Cisco Response

• Cisco Response

  Dit Toegepaste Beperkingsbericht is een begeleidend document bij de kwetsbaarheid voor gebruikersnaam en wachtwoordherkenning van PSIRT Security Advisory Cisco Prime Central niet-geverifieerd en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

  Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

• Cisco Prime Central 1.0 en 1.1 bevat een kwetsbaarheid wanneer een speciaal gemaakt TCP/IP, versie 4 (IPv4)-pakket wordt verwerkt. Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid kan informatieopenbaarmaking mogelijk maken, waardoor een aanvaller informatie over het getroffen apparaat kan leren.

  De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:

  • HTTPS met TCP-poort 8443
  • HTTPS met TCP-poort 9090

  Aan deze kwetsbaarheid is de identificatiecode CVE-2013-3473 voor gemeenschappelijke kwetsbaarheden en blootstellingen (Common Vulnerabilities and Exposations — CVE) toegekend.

Overzicht van kwetsbaarheden

• Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130918-pc

Overzicht Mitigation Technique

• Overzicht Mitigation Technique

  Cisco-apparaten bieden een tegenmaatregel voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethode te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze techniek gegeven.

  Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van transittoegangscontrolelijsten (TACLS). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.

  Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die gebruik maken van doorvoertoegangscontrolelijsten (TACLS). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.

  Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

  Cisco IOS-software, Cisco ASA, Cisco ASM en Cisco FWSM-firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

  De Cisco Security Manager kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage.

Risicobeheer

• Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

  • Cisco IOS-routers en -Switches
  • Cisco IOS NetFlow en Cisco IOS flexibele NetFlow
  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco Security Manager

  Cisco IOS-routers en -Switches

  Beperking: toegangscontrolelijsten voor douanevervoer

  Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het tACL-beleid ontkent onbevoegde HTTPS IPv4-pakketten op TCP-poorten 8443 en 9090 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigen de IP adresruimte die door de beïnvloede apparaten wordt gebruikt, en de gastheer in 192.168.100.1 wordt beschouwd als vertrouwde op bron die toegang tot de beïnvloede apparaten vereist. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

  Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.

  !
  !-- Include explicit permit statements for trusted sources that 
  !-- require access on the vulnerable TCP port(s)
  !
  access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443
  access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 9090
  
  !
  !-- The following vulnerability-specific access control entries!-- (ACEs) can aid in identification of attacks
  !
  access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 8443
  access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 9090
  !
  !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations!
  !-- Explicit deny for all other IP traffic
  !
  access-list 150 deny ip any any
  !
  !-- Apply tACLs to interfaces in the ingress direction
  !
  interface GigabitEthernet0/0 
  ip access-group 150 in

  Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdracht interfaceconfiguratie zonder IP-onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan vanuit de standaardinstelling worden gewijzigd met behulp van de opdracht globale configuratie IP ICMP-snelheidslimiet voor onbereikbaar interval-in-ms.

  Identificatie: Toegangscontrolelijsten voor douanevervoer

  Nadat de beheerder de tACL op een interface heeft toegepast, toont de opdracht IP-toegangslijsten het aantal HTTPS-pakketten op TCP-poorten 843 en 9090 over IPv4-pakketten die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten 150 volgt:

  router#show ip access-lists 150 
  Extended IP access list 150    
  10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 8443    
  20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 9090    
  30 deny tcp any 192.168.60.0 0.0.0.255 eq 8443 (85 matches)    
  40 deny tcp any 192.168.60.0 0.0.0.255 eq 9090 (56 matches)    
  50 deny ip any any 
  router#

  In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:

  • 85 HTTPS-pakketten op TCP-poort 8443 voor ACE-lijn 30
  • 56 HTTPS-pakketten op TCP-poort 9090 voor ACE-lijn 40

  Identificatie: Vastlegging toegangslijst

  De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.

  Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.

  Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging met de IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door IPv4 ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.

  De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-Switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.

  Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het witboek Inzicht in toegangscontrolelijst en Cisco Security Intelligence Operations.

  Cisco IOS NetFlow en Cisco IOS FlexNetFlow

  Identificatie: IPv4-verkeersstroomidentificatie met Cisco IOS NetFlow

  Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van IPv4-verkeersstromen die kunnen worden geprobeerd om deze kwetsbaarheid te benutten. Beheerders wordt aangeraden om stromen te onderzoeken om te bepalen of ze pogingen zijn om deze kwetsbaarheid te exploiteren of dat ze legitieme verkeersstromen zijn.

  router#show ip cache flowIP packet size distribution (90784136 total packets):   
  1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480   
  .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000    
  
  512  544  576 1024 1536 2048 2560 3072 3584 4096 4608   
  .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000
  IP Flow Switching Cache, 4456704 bytes  
  1885 active, 63651 inactive, 59960004 added  
  129803821 ager polls, 0 flow alloc failures  
  Active flows timeout in 30 minutes  
  Inactive flows timeout in 15 seconds
  IP Sub Flow Cache, 402056 bytes  
  0 active, 16384 inactive, 0 added, 0 added to flow  0 
  alloc failures, 0 force free  1 chunk, 1 chunk added
  last clearing of statistics never
  Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
  --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
  TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
  TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
  TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
  TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
  TCP-X              719      0.0         1    40      0.0       0.0       1.3
  TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
  TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
  TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
  UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
  UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
  UDP-other       310347      0.0         2   230      0.1       0.6      15.9
  ICMP             11674      0.0         3    61      0.0      19.8      15.5
  IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
  GRE                  4      0.0         1    48      0.0       0.0      15.3 
  Total:        59957957     14.8         1   196     22.5       0.0       1.5
  
  SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.10.201  Gi0/1         192.168.60.102  06 0984 20FB    98
  Gi0/1         192.168.150.60  Gi0/0          10.89.16.226   06 0016 12CA     6
  Gi0/0         192.168.13.97   Gi0/1         192.168.60.28   06 0B3E 2382    55
  Gi0/0          10.88.226.1    Gi0/1         192.168.202.22  11 007B 007B     7
  Gi0/0          10.89.16.226   Gi0/1         192.168.150.60  06 12CA 454     61
  router#

  In het vorige voorbeeld zijn er meerdere stromen voor HTTPS op poorten 8443 (hex-waarde 20FB) en 9090 (hex-waarde 2382).

  Dit verkeer wordt afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24 adresblok, dat door getroffen apparaten wordt gebruikt. Beheerders wordt aangeraden om deze stromen te vergelijken met basisgebruik voor HTTPS 8443 en 9090 en ook de stromen te onderzoeken om te bepalen of ze afkomstig zijn van onbetrouwbare hosts of netwerken.

  Zoals in het volgende voorbeeld wordt getoond, gebruikt u om alleen de HTTPS op poorten 8443 (hex-waarde 20FB), 9090 (hex-waarde 2382) te bekijken de toon ip cachestroom | neem SrcIf|_06_.*(20FB|2382)_ opdracht op om de verwante Cisco NetFlow-records weer te geven:

  TCP-stromen

  router#show ip cache flow | include SrcIf|_06_.*(20FB|2382)_
  SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
  Gi0/0         192.168.11.131   Gi0/1         192.168.60.245  06 0B66 2382     18
  Gi0/0         192.168.41.86    Gi0/1         192.168.60.27   06 0B7B 20FB     22
  router#

  Identificatie: IPv4-verkeersstroom met behulp van Cisco flexibele NetFlow

  Geïntroduceerd in Cisco IOS-softwarereleases 12.2(31)SB2 en 12.4(9)T, verbetert Cisco IOS Flexibele NetFlow het oorspronkelijke Cisco NetFlow-systeem door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van de beheerder. Origineel Cisco NetFlow gebruikt een vaste zeven tuples van IP-informatie om een stroom te identificeren, terwijl Cisco IOS Flexibele NetFlow toestaat dat de stroom door de gebruiker wordt gedefinieerd. Het vergemakkelijkt het creëren van complexere configuraties voor verkeersanalyse en gegevensexport door herbruikbare configuratiecomponenten te gebruiken.

  De volgende voorbeelduitvoer is afkomstig van een Cisco IOS-apparaat waarop een versie van Cisco IOS-software op de 15.1T-trein wordt uitgevoerd. Hoewel de syntaxis voor de 12.4T en 15.0 treinen vrijwel identiek zal zijn, kan deze enigszins variëren, afhankelijk van de daadwerkelijke Cisco IOS-release die wordt gebruikt. In de volgende configuratie verzamelt Cisco IOS Flexibele NetFlow informatie over de interface Gigabit Ethernet0/0 voor inkomende IPv4-stromen op basis van IPv4-adres van de bron, zoals gedefinieerd door de veldverklaring van het overeenkomende IPv4-bronadres. Cisco IOS Flexibele NetFlow omvat ook niet-sleutelveldinformatie over IPv4-adressen van bronnen en bestemmingen, protocollen, poorten (indien aanwezig), instap- en uitgangen, en pakketten per stroom.

  ! !-- Configure key and nonkey fields !-- in the user-defined flow record !
  flow record FLOW-RECORD-ipv4
   match ipv4 source address
   collect ipv4 protocol
   collect ipv4 destination address
   collect transport source-port
   collect transport destination-port
   collect interface input
   collect interface output
   collect counter packets
  ! !-- Configure the flow monitor to
  !-- reference the user-defined flow 
  !-- record
  !
  flow monitor FLOW-MONITOR-ipv4 
  record FLOW-RECORD-ipv4
  !
  !-- Apply the flow monitor to the interface
  !-- in the ingress direction
  !interface GigabitEthernet0/0 ip flow monitor FLOW-MONITOR-ipv4 input

  De Cisco IOS flexibele NetFlow-flow-uitvoer is als volgt:

  router#show flow monitor FLOW-MONITOR-ipv4 cache format table
    Cache type:                               Normal
    Cache size:                                 4096
    Current entries:                               6
    High Watermark:                                1
  
    Flows added:                                   9181
    Flows aged:                                    9175
      - Active timeout      (  1800 secs)          9000
      - Inactive timeout    (    15 secs)           175
      - Event aged                                    0
      - Watermark aged                                0
      - Emergency aged                                0
  
  IPV4 SRC ADDR   ipv4 dst addr   trns src port trns dst port intf input intf output pkts   ip prot
  =============== =============== ============= ============= ========== =========== ====== =======
   192.168.10.201  192.168.60.102          1456           8443     Gi0/0       Gi0/1   1128      8
   192.168.11.54   192.168.60.158           123            453     Gi0/0       Gi0/1   2212      6
   192.168.150.60   10.89.16.226           2567            443     Gi0/0       Gi0/1     13      6
   192.168.13.97   192.168.60.28           3451           9090     Gi0/0       Gi0/1      1      5
   192.168.10.17   192.168.60.97           4231           1521     Gi0/0       Gi0/1    146      9
    10.88.226.1    192.168.202.22          2678            443     Gi0/0       Gi0/1  10567      6
    10.89.16.226   192.168.150.60          3562             80     Gi0/0       Gi0/1  30012      3

  Als u alleen HTTPS op TCP-poorten wilt bekijken, gebruikt u de toon stroom monitor FLOW-MONITOR-ipv4 cacheformaattabel | inclusief IPV4
  DST ADDR |_(843|9090)_.*_06_ opdracht om de gerelateerde NetFlow-records weer te geven.

  Raadpleeg voor meer informatie over Cisco IOS Flexibele NetFlow Configuratiehandleidingen voor Flexibele NetFlow, Cisco IOS release 15M&T en Cisco IOS Flexibele NetFlow Configuration Guide, release 12.4T.

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  Beperking: toegangscontrolelijsten voor douanevervoer

  Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het tACL-beleid ontkent onbevoegde HTTPS 8443 en 9090 via IPv4 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP adresruimte die door de beïnvloede apparaten wordt gebruikt, en de gastheren in 192.168.100.1 wordt beschouwd als een vertrouwde op bron die toegang tot de beïnvloede apparaten vereist. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

  Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.

  ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP port(s) !
  access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 8443
  access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 9090
  ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 8443
  access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 9090
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list tACL-Policy extended deny ip any any
  ! ! !-- Apply tACLs to interfaces in the ingress direction !
  access-group tACL-Policy in interface outside

  Identificatie: Toegangscontrolelijsten voor douanevervoer

  Nadat tACL is toegepast op een interface, kunnen beheerders de opdracht show access-list gebruiken om het aantal HTTPS op TCP-poorten 8443 en 9090 over IPv4-pakketten te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegang-lijst aan ACL-Beleid volgt:

  firewall#show access-list tACL-Policy
  access-list tACL-Policy; 5 elements; name hash: 0x3452703d
  access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 8443 (hitcnt=31)
  access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 9090 (hitcnt=61)
  access-list tACL-Policy line 3 extended deny tcp any 192.168.60.0 
       255.255.255.0 eq 8443 (hitcnt=8)
  access-list tACL-Policy line 4 extended deny tcp any 192.168.60.0 
       255.255.255.0 eq 9090 (hitcnt=14)
  access-list tACL-Policy line 5 extended deny ip any any (hitcnt=14) 

  In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:

  •  8 HTTPS-pakketten op TCP-poort 8443 voor ACE-lijn 3
  • 14 HTTPS-pakketten op TCP-poort 9090 voor ACE-lijn 4

  Daarnaast kan syslog-bericht 106023 waardevolle informatie leveren, waaronder het IP-adres van de bron en de bestemming, de bron- en doelpoortnummers en het IP-protocol voor het ontkende pakket.

  Identificatie: berichten in Firewall Access List System

  Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden ontkend door een toegangscontrole-ingang (ACE) die het sleutelwoord log niet aanwezig heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.

  Informatie over het configureren van syslog voor Cisco ASA 5500 Series adaptieve security applicatie is in Bewaking - Vastlegging configureren. Informatie over het configureren van syslog op de Cisco Catalyst 6500 Series ASA servicesmodule is in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

  In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

  Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

  firewall#show logging | grep 106023
    Sep 18 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.18/2944 
           dst inside:192.168.60.191/8443 by access-group "tACL-Policy"
    Sep 18 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.200/2945 
           dst inside:192.168.60.33/8443 by access-group "tACL-Policy"
    Sep 18 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.88/2949 
           dst inside:192.168.60.38/9090 by access-group "tACL-Policy"
    Sep 18 2013 00:15:13: %ASA-4-106023: Deny tcp src outside:192.0.2.175/2950 
           dst inside:192.168.60.250/9090 by access-group "tACL-Policy"
    firewall#

  In het voorafgaande voorbeeld, tonen de berichten die voor tACL tACL-Policy worden geregistreerd HTTPS-pakketten voor TCP 8443 en 9090 die naar het adresblok worden verzonden dat aan de getroffen apparaten wordt toegewezen.

  Aanvullende informatie over syslogberichten voor Cisco ASA Series adaptieve security applicaties is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor Cisco Catalyst 6500 Series ASA-servicesmodule is in de sectie Syslog-berichten analyseren van de Cisco ASM CLI-configuratiehandleiding. Aanvullende informatie over syslog-berichten voor Cisco FWSM vindt u in Catalyst 6500 Series Switch- en Cisco 7600 Series logberichten voor firewallservicesmodule in het logbestand van de routermodule.

  Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het witboek Identifying Incidents Use Firewall en IOS Router Syslog Events van Cisco Security Intelligence Operations.

  Cisco Security Manager

  Identificatie: Cisco Security Manager

  Cisco Security Manager, gebeurtenisviewer

  Beginnend in softwareversie 4.0, kan Cisco Security Manager syslogs van Cisco-firewalls verzamelen en de Event Viewer leveren, die kan vragen naar gebeurtenissen die gerelateerd zijn aan de kwetsbaarheid die in dit document wordt beschreven.

  Het gebruik van de volgende filters in de Firewall Denied EventSpredefined view in de Event Viewer biedt alle opgenomen Cisco firewall-toegangslijst ontkent syslog-berichten die zouden kunnen wijzen op mogelijke pogingen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven.

  • Gebruik het gebeurtenisfilter Bestemming om netwerkobjecten te filteren die de IP-adresruimte bevatten die door de betreffende apparaten wordt gebruikt (bijvoorbeeld IPv4-adresbereik 192.168.60.0/24).
  • Gebruik het gebeurtenisfilter Bestemming Service om objecten te filteren die TCP-poorten 8443 en 9090 bevatten.

  Een Event Type ID-filter kan met de voorgedefinieerde weergave Firewall Denied Events worden gebruikt in het Event Viewer om de syslog-ID’s te filteren die in de volgende lijst worden weergegeven om alle opgenomen Cisco-firewall te bieden ontkennen syslog-berichten die zouden kunnen wijzen op potentiële pogingen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven:

  • ASA 5500-4-106023 (ACL-ontkenning)

  Raadpleeg de sectie Gebeurtenissen filteren en vragen in de Cisco Security Manager-gebruikershandleiding voor meer informatie over Cisco Security Manager-gebeurtenissen.

  Identificatie: Event Management System Partner Events

  Cisco werkt met toonaangevende Security Information and Event Management (SIEM)-bedrijven via het Cisco Developer Network. Dit partnerschap helpt Cisco gevalideerde en geteste SIEM-systemen te leveren die zakelijke problemen aanpakken zoals langetermijnarchivering van logbestanden en forensische gegevens, heterogene gebeurteniscorrelatie en geavanceerde nalevingsrapportage. De de partnerproducten van de informatie en van het Gebeurtenisbeheer van de veiligheid kunnen worden hefboomd om gebeurtenissen van Cisco apparaten te verzamelen en dan de verzamelde gebeurtenissen voor de incidenten te vragen die door ontkennen syslog berichten van firewalls worden geleid die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. De vragen kunnen worden gesteld door Sig ID en Syslog ID zoals weergegeven in de volgende lijst:

  • ASA 5500-4-106023 (ACL-ontkenning)

  Raadpleeg voor meer informatie over SIEM-partners de website Security Management System.

  
  

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Eerste vrijgave		2013-september-18 16:04 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

• • Cisco-bulletins voor toegepaste beperking
  • Cisco-beveiliging
  • Cisco Security IntelliShield Alert Manager-service
  • Cisco-handleiding over het versterken van Cisco IOS-apparaten
  • Cisco IOS NetFlow - startpagina op Cisco.com
  • Cisco IOS NetFlow-witboeken
  • NetFlow-prestatieanalyse
  • Witboeken voor Cisco Network Foundation-bescherming
  • Presentaties voor Cisco Network Foundation-bescherming
  • Een security georiënteerde benadering van IP-adressering
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Cisco Security Manager
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Cisco-software	Cisco Prime Central voor Hosted Collaboration Solution	1,0 (basis, 0,1) | 1.1 (Basis)

  
  
  

  Verwante producten