cisco-apparaten te verzamelen en vervolgens de verzamelde gebeurtenissen te bevragen voor de incidenten die met een Cisco IPS-handtekening of ontken syslog-berichten van firewalls die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:

2088/2008 SafeHTML cross-site scripting aanval
2902/09 Microsoft ActiveX Remote Code-uitvoering
2095/09 Microsoft Active Directory - Service wordt geweigerd
ASA 5500-4-106023 (ACL-ontkenning)
ASA 4-415007 (HTTP-inspectie)

Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.

Aanvullende informatie

DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Gerelateerd aan dit bericht

Microsoft Windows Client/Server Runtime Subsysteem Geheugen Kwetsbaarheid

Microsoft SharePoint Server-kwetsbaarheid voor HTML-string verwerking tussen sites

Microsoft Windows Defender Pathname Processing Privilege-escalatiekwetsbaarheid

Ongeautoriseerde bekendmaking van toegangsinformatie voor Microsoft SharePoint Enterprise Server

Microsoft Windows Kernel Memory Object Processing Privilege Escalatie Kwetsbaarheid

Microsoft Windows Kernel Memory Object Handling Privilege Escalatie Kwetsbaarheid

Microsoft Windows Remote Desktop Protocol ActiveX Control willekeurige code uitvoeren kwetsbaarheid

Microsoft Windows Win32k Kernel driver-geheugenverwerking geprivilegieerde escalatiekwetsbaarheid

Microsoft Windows Kernel OpenType Font Parsing Denial of Service-kwetsbaarheid

Microsoft Windows Win32k Kernel Driver Memory Object Handling Privilege Escalatie Kwetsbaarheid

Microsoft Windows NTFS Kernel Driver Memory Object Processing Privilege Escalatie Kwetsbaarheid

Microsoft Windows Active Directory Component Memory Handling Denial of Service-kwetsbaarheid

Microsoft Internet Explorer Memory Object Handling Use-After-Free Willekeurige Code Uitvoering Kwetsbaarheid

Microsoft Internet Explorer Memory Object Processing Use-After-Free willekeurige code uitvoeren kwetsbaarheid
Alle 14 tonen...

Revisiegeschiedenis

Versie	Beschrijving	Datum
6	IPS-handtekeningsgebeurtenisgegevens van Cisco Remote Management Services zijn vanaf 8 mei 2013 beschikbaar voor IPS-handtekeningen.	2013-mei-08 14:53 GMT
5	Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 23 april 2013 beschikbaar voor IPS-handtekeningen.	2013-april-24 14:34 GMT
4	Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 16 april 2013 beschikbaar voor IPS-handtekeningen.	2013-april-17 14:41 GMT
3	Gegevens van IPS-handtekeningen van Cisco Remote Management Services zijn vanaf 11 april 2013 beschikbaar voor IPS-handtekeningen.	2013-april-12 16:23 GMT
2	Cisco Applied Mitigation Bulletin met informatie over gecorrigeerde kwetsbaarheidswaarschuwing.	2013-april-10 22:05 GMT
1	Cisco Applied Mitigation Bulletin eerste publieke release	2013-april-09 18:15 GMT

Minder tonen

Cisco-beveiligingsprocedures

Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

Betrokken producten

De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.

Primaire producten
Microsoft, Inc.	Groove-server	2010 (SP1)
	Internet Explorer	7,0 (basis) \| 8,0 (basis) \| 9,0 (basis) \| 10,0 (basis)
	Office SharePoint Server	2010 (SP1)
	Windows 7	voor 32-bits systemen (Base, SP1) \| voor op x64 gebaseerde systemen (Base, SP1)
	Windows 8	voor 32-bits systemen (Base) \| voor op x64 gebaseerde systemen (Base)
	Windows RT	Oorspronkelijke release (basis)
	Windows Server 2003	Datacenter Edition (SP2) \| Datacenter Edition, 64-bits (Itanium) (SP2) \| Datacenter Edition x64 (AMD/EM64T) (SP2) \| Enterprise Edition (SP2) \| Enterprise Edition, 64-bits (Itanium) (SP2) \| Enterprise Edition x64 (AMD/EM64T) (SP2) \| Standard Edition (SP2) \| Standard Edition, 64-bits (Itanium) (SP2) \| Standard Edition x64 (AMD/EM64T) (SP2) \| Web Edition (SP2)
	Windows Server 2008	Datacenter Edition (SP2) \| Datacenter Edition, 64-bits (SP2) \| Itanium-gebaseerde Systems Edition (SP2) \| Enterprise Edition (SP2) \| Enterprise Edition, 64-bits (SP2) \| Essential Business Server Standard (SP2) \| Essential Business Server Premium (SP2) \| Essential Business Server Premium, 64-bits (SP2) \| Standard Edition (SP2) \| Standard Edition, 64-bits (SP2) \| Webserver (SP2) \| Webserver, 64-bits (SP2)
	Windows Server 2008 R2	x64-gebaseerde Systems Edition (basis, SP1) \| Itanium-gebaseerde Systems Edition (Base, SP1)
	Windows Server 2012	Oorspronkelijke release (basis)
	Windows Vista	Home Basic (SP2) \| Home Premium (SP2) \| Bedrijfsleven (SP2) \| Ondernemingen (SP2) \| Uiteindelijk (SP2) \| Home Basic x64 Edition (SP2) \| Home Premium x64 Edition (SP2) \| Business x64 Edition (SP2) \| Enterprise x64 Edition (SP2) \| Ultieme x64-editie (SP2)
	SharePoint Foundation-software	2010 (SP1)
	Office Web Apps	2010 (SP1)
	SharePoint Enterprise Server	2013 (basis)
	Remote Desktop Connection-client	6.1 (Basis) \| 7,0 (basis)

Verwante producten
Cisco-software	Cisco Broadband Troubleshooter	Oorspronkelijke release (basis) \| 3.1 (Basis) \| 3.2 (Basis)
	Cisco Building Broadband Service Manager (BSM)	Oorspronkelijke release (basis) \| 2,5 (0,1) \| 3,0 (basis) \| 4,0 (Basis, 0,1) \| 4.2 (Basis) \| 4.3 (Basis) \| 4.4 (Basis) \| 4,5 (Basis) \| 5,0 (basis) \| 5.1 (Basis) \| 5.2 (Basis)
	Cisco CNS-netwerkregistratieserver	2,5 (basis) \| 3,0 (basis) \| 3,5 (Basis, 0,1) \| 5,0 (basis) \| 5,5 (Basis, 0,13) \| 6,0 (0,5, 0,5,2, 0,5,3, 0,5,4) \| 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4)
	Cisco Collaboration Server voor dynamische contentadapter (DCA)	Oorspronkelijke release (basis) \| 1,0 (Basis) \| 2.0 (Basis, (1)_SR2)
	Cisco Computer Telephony Integration optie (CTI)	4.7 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) \| 5.1 ((0)_SR1, (0)_SR2, (0)_SR3) \| 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5) \| 7,0 ((0)_SR1, (0)_SR2) \| 7.1, leden 2, 3, 4 en 5
	Cisco-vergaderverbinding	1.1 (3), (3)spA) \| 1.2 (Basis, (1), (2), (2)SR1, (2)SR2)
	Cisco E-mailbeheer	Oorspronkelijke release (basis) \| 4,0 (Basis, .5i, .6) \| 5.0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7)
	Cisco Noodrespons	1.1 (Basis, (3), (4)) \| 1.2 (Basis, (1), (1)SR1, (2), (2)sr1, (3)a, (3)SR1, (3a)SR2) \| 1.3 (Basis, 1a, 2)
	Cisco Intelligent Contact Manager (ICM)	Oorspronkelijke release (basis) \| 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6) \| 5.0 ((0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) \| 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) \| 7.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4) \| 7.1, leden 2, 3, 4 en 5
	Cisco Unified contactcenters	Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) \| Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1(1) , 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2, 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3)_SR1, 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1(1)_SR1, 4.5, 4.5(2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1) \| Hosted Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3)
	Cisco Unified IP IVR	2,0 (0,2) \| 2,1 (0,1a, 0,2, 0,3) \| 2.2 (5), .1, .2, .3b, .3b_spE, .5, .4) \| 3.0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) \| 3.1 ((1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5) \| 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) \| 4.0 ((1)_SR1, (4)_SR1) \| 4.1 (1)_SR1) \| 4.5 ((2)_SR1, (2)_SR2) \| 5,0 ((1)_SR1)
	Cisco IP-interoperabiliteit en -samenwerkingssysteem (IPICS)	1,0 (1,1)
	Cisco IP-wachtrijbeheer	2.2 (Basis)
	Cisco IP/VC 3540 toepassingsservermodule	3,2 (0,0,1,138) \| 3,5 (0,8)
	Cisco IP/VC 3540 snelheidsaanpassingsmodule	3,0 (,9)
	Cisco-mediaspeler	Oorspronkelijke release (basis) \| 3,0 (basis) \| 4,0 (basis) \| 5.0 (Basis, (0)_SR1, (0)_SR2)
	Cisco-netwerkservices voor Active Directory	Oorspronkelijke release (basis)
	Cisco uitgaande optie	Oorspronkelijke release (basis)
	Cisco Personal Assistant	1.0 (Basis, (1)) \| 1.1 (Basis) \| 1.3 (Basis, .1, .2, .3, .4) \| 1,4 (Basis, .2, .3, .4, .5, .6)
	Optie voor Cisco Remote Monitoring Suite	1,0 (basis) \| 2.0 (Basis, (0)_SR1)
	Cisco Secure Access Control Server (ACS) voor Windows	2.6 (Basis) \| 2.6.3.2 (Basis) \| 2.6.4 (Basis) \| 2.6.4.4 (Basis) \| 3,0 (basis) \| 3.0.1 (Basis) \| 3.0.1.40 (Basis) \| 3.0.2 (Basis) \| 3.0.3 (Basis) \| 3.0.3.6 (basis) \| 3.0.4 (Basis) \| 3.1.1 (Basis) \| 3.1.1.27 (basis) \| 3.1.2 (Basis) \| 3.2 (Basis) \| 3.2.1 (Basis) \| 3.2.3 (Basis) \| 3.3.1 (Basis) \| 3.3.2.2 (Basis) \| 3.3.1.16 (basis) \| 3.3.3.11 (basis) \| 4,0 (basis) \| 4.0.1 (Basis) \| 4.0.1.27 (Basis) \| 4.1.1.23 (basis)
	Cisco Secure Access Control Server Solution Engine (ACSE)	3.1 (Basis, .1) \| 3.2 (Basis, .1.20, .2.5, .3) \| 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) \| 4.0 (Basis, .1, .1.42, .1.44, .1.49) \| 4.1 (Basis, .1.23, .1.23.3, .3, .3.12)
	Cisco Secure User Registration Tool (PST)	Oorspronkelijke release (basis) \| 1,2 (Basis, 0,1) \| 2,0 (Basis, 0,7, 0,8) \| 2.5 (Basis, .1, .2, .3, .4, .5)
	Cisco SN 5420 opslagrouter	1.1 (Basis, .3, .4, .5, .7, .8) \| 2,1 (0,1, 0,2)
	Cisco SN 5428-2 opslagrouter	3,2 (0,1, 0,2) \| 3,3 (0,1, 0,2) \| 3,4 (0,1) \| 3.5 (Basis, .1, .2, .3, .4)
	Cisco-trailhead	Oorspronkelijke release (basis) \| 4,0 (basis)
	Cisco Unified Communications Manager	Oorspronkelijke release (basis) \| 1,0 (Basis) \| 2,0 (basis) \| 3,0 (basis) \| 3.0.3 a) (basis) \| 3.1 (Basis, .1, .2, .3a) \| 3.1(1) (Basis) \| 3.1(2) (Basis) \| 3.1(2)SR3 (basis) \| 3.1(3) (Basis) \| 3.1(3)SR2 (Basis) \| 3.1(3)SR4 (basis) \| 3.2 (Basis) \| 3.2(3)SR3 (basis) \| 3.3 (Basis) \| 3.3(2)SPc (basis) \| 3.3(3) (Basis) \| 3.3(3)ES61 (basis) \| 3.3(3)SR3 (basis) \| 3.3(3)SR4a (basis) \| 3.3(3a) (Basis) \| 3.3(4) (Basis) \| 3.3(4)ES25 (Basis) \| 3.3(4)SR2 (Basis) \| 3.3(4c) (basis) \| 3.3(5) (Basis) \| 3.3(5)ES24 (Basis) \| 3.3(5)SR1 (basis) \| 3.3(5)SR1a (basis) \| 3.3(5)SR2 (Basis) \| 3.3(5)SR2a (basis) \| 3.3(5)SR3 (basis) \| 3.3(59) (basis) \| 3.3(61) (basis) \| 3.3(63) (Basis) \| 3.3(64) (basis) \| 3.3(65) (basis) \| 3.3(66) (basis) \| 3.3(67.5) (Basis) \| 3.3(68.1) (Basis) \| 3.3(71.0) (Basis) \| 3.3(74.0) (Basis) \| 3.3(78) (basis) \| 3.3(76) (basis) \| 4,0 (0,1, 0,2) \| 4.0(2a)ES40 (basis) \| 4.0(2a)ES56 (basis) \| 4.0(2a)SR2b (basis) \| 4.0(2a)SR2c (basis) \| 4.1 (Basis) \| 4.1(2) (Basis) \| 4.1(2)ES33 (Basis) \| 4.1(2)ES50 (basis) \| 4.1(2)SR1 (Basis) \| 4.1(3) (Basis) \| 4.1(3)ES (basis) \| 4.1(3)ES07 (basis) \| 4.1(3)ES24 (Basis) \| 4.1(3)SR (basis) \| 4.1(3)SR1 (Basis) \| 4.1(3)SR2 (Basis) \| 4.1(3)SR3 (basis) \| 4.1(3)SR3b (basis) \| 4.1(3)SR3c (basis) \| 4.1(3)SR4 (basis) \| 4.1(3)SR4b (basis) \| 4.1(3)SR4d (basis) \| 4.1(3)SR5 (Basis) \| 4.1(4) (Basis) \| 4.1(9) (Basis) \| 4.1(17) (Basis) \| 4.1(19) (Basis) \| 4.1(22) (Basis) \| 4.1(23) (Basis) \| 4.1(25) (Basis) \| 4.1(26) (Basis) \| 4.1(27.7) (Basis) \| 4.1(28.2) (Basis) \| 4.1(30.4) (Basis) \| 4.1(36) (Basis) \| 4.1(39) (Basis) \| 4.2(1) (Basis) \| 4.2(1)SR1b (basis) \| 4.2(1.02) (Basis) \| 4.2(1.05.3) (Basis) \| 4.2(1.06) (Basis) \| 4.2(1.07) (Basis) \| 4.2(3) (Basis) \| 4.2(3)SR1 (Basis) \| 4.2(3)SR2 (Basis) \| 4.2(3.08) (Basis) \| 4.2(3.2.3) (Basis) \| 4.2(3.3) (Basis) \| 4.2(3.13) (Basis) \| 4.3(1) (Basis) \| 4.3(1)SR (basis) \| 4.3(1.57) (Basis)
	Cisco Unified Customer Voice Portal (CVP)	3,0 ((0), (0)SR1, (0)SR2) \| 3.1 (0), (0)SR1, (0)SR2) \| 4,0 (0), (1), (1)SR1, (2)
	Cisco Unified MeetingPlace	4.3 (Basis) \| 5.3 (Basis) \| 5.2 (Basis) \| 5.4 (Basis) \| 6,0 (basis)
	Cisco Unified MeetingPlace Express	1.1 (Basis) \| 1.2 (Basis) \| 2,0 (basis)
	Cisco Unity	Oorspronkelijke release (basis) \| 2,0 (basis) \| 2.1 (Basis) \| 2.2 (Basis) \| 2.3 (Basis) \| 2,4 (Basis) \| 2,46 (basis) \| 3,0 (basis, 0,1) \| 3.1 (Basis, .2, .3, .5, .6) \| 3.2 (Basis) \| 3.3 (Basis) \| 4.0 (Basis, .1, .2, .3, .3b, .4, .5) \| 4.1 (Basis, 0,1) \| 4.2 (Basis, .1, .1 ES27) \| 5,0 (1) \| 7,0 (2)
	Cisco Unity Express	1.0.2 (Basis) \| 1.1.1 (Basis) \| 1.1.2 (Basis) \| 2.0.1 (Basis) \| 2.0.2 (Basis) \| 2.1.1 (Basis) \| 2.1.2 (Basis) \| 2.1.3 (Basis) \| 2.2.0 (Basis) \| 2.2.1 (Basis) \| 2.2.2 (Basis) \| 2.3.0 (Basis) \| 2.3.1 (Basis)
	Software voor Cisco Wireless Control System (WCS)	1,0 (basis) \| 2,0 (basis, 44.14, 44.24) \| 2,2 ( 0,0, 0,111,0) \| 3,0 (Basis, 0,101,0, 0,105,0) \| 3.1 (basis, 0,20,0, 33,0, 35,0) \| 3.2 (Basis, 0,23,0, 0,25,0, 40,0, 0,51,0, 0,64,0) \| 4.0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) \| 4.1 (Basis, 0,83,0)
	CiscoWorks IP-telefoniemilieumonitor (ITEM)	1.3 (Basis) \| 1,4 (Basis) \| 2,0 (basis)
	CiscoWorks LAN-beheeroplossing (LMS)	1.3 (Basis) \| 2.2 (Basis) \| 2,5 (Basis) \| 2,6 (basis)
	CiscoWorks QoS Policy Manager (QPM)	2.0 (Basis, .1, .2, .3) \| 2,1 (0,2) \| 3,0 (basis, 0,1) \| 3.1 (Basis) \| 3.2 (Basis, .1, .2, .3)
	CiscoWorks Routed WAN-beheeroplossing (RWAN)	1,0 (basis) \| 1.1 (Basis) \| 1.2 (Basis) \| 1,3 (Basis, 0,1)
	CiscoWorks Small Network Management-oplossing (SNMS)	1,0 (basis) \| 1,5 (Basis)
	CiscoWorks VPN/Security Management Solution (VMS)	1,0 (basis) \| 2,0 (basis) \| 2.1 (Basis) \| 2.2 (Basis) \| 2.3 (Basis)
	Cisco Collaboration Server	3,0 (basis) \| 3,01 (basis) \| 3,02 (basis) \| 4,0 (basis) \| 5,0 (basis)
	Cisco DOCSIS CPE-configurator	1,0 (basis) \| 1.1 (Basis) \| 2,0 (basis)
	Cisco Unified IP Interactive Voice Response (IVR)	2.0 (Basis) \| 2.1 (Basis)
	Cisco Service Control Engine	3,0 (basis) \| 3.1 (Basis)
	Cisco Transport Manager	Oorspronkelijke release (basis) \| 2,0 (basis) \| 2.1 (Basis) \| 2,2 (Basis, 0,1) \| 3,0 (Basis, .1, .2) \| 3.1 (Basis) \| 3.2 (Basis) \| 4,0 (basis) \| 4.1 (Basis, .4, .6, .6.6.1) \| 4,6 (basis) \| 4,7 (Basis) \| 5.0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) \| 6,0 (basis, 0,405,1, 0,407,1, 0,412,1) \| 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) \| 7.2 (Basis, 0,199,1)
Microsoft, Inc.	Windows 7	voor 32-bits systemen \| voor op x64 gebaseerde systemen
	Windows 8	voor 32-bits systemen \| voor op x64 gebaseerde systemen
	Windows Server 2003	Datacenter Edition \| Datacenter Edition, 64-bits (Itanium) \| Datacenter Edition x64 (AMD/EM64T) \| Enterprise Edition \| Enterprise Edition, 64-bits (Itanium) \| Enterprise Edition x64 (AMD/EM64T) \| Standaarduitgave \| Standard Edition, 64-bits (Itanium) \| Standard Edition x64 (AMD/EM64T) \| Webex Edition
	Windows Server 2008	Datacenter Edition \| Datacenter Edition, 64-bits \| Itanium-gebaseerde systeemeditie \| Enterprise Edition \| Enterprise Edition, 64-bits \| Essential Business Server-standaard \| Essential Business Server Premium \| Essential Business Server Premium, 64-bits \| Standaarduitgave \| Standard Edition, 64-bits \| Webserver \| Webserver, 64-bits
	Windows Server 2008 R2	x64-gebaseerde Systems Edition \| Itanium-gebaseerde systeemeditie
	Windows Server 2012	Oorspronkelijke release
	Windows Vista	Home Basic \| Home Premium \| Bedrijfsactiviteiten \| Ondernemingen \| Uiteindelijk \| Home Basic x64 Edition \| Home Premium x64 Edition \| Business x64 Edition \| Enterprise x64 Edition \| Ultieme x64-editie

Juridische Vrijwaring

DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.

Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten