Identificatie en beperking van exploitatie van de meerdere kwetsbaarheden in Cisco Unified Communications Domain Manager

Bijgewerkt:6 augustus 2016
Document-id:1470489956734188

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Cisco-bulletin over toegepaste beperking

Identificatie en beperking van exploitatie van de meerdere kwetsbaarheden in Cisco Unified Communications Domain Manager

Doc ID:
34689
Voor het eerst gepubliceerd:
2014 juli 2 16:04 GMT
Versie: 
1
CVE-2014-2197
CVE-2014-2198
CVE 2014-3300
IntelliShield
CVE-2014-2197
CVE-2014-2198
CVE 2014-3300
IntelliShield

Cisco Response

  • Dit Toegepaste Matiging Bulletin is een begeleidend document bij de PSIRT Security Advisory Multiple Vulnerabilities in Cisco Unified Communications Domain Manager en biedt identificatie- en mitigatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

  • Een kwetsbaarheid in het webkader van de Cisco Unified Communications Domain Manager-toepassingssoftware kan een niet-geverifieerde, externe aanvaller toegang bieden tot gebruikersinformatie van het BVSMW-webportaal en deze wijzigen. De aanvalsvector voor exploitatie is via HTTP- en HTTPS IPv4- en IPv6-pakketten met TCP-poorten 80 en 443.

    Aan deze kwetsbaarheid is de code CVE-2014-3300 voor gemeenschappelijke kwetsbaarheden en blootstellingen toegekend.

Overzicht van kwetsbaarheden

Overzicht Mitigation Technique

  • Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

    Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden met behulp van IOS Zone-gebaseerde firewall.

    Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:
    • Toepassingslaag voor protocolinspectie
    • URL-filtering
    • Firewallservices van de volgende generatie
    Deze beschermingsmechanismen filteren en laten vallen pakketten die proberen deze kwetsbaarheid te exploiteren.

    De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.

    Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.

    Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheid te exploiteren.

    Effectief gebruik van de eventacties van Cisco Web Security Appliance biedt zichtbaarheid in en bescherming tegen aanvallen die proberen de kwetsbaarheid te exploiteren die een aanvalsvector over het web heeft.

    Effectief gebruik van de gebeurtenissen van Cisco Cloud Web Security biedt zichtbaarheid in en bescherming tegen aanvallen die proberen een kwetsbaarheid te exploiteren die een aanvalsvector over het web heeft.

Risicobeheer

  • Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

  • Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

    Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

    Cisco IOS-routers en -Switches

    Beperking: op IOS Zone gebaseerde firewall

    Vanaf Cisco IOS-softwarerelease 12.4(6)T is ZFW (Zone-Based Policy Firewall) in de plaats gekomen van Cisco IOS Context-Based Access Control (CBAC). Het biedt granularity van de toepassing van het firewallbeleid, en een gebrek ontkennen-al beleid dat verkeer tussen firewall veiligheidszones verbiedt tot een expliciet beleid wordt toegepast om wenselijk verkeer toe te staan.

    In Cisco IOS ZFW stellen zones de beveiligingsranden van het netwerk in. Een zone definieert een grens waar verkeer aan beleidsbeperkingen wordt onderworpen wanneer het naar een ander gebied van uw netwerk gaat. Het standaardbeleid van ZFW tussen zones is om al het verkeer te ontkennen. Als er geen beleid expliciet is geconfigureerd, wordt al het verkeer dat probeert te verplaatsen tussen zones geblokkeerd. ZFW gebruikt een taal voor configuratiebeleid die bekend staat als Cisco Policy Language (CPL). Gebruikers die bekend zijn met de Cisco IOS-softwarerelease Modular Quality-of-Service (QoS) CLI (MQC) kunnen herkennen dat het formaat vergelijkbaar is met de manier waarop klassekaarten in een QoS-configuratie worden gebruikt om aan te geven welk verkeer wordt beïnvloed door de actie die in een beleidskaart wordt toegepast. Cisco IOS ZFW ondersteunt stateful Layer 4 IPv4- en IPv6-inspecties en kan ook toepassingsspecifieke inspectie, stateful firewall-failover, verificatieproxy, Dos-beperking (Denial of Service), URL-filtering en meer bieden.

    Het beleid dat toegang tot de protocollen en poorten blokkeert die in dit document zijn beschreven, kan worden geconfigureerd met Cisco IOS ZFW. ZFW HTTP Layer 7 inspection kan ook worden gebruikt om een verzoek met "/bvsmweb" in de URL te blokkeren.

    Raadpleeg voor configuratievoorbeelden de configuratiedocumenten van de IOS ZBF Set-by-Step Configuration en de configuratie van de IPv6 Zone Based Firewall (ZFW) in de Cisco Support Community en Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic Configuration Voorbeeld. Raadpleeg de Zone-Based Policy Firewall Design and Application Guide voor meer informatie over Cisco IOS ZBF.

    Geïntroduceerd in Cisco IOS-softwarereleases 12.4(20)T kan de IOS User-Based Firewall-functie identiteit of op gebruikersgroepen gebaseerde beveiliging bieden die gedifferentieerde toegang voor verschillende gebruikersklassen biedt. De classificatie kan worden verstrekt op basis van gebruikersidentiteit, apparatentype (bijvoorbeeld, IP telefoons), plaats (bijvoorbeeld, bouw) en rol (bijvoorbeeld, ingenieur).

    Het Cisco IOS-firewallbeleid dat de toegang tot de protocollen en poorten of filtertoepassingen blokkeert, kan per gebruiker of gebruikersgroep worden geconfigureerd met behulp van de gebruikersgebaseerde firewallfunctie.

    Raadpleeg voor meer informatie over Cisco User-Based Firewall de User Based Firewall Support Guide en de bijbehorende functieinformatie voor gebruikersgebaseerde firewallondersteuning.

    Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

    Beperking: Application Layer Protocol Inspectie

    Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor de Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast. Toepassingsinspectie inspecteert zowel IPv4- als IPv6-pakketten die op de klassekaart van het beleid zijn afgestemd.

    Aanvullende informatie over Application Layer Protocol inspection en het Modular Policy Framework (MPF) is in de sectie Getting Started with Application Layer Protocol Inspection van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

    Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.

    HTTP-toepassingsinspectie
    Door de HTTP-inspectieengine op de Cisco ASA 5500- en 5500-X Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en Cisco Firewall Services Module te gebruiken, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en kaarten van inspectiebeleid. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS.

    Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie. 
    ! !-- Configure regex that looks for the string that !-- is typically used to exploit this vulnerability ! 
regex CVE-2014-3300 ".+/bvsmweb"
! !-- Configure a regex class to match on the regular !-- expression that is configured above ! 
class-map type regex match-any vulnerable_url_class
 match regex CVE-2014-3300
! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map Webports_Class
 match access-list Webports_ACL
! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_Policy
 parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A larger number may have an impact !-- on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !   body-match-maximum 200
 match response body regex class vulnerable_url_class   
  drop-connection log  
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
policy-map global_policy
 class Webports_Class
  inspect http http_Policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

    Voor extra informatie over de configuratie en het gebruik van objectgroepen raadpleegt u de sectie Adding Global Objects in Boek 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.

    Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

    Raadpleeg voor informatie over het gebruik van de Cisco Firewall CLI om de effectiviteit van toepassingsinspectie te meten de Cisco Security Intelligence Operations White paper Identification of Security Exploits met Cisco ASA, Cisco ASASM en Cisco FWSM Firewalls.

    Beperken: URL-filtering

    URL-filtering kan worden toegepast op de ASA door gebruik te maken van Websense Enterprise Secure Computing SmartFilter (voorheen N2H2) internetfilteringproducten. Wanneer URL-filtering is ingeschakeld, dwingt de ASA alleen de filterbeleidsbeslissingen af die voor HTTP, HTTPS en FTP worden genomen door de productconfiguraties voor internetfiltering.

    Specifiek voor inhoud HTTPS, verzendt ASA de URL-raadpleging zonder folder en filename-informatie. Wanneer de filtreerserver een HTTPS-verbindingsverzoek goedkeurt, staat ASA de voltooiing van SSL-verbindingsonderhandeling toe en staat de reactie van de webserver toe om de oorspronkelijke client te bereiken. Als de filtreerserver het verzoek ontkent, verhindert ASA de voltooiing van SSL-verbindingsonderhandeling. De browser geeft een foutmelding weer zoals "De pagina of de inhoud kan niet worden weergegeven.

    URL-filtering is geconfigureerd met url-server en globale CLI -opdrachten voor filters.

    URL-filtering kan worden gebruikt om de kwetsbaarheid te verminderen die in dit document wordt beschreven door HTTP-verzoeken te filteren die "/bvsmweb" in hun URL bevatten.

    Raadpleeg de " Filterende HTTPS-URL’s" van de Cisco ASA-configuratiegids en hoe u URL-filtering-document kunt configureren in de Cisco-ondersteuningscommunity.

    Beperken: firewallservices van de volgende generatie

    Opstarten in Cisco ASA softwarerelease 8.4(5) voor Cisco ASA 5585-X met ASA CX SP-10 en -20; Cisco ASA softwarerelease 9.1 voor Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X en ASA 555-X; en Cisco ASA softwarerelease 9.1(3) voor Cisco ASA 585-X met ASA CX SSP-40 en ASA Generation 50 Met NGFW-services (Action Firewall) kan een beheerder beleid controleren of afdwingen op basis van de identiteit van de gebruiker (wie), de toepassing of website waartoe de gebruiker toegang probeert te krijgen (wat), de oorsprong van de toegangspoging (waar), het tijdstip van de poging tot toegang (wanneer) en de eigenschappen van het apparaat dat voor de toegang wordt gebruikt (hoe).

    De NGFW-services worden uitgevoerd in een afzonderlijke hardwaremodule (SSP voor ASA 5585-X) of softwaremodule (ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X). De ASA stuurt verkeer (met behulp van MPF-beleid) door naar de NGFW-module die beleid controleert en/of afdwingt zoals geconfigureerd. NGFW-beleid kan worden geconfigureerd met de grafische gebruikersinterface van Cisco Prime Security Manager (PRSM) in de modus voor één of meerdere apparaten. Een verscheidenheid aan toepassingen kan worden herkend en actie ondernomen als deel van de Application Visibility and Control (AVC) service op NGFW. Toepassingsherkenning wordt voortdurend bijgewerkt met behulp van handtekeningen- en motorupdates. Op dezelfde manier kan de Web Security Essentials (WSE) service webfuncties en verzoeken inspecteren en erop reageren. Ook kan webreputatiebeleid worden gebruikt om verkeer te filteren op basis van de reputatie van de bezochte bestemmingen.

    Cisco NGFW kan worden gebruikt om de kwetsbaarheid te verminderen die in dit document wordt beschreven door URL’s te filteren die de tekenreeks "/bvsmweb" bevatten.

    Het beleid voor bewaking en filtering (AVC en WSE) kan ook worden toegepast op het versleutelde TLS-verkeer.

    Zie het ASA NGFW Services Application Portal voor meer informatie over ondersteunde toepassingen. Zie de sectie "De ASA CX-module configureren" in de Cisco ASA Configuration Guide voor meer informatie over het configureren van de ASA. Raadpleeg de Gebruikershandleiding voor ASA CX en Cisco Prime Security Manager voor meer informatie over het configureren van de ASA CX.

    Cisco ACE

    Beperken: Application Protocol Inspection

    Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door Cisco ACE wordt getransporteerd. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.

    Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in het gedeelte Configuration Application Protocol Inspection van de Security Guide vA5(1.0), Cisco ACE Application Control Engine.

    HTTP-pakketcontrole voor diep gebruik

    Om HTTP diepe pakketinspectie uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklassekaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS.

    Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed. 
    ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the string !-- /bvsmweb that is typically used to exploit !-- this vulnerability ! 
class-map type http inspect match-any vulnerable_http_class
  match content ".*/bvsmweb.*"
! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that is configured above !
policy-map type inspect http all-match http_Policy
  class vulnerable_http_class
    reset log
! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map match-all L4_http_class
  match access-list WEBPORTS
! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
policy-map multi-match L4_http_Policy
  class L4_http_class
    inspect http policy http_Policy
! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_Policy

    Raadpleeg voor informatie over het gebruik van de ACE-opdrachtregelinterface om de effectiviteit van de toepassingsinspectie te meten de Cisco Security Intelligence Operations Identification of Malicious Traffic met Cisco ACE.

    Cisco-inbraakpreventiesysteem

    Beperken: Cisco IPS-handtekeningtabel

    Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecode en de respectieve IPS-handtekening van Cisco die gebeurtenissen op potentiële pogingen om deze kwetsbaarheid te exploiteren zullen activeren.


    CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity*
    CVE 2014-3300 S809 4462/0 Cisco Unified Communications Domain Manager BVSMeb onbevoegde kwetsbaarheid voor gegevensmanipulatie Ja Gemiddeld 100


    * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

    Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde actie van de gebeurtenis voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheid te exploiteren die in de vorige tabel is vermeld.

    Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

    Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

    Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS -sensor te bekijken.

    Cisco Web security applicatie

    Beperken: Web security

    De Cisco Web Security Appliances (WSA) kunnen bedrijfsnetwerken filteren en beschermen tegen webgebaseerde malware en spyware-programma's die de bedrijfsbeveiliging in gevaar kunnen brengen en intellectuele eigendom kunnen blootstellen. Ze opereren als een proxy en kunnen gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, web content, web applicaties (AVC), websites gebaseerd op web reputatie en malware filteren. De WSA kan ook geïnfecteerde clients detecteren en voorkomen dat kwaadaardige activiteiten buiten het bedrijfsnetwerk gaan met behulp van de L4 Traffic Monitor (L4TM). Het beleid kan worden geconfigureerd met behulp van een grafische gebruikersinterface voor het web. CLI kan ook worden gebruikt. Het Web Security applicatie biedt bescherming voor standaard communicatieprotocollen, zoals HTTP, HTTPS, FTP en SOCKS.

    Om met netwerkapparaten zoals routers en firewalls te werken, gebruikt de WSA het Web Cache Coordination Protocol (WCCP). Met WCCP worden inhoudsverzoeken op transparante wijze doorgestuurd naar de WSA die handelt op basis van zijn configuratie, zonder dat de gebruikers een web-proxy in hun browser configureren. In Cisco IOS wordt WCCP ingeschakeld met de ip wcp-opdrachten en in Cisco ASA met de wcp-opdrachten.

    Cisco WAN kan worden gebruikt om de kwetsbaarheid te verminderen die in dit document wordt beschreven door webverkeer te filteren op basis van URL’s die de volgende tekenreeks "/bvsmweb" bevatten.

    Raadpleeg het ASA: WCCP-document met stapsgewijze configuratie in de Cisco-ondersteuningscommunity en de Cisco IronPort AsyncOS-webgebruikershandleiding voor meer informatie.

    Cisco Cloud-webbeveiliging

    Beperken: Cloud Web Security

    Cisco Cloud Web Security (CWS) analyseert elk webverzoek en elke reactie om te bepalen of inhoud kwaadaardig, ongepast of acceptabel is op basis van het gedefinieerde beveiligingsbeleid. Dit biedt een effectieve bescherming tegen bedreigingen, inclusief bedreigingen van nul dagen die anders succesvol zouden zijn. Cisco CWS kan gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, webinhoud, bestanden en bestandstypen, webtoepassingen (AVC), websites op basis van webreputatie en malware filtert. Het kan zowel HTTP- als HTTPS-verkeer controleren.

    Vanaf Cisco IOS 15.2MT op ISR-G2 routers en Cisco ASA softwarerelease 9.0 kan Cisco CWS transparant integreren met Cisco IOS en Cisco ASA. Bovendien kunnen CWS, te beginnen met AnyConnect 3.0, worden geïmplementeerd met de AnyConnect-client. CWS kan ook op eindhosts worden geïmplementeerd als een Cisco Cloud Connector-toepassing.

    Cisco CWS kan worden gebruikt om de kwetsbaarheid te verminderen die in dit document wordt beschreven door webverkeer te filteren op basis van HTTP-velden die het regex "/bvsmweb" bevatten.

    Zie ASA: ScanSafe stapsgewijze configuratie en IOS: ScanSafe stapsgewijze configuratie documenten in de Cisco-ondersteuningscommunity. Raadpleeg voor meer informatie over IOS- en ASA-configuratie Cisco ISR Web Security met Cisco ScanSafe-oplossingsgids en de sectie Configuration Cisco Cloud Web Security van de Cisco ASA-configuratiehandleiding. Raadpleeg de Cisco ScanCenter Administrator Guide voor meer informatie over het CWS-portal.

Aanvullende informatie

  • DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Gerelateerd aan dit bericht

Revisiegeschiedenis

  • Versie Beschrijving doorsnede Datum
    1 Eerste vrijgave 2014-juli-02 16:04 GMT
    Minder tonen

Cisco-beveiligingsprocedures

Gerelateerde informatie

Betrokken producten

  • De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.

    Primaire producten
    Cisco-software Cisco Unified Communications Domain Manager 8.1 (.1, .2, .3, .4)
    Cisco Unified Communications Domain Manager-platform VOS-platform 4.4 (.1)


    Verwante producten

Gerelateerd aan dit bericht