Cisco Response

• Dit Toegepaste Mitigation Bulletin is een begeleidend document bij de kwetsbaarheid voor pakketdenificatie van PSIRT Security Advisory Cisco IOS XR-software met IPv6-foutherstel en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

  Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

• De Cisco IOS XR-software voor de ASR 9000 Series aggregatieservices routers vertoont een kwetsbaarheid bij het verwerken van misvormde IP, versie 6 (IPv6)-pakketten. Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheid kan ervoor zorgen dat het betreffende apparaat crasht. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector voor exploitatie is via misvormde IPv6-pakketten. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.

Overzicht van kwetsbaarheden

• Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140611-ipv6
  

Overzicht Mitigation Technique

• Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

  Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:

  • IOS zone-gebaseerde firewall
  • Unicast Reverse Path Forwarding (uRPF)
  • IP-bronbeveiliging (IPSG)

  Deze beschermingsmechanismen filteren en laten vallen, en verifiëren het IP-adres van de bron van pakketten die deze kwetsbaarheid proberen te exploiteren.

  De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.

  De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag.

  Effectieve vluchtpreventie kan standaard ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die actief transitnetwerkverkeer inspecteren.

  Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheid te exploiteren.sour

Risicobeheer

• Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

  • Cisco IOS-routers en -Switches
  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco-inbraakpreventiesysteem

  Cisco IOS-routers en -Switches

  Beperking: op IOS Zone gebaseerde en gebruikersgebaseerde firewall

  Vanaf Cisco IOS-softwarerelease 12.4(6)T is ZFW (Zone-Based Policy Firewall) in de plaats gekomen van Cisco IOS Context-Based Access Control (CBAC). Het biedt granularity van de toepassing van het firewallbeleid, en een gebrek ontkennen-al beleid dat verkeer tussen firewall veiligheidszones verbiedt tot een expliciet beleid wordt toegepast om wenselijk verkeer toe te staan.

  In Cisco IOS ZFW stellen zones de beveiligingsranden van het netwerk in. Een zone definieert een grens waar verkeer aan beleidsbeperkingen wordt onderworpen wanneer het naar een ander gebied van uw netwerk gaat. Het standaardbeleid van ZFW tussen zones is om al het verkeer te ontkennen. Als er geen beleid expliciet is geconfigureerd, wordt al het verkeer dat probeert te verplaatsen tussen zones geblokkeerd. ZFW gebruikt een taal voor configuratiebeleid die bekend staat als Cisco Policy Language (CPL). Gebruikers die bekend zijn met de Cisco IOS-softwarerelease Modular Quality-of-Service (QoS) CLI (MQC) kunnen herkennen dat het formaat vergelijkbaar is met de manier waarop klassekaarten in een QoS-configuratie worden gebruikt om aan te geven welk verkeer wordt beïnvloed door de actie die in een beleidskaart wordt toegepast. Cisco IOS ZFW ondersteunt stateful Layer 4 IPv4- en IPv6-inspecties en kan ook toepassingsspecifieke inspectie, stateful firewall-failover, verificatieproxy, denial of service-beperking (DoS), URL-filtering en meer bieden.

  Cisco IOS ZFW IPv6 Layer 4-inspectie kan ook worden gebruikt om misvormde pakketten te blokkeren die deze kwetsbaarheid proberen te exploiteren. In het volgende voorbeeld inspecteert ZFW al IPv6-verkeer op Layer 4 dat wordt ingevoerd in zone z1 (interface Gigabit Ethernet0/0) en dat eindigt vanuit zone z2 (interface Gigabit Ethernet0/1) waar de kwetsbare apparaten zich bevinden.

  ! !-- Configure MQC inspection policy to match !-- and inspect all IPv6 traffic !
  ipv6 access-list ipv6-acl
    permit ipv6 any any
  class-map type inspect match-all z1_2_cm
   match access-group name ipv6-acl
  policy-map type inspect z1_2_pm
   class type inspect z1_2_cm
    inspect
   class class-default
    drop
  ! !-- Apply the policy to the zone-pair !-- between zones z1 and z2 !
  zone security z1
  zone security z2
  zone-pair security z1_2-zp source z1 destination z2
   service-policy type inspect z1_2_pm
  interface GigabitEthernet0/0
    zone-member security z1
  interface GigabitEthernet0/1
    zone-member security z2

  Raadpleeg voor configuratievoorbeelden de stapsgewijze basisconfiguratie van de IOS Zone-gebaseerde firewall en ZFW-configuratiedocumenten (IPv6 Zone Based Firewall) in de Cisco Support Community en Cisco Configuration Professional: Zone-gebaseerde firewallblokkering peer-to-peer traffic Configuration Voorbeeld. Raadpleeg de Zone-Based Policy Firewall Design and Application Guide voor meer informatie over Cisco IOS ZFW.

  Beperken: bescherming tegen spoofing

  Unicast doorsturen van omgekeerde paden

  De kwetsbaarheid die in dit document wordt beschreven, kan worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.

  uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.

  Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security.

  IP-bronbeveiliging

  IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheid die in dit document wordt beschreven.

  Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.

  Raadpleeg voor informatie over het gebruik van de IOS-opdrachtregelinterface om de effectiviteit van spoofingbescherming te meten het Cisco Security white paper Identifying the Effectiveness of Security Mitigations Use Cisco IOS Software.

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  De Cisco ASA-software voert standaard verschillende pakketcontroles uit op transitverkeer. Bijvoorbeeld, het verifieert de IP kopbalcorrectheid van een pakket. Een Cisco ASA IPv6-verkeer dat actief inspecteert, zal standaard misvormde IPv6-pakketten identificeren en neerzetten die proberen de kwetsbaarheid te exploiteren die in dit document wordt beschreven. De bescherming tegen pakketten die deze kwetsbaarheid kunnen exploiteren is een niet configureerbare actie: geen configuratieveranderingen worden vereist om deze functionaliteit toe te laten.

  Raadpleeg de handleiding Getting Started met Application Layer Protocol Inspection voor informatie over ASA IPv6-inspectie.

  Cisco-inbraakpreventiesysteem

  Beperken: Cisco IPS

  Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. Cisco IPS-apparaten die inline worden geïmplementeerd, zullen deze kwetsbaarheid standaard verminderen tenzij handtekeningen van de Normalizer Engine zijn bewerkt. Als een netwerkbeheerder handtekeningen van Normalizer Engine heeft bewerkt, kan hij contact opnemen met Cisco TAC om te verifiëren of het Cisco IPS-apparaat deze kwetsbaarheid zal verminderen.

  Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

  Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

  Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS-sensor te bekijken.

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Eerste vrijgave		2014-juni-11 16:01 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

• • Cisco-bulletins voor toegepaste beperking
  • Cisco-beveiliging
  • Cisco Security IntelliShield Alert Manager-service
  • Cisco-handleiding over het versterken van Cisco IOS-apparaten
  • Tegenmaatregelen voor kwaadwillig gebruik van IPv6 Type 0-routingkoppen
  • Inzicht in bescherming van besturingsplane
  • Zone-Based Policy Firewall - Ontwerp en toepassingsgids
  • Opdrachttaal voor gereedschap beveiligen op Cisco IOS
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Verbeteringen in Unicast Reverse Path Forwarding voor de Internet Service Provider
  • Cisco-inbraakpreventiesysteem
  • Cisco-downloads voor IPS-handtekeningen
  • Cisco-zoekpagina voor IPS-handtekeningen
  • Cisco Sourcefire IPS-handtekeningen van de volgende generatie
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)
  • Abonneren op Cisco-meldingen van toegepaste beperking

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Cisco-software	Cisco IOS XR-software	3.7 (Basis, .1, .2, .3) | 3,8 ( 0,0, 0,1, 0,2, 0,3, 0,4) | 3,9 ( 0,0, 0,1, 0,2, 0,3) | 4.0 (Basis, .0, .1, .2, .3, .4, .11) | 4.1 (Basis, .0, .1, .2) | 4.2 (.0, .1, .2, .3, .4) | 4,3 ( 0,0, 0,1, 0,2) | 5,1 (0,0)

  
  
  

  Verwante producten