Identificatie en beperking van exploitatie van de meerdere kwetsbaarheden in Cisco-spraakproducten

Downloadopties

ePub (102.7 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (115.7 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:25 december 2011

Document-id:1487390065899122

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Identificatie en beperking van exploitatie van de meerdere kwetsbaarheden in Cisco-spraakproducten

Advies-ID: cisco-amb-20110928-voice

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110928-voice

Revisie 1.0

Voor Openbare Publicatie 2011 September 28 16:00 UTC (GMT)

Inhoud

Cisco Response
Apparaatspecifieke beperking en identificatie
Aanvullende informatie
Revisiegeschiedenis
Cisco-beveiligingsprocedures
Gerelateerde informatie

Cisco Response

Dit Toegepaste Matiging Bulletin is een begeleidend document aan de volgende PSIRT Security Advisories:

Cisco IOS-softwarerelease Initiation-protocol — kwetsbaarheden voor ontkenning van services

Cisco Unified Communications Manager Session Initiation Protocol - lekgevoeligheid voor geheugen

Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.

Kwetsbaarheid Kenmerken

Er zijn meerdere kwetsbaarheden in Cisco IOS-software en Cisco Unified Communications Manager. In de volgende onderafdeling worden deze kwetsbaarheden samengevat:

Session Initiation Protocol (SIP) — Geheugenlekkagekwetsbaarheden: deze kwetsbaarheden hebben invloed op zowel Cisco IOS-software als Cisco Unified Communications Manager. Deze kwetsbaarheden kunnen op afstand worden benut zonder verificatie en zonder interactie van de eindgebruiker. Succesvolle benutting van deze kwetsbaarheden kan het getroffen apparaat doen crashen of resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheden kunnen resulteren in een aanhoudende DoS-conditie.

De aanvalsvectoren voor exploitatie worden via een pakket verwerkt dat de volgende protocollen en poorten gebruikt:

SIP met TCP-poort 5060

SIP Transport Layer Security (TLS) met TCP-poort 5061

SIP met UDP-poort 5060

SIP-TLS met UDP-poort 5061 (alleen Cisco Unified Communications Manager)

Een aanvaller kon deze kwetsbaarheden exploiteren met gespoofde pakketten.

Aan deze kwetsbaarheden zijn de volgende CVE-identificatiecodes toegewezen:

CVE-2011-0939

CVE-2011-2072

CVE-2011-3275

CVE-2011-2073

Overzicht van kwetsbaarheden

Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in de PSIRT Security Advisories, die beschikbaar zijn op de volgende links:

Overzicht Mitigation Technique

Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.

Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:

Toegangscontrolelijsten voor infrastructuur (iACL’s)
Toegangscontrolelijsten voor douanevervoer (ACL’s)
Unicast Reverse Path Forwarding (Unicast RPF)
IP-bronbeveiliging (IPSG)

Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.

De juiste implementatie en configuratie van Unicast RPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. Unicast RPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.

De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag.

Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 Series adaptieve security applicatie en de Cisco Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series switches en Cisco 7600 Series routers met de volgende methoden:

tACL
Unicast RPF

Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.

Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.

Cisco IOS NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.

Cisco IOS-software, Cisco ASA en FWSM firewalls kunnen zichtbaarheid bieden door syslog-berichten en tegenwaarden die worden weergegeven in de uitvoer van show-opdrachten.

Het Cisco Security Monitoring, Analysis, and Response System (Cisco Security MARS) applicatie kan ook zichtbaarheid bieden via incidenten, vragen en gebeurtenisrapportage

Risicobeheer

Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

Voorzichtig: De effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.

Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:

Cisco IOS-routers en -Switches
Cisco IOS NetFlow
Cisco ASA- en FWSM-firewalls
Cisco-inbraakpreventiesysteem
Cisco-systeem voor beveiligingsbewaking, analyse en respons

Cisco IOS-routers en -Switches

Beperking: toegangscontrolelijsten voor infrastructuur

Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen te minimaliseren, wordt beheerders aangeraden om lijsten met toegangscontroles voor de infrastructuur (iACL’s) te implementeren om beleidshandhaving uit te voeren van verkeer dat naar infrastructuurapparatuur wordt verzonden. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het iACL-beleid ontkent onbevoegde SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 is de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de hosts op 192.168.100.1 en 2001:DB8:1:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.

Aanvullende informatie over iACL’s is te vinden in Protected Your Core: Infrastructure Protection Access Control Lists.

 ip access-list extended Infrastructure-ACL-Policy
 
 !
 !-- Include explicit permit statements for trusted sources 
 !-- that require access on the vulnerable TCP and UDP ports 
 !

  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
  permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
  permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
  permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061

 !
 !-- The following vulnerability-specific access control entries
 !-- (ACEs) can aid in identification of attacks
 !

  deny tcp any 192.168.60.0 0.0.0.255 eq 5060
  deny tcp any 192.168.60.0 0.0.0.255 eq 5061
  deny udp any 192.168.60.0 0.0.0.255 eq 5060
  deny udp any 192.168.60.0 0.0.0.255 eq 5061

 !
 !-- Explicit deny ACE for traffic sent to addresses configured within
 !-- the infrastructure address space
 !

  deny ip any 192.168.60.0 0.0.0.255  

 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
 !-- with existing security policies and configurations
 !
!
!-- Create the corresponding IPv6 tACL
!

ipv6  access-list IPv6-Infrastructure-ACL-Policy

 !
 !-- Include explicit permit statements for trusted sources
 !-- that require access on the vulnerable protocols and ports
 !

  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061

 !
 !-- The following vulnerability-specific access control entries
 !-- (ACEs) can aid in identification of attacks to global and
 !-- link local addresses
 !

  deny tcp any 2001:DB8:1:60::/64 eq 5060
  deny tcp any 2001:DB8:1:60::/64 eq 5061
  deny udp any 2001:DB8:1:60::/64 eq 5060
  deny udp any 2001:DB8:1:60::/64 eq 5061

 !
 !-- Permit other required traffic to the infrastructure address
 !-- range and allow IPv6 Neighbor Discovery packets, which
 !-- include Neighbor Solicitation packets and Neighbor
 !-- Advertisement packets
 !

  permit icmp any any nd-ns
  permit icmp any any nd-na
  
 ! 
 !-- Explicit deny for all other IPv6 traffic to the global
 !-- infrastructure address range
 !

  deny ipv6 any 2001:DB8:1:60::/64
  
 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic
 !-- in accordance with existing security policies and configurations
 !
!
!-- Apply tACLs to interfaces in the ingress direction
!

interface GigabitEthernet0/0
 ip access-group Infrastructure-ACL-Policy in
 ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in

Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdracht interfaceconfiguratie zonder IP-onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan worden gewijzigd ten opzichte van de standaardinstelling met behulp van de algemene opdracht voor configuratie ip icmp-snelheidslimiet voor onbereikbare interval-in-ms.

Beperking: toegangscontrolelijsten voor douanevervoer

Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het tACL-beleid ontkent onbevoegde SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 is de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de hosts op 192.168.100.1 en 2001:DB8:1:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.


!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports
!

access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060
access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061
 
!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5060
access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5061
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5060
access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5061

!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

access-list 150 deny ip any any

!
!-- Create the corresponding IPv6 tACL
!

ipv6  access-list IPv6-Transit-ACL-Policy

 !
 !-- Include explicit permit statements for trusted sources
 !-- that require access on the vulnerable TCP and UDP ports
 !

  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060
  permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061

 !
 !-- The following vulnerability-specific ACEs can 
 !-- aid in identification of attacks to global and
 !-- link local addresses
 !

  deny tcp any 2001:DB8:1:60::/64 eq 5060
  deny tcp any 2001:DB8:1:60::/64 eq 5061
  deny udp any 2001:DB8:1:60::/64 eq 5060
  deny udp any 2001:DB8:1:60::/64 eq 5061

 !
 !-- Permit or deny all other Layer 3 and Layer 4 traffic in 
 !-- accordance with existing security policies and configurations
 !-- and allow IPv6 Neighbor Discovery packets, which
 !-- include Neighbor Solicitation packets and Neighbor
 !-- Advertisement packets
 !

  permit icmp any any nd-ns
  permit icmp any any nd-na
  
 ! 
 !-- Explicit deny for all other IPv6 traffic
 !

  deny ipv6 any any

!
!-- Apply tACLs to interfaces in the ingress direction
!

interface GigabitEthernet0/0
 ip access-group 150 in
 ipv6 traffic-filter IPv6-Transit-ACL-Policy in

Beperken: bescherming tegen spoofing

Unicast doorsturen van omgekeerde paden

De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (Unicast RPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.

Unicast RPF is geconfigureerd op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op Unicast RPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een Unicast RPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste Unicast RPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat de functie legitiem verkeer dat het netwerk oversteekt kan laten vallen. In een ondernemingsmilieu, zou Unicast RPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 kunnen worden toegelaten interfaces.

Aanvullende informatie vindt u in de Unicast Reverse Path Forwarding Losse Mode functiehandleiding.

Voor extra informatie over de configuratie en het gebruik van Unicast RPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Applied Intelligence.

IP-bronbeveiliging

IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus Unicast RPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheden die in dit document worden beschreven.

Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.

Identificatie: Toegangscontrolelijsten voor infrastructuur

Nadat de beheerder iACL op een interface heeft toegepast, zullen de IP-toegangslijsten van de show en de opdrachten van de ipv6-toegangslijst het aantal SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 identificeren die zijn gefilterd op interfaces waarop de iACL wordt toegepast. De beheerders zouden gefilterde pakketten moeten onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten Infrastructuur-ACL-Beleid volgt:

router#show ip access-lists Infrastructure-ACL-Policy
Extended IP access list Infrastructure-ACL-Policy
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (60 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (41 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (188 matches)
    40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (51 matches)
    50 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (9 matches)
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (18 matches)
    70 deny udp any 192.168.60.0 0.0.0.255 eq 5060 (34 matches)
    80 deny udp any 192.168.60.0 0.0.0.255 eq 5061 (72 matches)
    90 deny ip any 192.168.60.0 0.0.0.255 (17 matches)
router#

In het voorafgaande voorbeeld, heeft de toegangslijst infrastructuur-ACL-Beleid de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:

9 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 50
18 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 60
34 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 70
72 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 80

router#show ipv6 access-list IPv6-Infrastructure-ACL-Policy 
IPv6 access list IPv6-Infrastructure-ACL-Policy
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (71 matches) sequence 10
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (85 matches) sequence 20
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (512 matches) sequence 30
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (171 matches) sequence 40
    deny tcp any 2001:DB8:1:60::/64 eq 5060 (58 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 5061 (81 matches) sequence 60
    deny udp any 2001:DB8:1:60::/64 eq 5060 (216 matches) sequence 70
    deny udp any 2001:DB8:1:60::/64 eq 5061 (114 matches) sequence 80
    permit icmp any any nd-ns (80 matches) sequence 90
    permit icmp any any nd-na (80 matches) sequence 100
    deny ipv6 any 2001:DB8:1:60::/64 (5 matches) sequence 110

In het voorafgaande voorbeeld, de toegangslijst IPv6-Infrastructuur-ACL-Policy heeft het volgende gelaten vallen

58 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 50
81 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 60
216 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 70
114 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 80

Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u het white paper Identifying Incidents Use Firewall en IOS Router Syslog Events Applied Intelligence.

Beheerders kunnen Embedded Event Manager gebruiken om instrumentatie te bieden wanneer aan specifieke voorwaarden is voldaan, zoals ACE-tellers. De Applied Intelligence white paper Embedded Event Manager in een security context biedt aanvullende informatie over hoe deze functie te gebruiken.

Identificatie: Toegangscontrolelijsten voor douanevervoer

Nadat de beheerder de tACL op een interface heeft toegepast, toont hij IP-toegangslijsten en toont hij ipv6-toegangslijstopdrachten die het aantal SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont ip toegang-lijsten 150 volgt:

router#show ip access-lists 150
Extended IP access list 150
    10 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (131 matches)
    20 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (71 matches)
    30 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 (510 matches)
    40 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 (174 matches)
    50 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 (42 matches)
    60 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 (37 matches)
    70 deny udp any 192.168.60.0 0.0.0.255 eq 5060 (128 matches)
    80 deny udp any 192.168.60.0 0.0.0.255 eq 5061 (31 matches)
    90 deny ip any any (44 matches)
router#

In het voorafgaande voorbeeld, heeft toegangslijst 150 de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:

42 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 50
37 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 60
128 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 70
31 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 80

router#show ipv6 access-list IPv6-Transit-ACL-Policy 
IPv6 access list IPv6-Transit-ACL-Policy
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (55 matches) sequence 10
    permit tcp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (38 matches) sequence 20
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5060 
      (210 matches) sequence 30
    permit udp host 2001:DB8:1:100::1 2001:DB8:1:60::/64 eq 5061 
      (59 matches) sequence 40
    deny tcp any 2001:DB8:1:60::/64 eq 5060 (30 matches) sequence 50
    deny tcp any 2001:DB8:1:60::/64 eq 5061 (41 matches) sequence 60
    deny udp any 2001:DB8:1:60::/64 eq 5060 (310 matches) sequence 70
    deny udp any 2001:DB8:1:60::/64 eq 5061 (131 matches) sequence 80
    permit icmp any any nd-ns (41 matches) sequence 90
    permit icmp any any nd-na (41 matches) sequence 100
    deny ipv6 any any (21 matches) sequence 110

In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-Transit-ACL-Policy de volgende pakketten laten vallen die worden ontvangen van een onbetrouwbare host of een onbetrouwbaar netwerk:

30 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 50
41 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 60
310 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 70
131 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 80

Voor extra informatie over het onderzoeken van incidenten met ACE-tellers en syslog-gebeurtenissen, raadpleegt u de Toegepaste Identificatie van incidenten met firewall en IOS-routergebeurtenissen

Identificatie: Vastlegging toegangslijst

De optie log en log-input toegangscontrolelijst (ACL) zorgt ervoor dat pakketten die overeenkomen met specifieke ACE's worden vastgelegd. De log-inputoptie maakt het registreren van de toegangsinterface mogelijk, naast de IP-adressen en -poorten van de pakketbron en de bestemming.

Waarschuwing: vastlegging in toegangscontrolelijst kan zeer CPU-intensief zijn en moet met uiterste voorzichtigheid worden gebruikt. De factoren die de CPU-impact van ACL-vastlegging bepalen, zijn loggeneratie, logtransmissie en processwitching naar voorwaartse pakketten die logbestanden met ACE's matchen.

Voor Cisco IOS-software kan de opdracht interval-in-ms vastlegging van IP-toegangslijst de effecten van processwitching beperken die worden geïnduceerd door ACL-vastlegging. De logsnelheid-limiet rate-per-seconde [behalve loglevel] opdracht beperkt het effect van loggeneratie en transmissie.

De CPU-impact van ACL-vastlegging kan worden aangepakt in hardware op de Cisco Catalyst 6500 Series-switches en Cisco 7600 Series-routers met Supervisor Engine 720 of Supervisor Engine 32 met behulp van geoptimaliseerde ACL-vastlegging.

Voor extra informatie over de configuratie en het gebruik van ACL-vastlegging raadpleegt u het Witboek Inzicht in toegangscontrolelijst en toegepaste intelligentie.

Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

Met Unicast RPF correct geïmplementeerd en geconfigureerd in de netwerkinfrastructuur, kunnen beheerders de sleuf/poort van het type show cef interfacetype intern gebruiken, ip-interface tonen, cef-drop tonen, ip cef switching-statistieken tonen en ip traffic opdrachten tonen om het aantal pakketten te identificeren dat Unicast RPF is gedaald.

Opmerking: beginnend met Cisco IOS-softwareversie 12.4(20)T is de opdracht tonen dat ip cef switching is vervangen door toon ip cef switching statistieken eigenschap.

Opmerking: de opdracht show | begin met regex en toon opdracht | regex-opdrachtwijzigingen omvatten die in de volgende voorbeelden worden gebruikt om de hoeveelheid output te minimaliseren die beheerders moeten parseren om de gewenste informatie te bekijken. Er is aanvullende informatie over opdrachtbepalingen in de secties met de opdracht show van de opdrachtreferentie voor Cisco IOS Configuration Fundamentals.

router#show cef interface GigabitEthernet 0/0 internal | include drop

  ip verify: via=rx (allow default), acl=0, drop=18, sdrop=0
router#

Opmerking: tonen cef interface type sleuf / poort intern is een verborgen opdracht die volledig moet worden ingevoerd op de opdrachtregel interface. Opdrachtvoltooiing is er niet voor beschikbaar.

router#show ip interface GigabitEthernet 0/0 | begin verify

  IP verify source reachable-via RX, allow default, allow self-ping
  18 verification drops
  0 suppressed verification drops
router#


router#show cef drop
CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP            27           0           0          18           0           0
router#

router#show ip cef switching statistics feature
IPv4 CEF input features:
Path   Feature                Drop    Consume       Punt  Punt2Host Gave route
RP PAS uRPF                     18          0          0          0          0
Total                           18          0          0          0          0
    --      CLI Output Truncated       --  
router#


router#show ip traffic | include RPF
         18 no route, 18 unicast RPF, 0 forced drop
router#

In de voorgaande show cef drop, toon ip cef switching statistieken functie en toon ip traffic voorbeelden, Unicast RPF heeft laten vallen 18 IP pakketten die globaal zijn ontvangen op alle interfaces met Unicast RPF geconfigureerd vanwege het onvermogen om het bronadres van de IP pakketten te verifiëren in de Forwarding Information Base van Cisco Express Forwarding.

Cisco IOS NetFlow

Identificatie: Traffic Flow Identification met NetFlow-records

Beheerders kunnen Cisco IOS NetFlow configureren op Cisco IOS-routers en -switches om te helpen bij de identificatie van verkeersstromen die mogelijk pogingen zijn om deze kwetsbaarheden te exploiteren. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

router#show ip cache flow
IP packet size distribution (90784136 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .698 .011 .001 .004 .005 .000 .004 .000 .000 .003 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .256 .000 .010 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  1885 active, 63651 inactive, 59960004 added
  129803821 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 402056 bytes
  0 active, 16384 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet    11393421      2.8         1    48      3.1       0.0       1.4
TCP-FTP            236      0.0        12    66      0.0       1.8       4.8
TCP-FTPD            21      0.0     13726  1294      0.0      18.4       4.1
TCP-WWW          22282      0.0        21  1020      0.1       4.1       7.3
TCP-X              719      0.0         1    40      0.0       0.0       1.3
TCP-BGP              1      0.0         1    40      0.0       0.0      15.0
TCP-Frag         70399      0.0         1   688      0.0       0.0      22.7
TCP-other     47861004     11.8         1   211     18.9       0.0       1.3
UDP-DNS            582      0.0         4    73      0.0       3.4      15.4
UDP-NTP         287252      0.0         1    76      0.0       0.0      15.5
UDP-other       310347      0.0         2   230      0.1       0.6      15.9
ICMP             11674      0.0         3    61      0.0      19.8      15.5
IPv6INIP            15      0.0         1  1132      0.0       0.0      15.4
GRE                  4      0.0         1    48      0.0       0.0      15.3 
Total:        59957957     14.8         1   196     22.5       0.0       1.5

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.11.54   Gi0/1         192.168.60.144  06 0911 13C5     3
Gi0/1         192.168.150.161 Gi0/0         10.89.18.16     06 0016 22C2     1
Gi0/0         192.168.60.97   Gi0/1         192.168.60.228  11 2B3E 13C4     5
Gi0/0         192.168.60.17   Gi0/1         192.168.60.197  11 2B89 13C5     1
Gi0/0         10.88.222.16    Gi0/1         192.168.202.222 11 007B 007B     1
Gi0/0         192.168.12.185  Gi0/1         192.168.60.239  06 3BD7 13C4     1
Gi0/0         10.89.16.226    Gi0/1         192.168.150.160 06 12CA 0016     1
Gi0/0         192.168.40.101  Gi0/1         192.168.60.102  11 1A84 00A1     1
Gi0/0         192.168.10.64   Gi0/1         192.168.60.158  06 3931 13C5     3
Gi0/1         192.168.150.60  Gi0/0         10.89.16.226    06 0016 12CA     1
Gi0/0         192.168.60.97   Gi0/1         192.168.60.27   11 1039 13C4     5
Gi0/0         192.168.10.17   Gi0/1         192.168.60.97   06 0B40 13C5     1
Gi0/0         10.88.226.1     Gi0/1         192.168.150.22  11 007B 007B     1
Gi0/0         10.89.160.226   Gi0/1         192.168.150.60  06 4322 0016     1
router#

In het vorige voorbeeld zijn er meerdere stromen voor SIP op TCP- en UDP-poort 5060 (hex-waarde 13C4) en SIP-TLS op TCP- en UDP-poort 5061 (hex-waarde 13C5) .

De SIP-pakketten op UDP-poort 5060 en SIP-TLS-pakketten op UDP-poort 5061 zijn afkomstig van en verzonden naar adressen binnen het 192.168.60.0/24-adresblok dat door getroffen apparaten wordt gebruikt. De pakketten in de UDP-stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te benutten. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor SIP verkeer te vergelijken dat op UDP-poort 5060 wordt verzonden en SIP-TLS verkeer dat op UDP-poort 5061 wordt verzonden, en ook de stromen te onderzoeken om te bepalen of zij afkomstig zijn van onbetrouwbare hosts of netwerken.

Om alleen de verkeersstromen voor SIP-pakketten op TCP-poort 5060 (hex-waarde 13C4) en SIP-TLS-pakketten op TCP-poort 5061 (hex-waarde 13C5) te bekijken, toont de opdracht ip cache flow | neem SrcIf|_06_.*(13C4|13C5)_ zal de verwante TCP NetFlow records weergeven zoals in het volgende voorbeeld:

TCP-stromen

router#show ip cache flow | include SrcIf|_06_.*(13C4|13C5)_
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.102.117  Gi0/1         192.168.60.136  06 4567 13C5     6
Gi0/0         192.168.18.100   Gi0/1         192.168.60.205  06 1C99 13C5    78
Gi0/0         192.168.133.70   Gi0/1         192.168.60.182  06 2487 13C4     1
router#

Om alleen de verkeersstromen voor SIP-pakketten op UDP-poort 5060 (hex-waarde 13C4) en SIP-TLS-pakketten op UDP-poort 5061 (hex-waarde 13C5) te bekijken, toont de opdracht ip-cachestroom | neem SrcIf|_11_.*(13C4|13C5)_ zal de verwante verslagen van UDP NetFlow zoals aangetoond in het volgende voorbeeld tonen:

UDP-stromen

router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_
SrcIf         SrcIPaddress     DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Gi0/0         192.168.60.110   Gi0/1         192.168.60.163  11 04AA 13C4     6
Gi0/0         192.168.60.230   Gi0/1         192.168.60.20   11 189D 13C5     1
Gi0/0         192.168.60.131   Gi0/1         192.168.60.245  11 2983 13C4    18
Gi0/0         192.168.60.7     Gi0/1         192.168.60.162  11 4098 13C5     1
Gi0/0         192.168.60.86    Gi0/1         192.168.60.27   11 1089 13C4     2
router#

Identificatie: Traffic Flow Identification met IPv6 NetFlow-records

Beheerders kunnen Cisco IOS IPv6 NetFlow op Cisco IOS-routers en -switches configureren als hulp bij de identificatie van verkeersstromen die kunnen worden geprobeerd te profiteren van de kwetsbaarheden die in dit document worden beschreven. De beheerders worden geadviseerd om stromen te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren of of zij wettige verkeersstromen zijn.

Deze uitgang is afkomstig van een Cisco IOS-apparaat waarop Cisco IOS-software 12.4 hoofdlijn wordt uitgevoerd. De opdrachtsyntaxis varieert voor verschillende Cisco IOS-softwaretrainen.

router#show ipv6 flow cache
IP packet size distribution (50078919 total packets):
   1-32  64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .990 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 475168 bytes
  8 active, 4088 inactive, 6160 added
  1092984 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 33928 bytes
  16 active, 1008 inactive, 12320 added, 6160 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x13C4 1464
2001:DB...6A:5BA6 Gi0/0    2001:DB...28::21 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...134::3 Gi0/1    0x3A 0x0000 0x8000 1191
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::4 Gi0/1    0x3A 0x0000 0x8000 1192    
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x13C4 1597
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x13C5 1001  
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x13C4 1292  
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::3 Gi0/1    0x3A 0x0000 0x8000 1155
2001:DB...6A:5BA6 Gi0/0    2001:DB...146::3 Gi0/1    0x3A 0x0000 0x8000 1092
2001:DB...6A:5BA6 Gi0/0    2001:DB...144::4 Gi0/1    0x3A 0x0000 0x8000 1193

Om weergave van het volledige 128-bits IPv6-adres toe te staan, gebruikt u de opdracht eindbreedte 132 exec-modus.

In het vorige voorbeeld zijn er meerdere IPv6-stromen voor SIP op TCP- en UDP-poort 5060 (hex-waarde 13C4) en SIP-TLS op TCP- en UDP-poort 5061 (hex-waarde 13C5).

De SIP-pakketten op UDP-poort 5060 en SIP-TLS-pakketten op UDP-poort 5061 zijn afkomstig van en verzonden naar adressen binnen het adresblok 2001:DB8:1:60::/64 dat door de betreffende apparaten wordt gebruikt. De pakketten in de UDP-stromen kunnen worden gespoofd en kunnen wijzen op een poging om deze kwetsbaarheden te benutten. De beheerders worden geadviseerd om deze stromen bij basislijngebruik voor SIP verkeer op UDP haven 5060 en SIP-TLS verkeer op UDP haven 5061 te vergelijken en ook de stromen te onderzoeken om te bepalen of zij van onbetrouwbare gastheren of netwerken afkomstig zijn.

Zoals in het volgende voorbeeld wordt getoond, om alleen de SIP-pakketten op TCP-poort 5060 (hex-waarde 13C4) en SIP-TLS-pakketten op TCP-poort 5061 (hex-waarde 13C5) te bekijken, gebruikt u het cachegeheugen van de show ipv6 flow | inclusief SrcAddress|_06_.*(13C4|13C5)_ opdracht om de gerelateerde NetFlow-records weer te geven:

TCP-stromen

router#show ipv6 flow cache | include SrcIf|_06_.*(13C4|13C5)_

SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...6A:5BA6 Gi0/0    2001:DB...128::2 Gi0/1    0x06 0x160A 0x13C4 1597
router#

Zoals in het volgende voorbeeld wordt getoond, om alleen SIP-pakketten op UDP-poort 5060 (hex-waarde 13C4) en SIP-TLS-pakketten op UDP-poort 5061 (hex-waarde 13C5) te bekijken, gebruikt u het cachegeheugen van de show ipv6 flow | inclusief SrcAddress|_11_.*(13C4|13C5)_ opdracht om de gerelateerde NetFlow-records weer te geven:

UDP-stromen

router#show ip cache flow | include SrcIf|_11_.*(13C4|13C5)_
SrcAddress        InpIf    DstAddress       OutIf    Prot SrcPrt DstPrt Packets
2001:DB...06::201 Gi0/0    2001:DB...28::20 Local    0x11 0x16C4 0x13C4 1464 
2001:DB...06::201 Gi0/0    2001:DB...128::3 Gi0/1    0x11 0x1610 0x13C5 1001 
2001:DB...06::201 Gi0/0    2001:DB...128::4 Gi0/1    0x11 0x1634 0x13C4 1292 
router#

Cisco ASA- en FWSM-firewalls

Beperking: toegangscontrolelijsten voor douanevervoer

Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

Het tACL-beleid ontkent onbevoegde SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 is de IP adresruimte die door de beïnvloede apparaten wordt gebruikt, en de gastheer in 192.168.100.1 wordt beschouwd als een vertrouwde op bron die toegang tot de beïnvloede apparaten vereist. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.


!
!-- Include explicit permit statements for trusted sources
!-- that require access on the vulnerable TCP and UDP ports
!

access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061
access-list tACL-Policy extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061

!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061
access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq sip
access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5061

!
!-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

access-list tACL-Policy extended deny ip any any

!
!-- Create the corresponding IPv6 tACL
!

ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5061
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8:1:100::1
          2001:db8:1:60::/64 eq 5061

!
!-- The following vulnerability-specific access control entries
!-- (ACEs) can aid in identification of attacks
!

ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 5061
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5060
ipv6 access-list IPv6-tACL-Policy deny udp any 2001:db8:1:60::/64 eq 5061

!
!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations
!
!-- Explicit deny for all other IP traffic
!

ipv6 access-list IPv6-tACL-Policy deny ip any any

!
!-- Apply tACLs to interfaces in the ingress direction
!

access-group tACL-Policy in interface outside
access-group IPv6-tACL-Policy in interface outside

Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding

De kwetsbaarheden die in dit document worden beschreven, kunnen worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast RPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.

Unicast RPF is geconfigureerd op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op Unicast RPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een Unicast RPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, zou Unicast RPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 kunnen worden toegelaten interfaces.

Voor extra informatie over de configuratie en het gebruik van Unicast RPF, raadpleegt u de Cisco Security Appliance Command Reference voor IP-verificatie van het omgekeerde pad en het Understanding Unicast Reverse Path Forwarding Applied Intelligence-witboek.

Identificatie: Toegangscontrolelijsten voor douanevervoer

Nadat tACL is toegepast op een interface, kunnen beheerders de opdracht show access-list gebruiken om het aantal SIP-pakketten op TCP- en UDP-poort 5060 en SIP-TLS op TCP- en UDP-poort 5061 te identificeren die zijn gefilterd. De beheerders worden geadviseerd om gefilterde pakketten te onderzoeken om te bepalen of zij pogingen zijn om deze kwetsbaarheid te exploiteren. De output van het voorbeeld voor toont toegang-lijst aan ACL-Beleid volgt:

firewall#show access-list tACL-Policy
access-list tACL-Policy; 9 elements
access-list tACL-Policy line 1 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip (hitcnt=31)
access-list tACL-Policy line 2 extended permit tcp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061 (hitcnt=61)
access-list tACL-Policy line 3 extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq sip (hitcnt=131)
access-list tACL-Policy line 4 extended permit udp host 192.168.100.1 
     192.168.60.0 255.255.255.0 eq 5061 (hitcnt=57)
access-list tACL-Policy line 5 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq sip (hitcnt=8)
access-list tACL-Policy line 6 extended deny tcp any 192.168.60.0 
     255.255.255.0 eq 5061 (hitcnt=14)
access-list tACL-Policy line 7 extended deny udp any 192.168.60.0 
     255.255.255.0 eq sip (hitcnt=30)
access-list tACL-Policy line 8 extended deny udp any 192.168.60.0 
     255.255.255.0 eq 5061 (hitcnt=13) 
access-list tACL-Policy line 9 extended deny ip any any (hitcnt=8)

firewall#

In het voorafgaande voorbeeld, heeft de toegangslijst tACL-Policy de volgende pakketten die van een onbetrouwbare host of een onbetrouwbaar netwerk zijn ontvangen, verbroken:

8 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 5
14 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 6
30 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 7
13 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 8

firewall#show access-list IPv6-tACL-Policy                 
ipv6 access-list IPv6-tACL-Policy; 9 elements; name hash: 0x566a4229
ipv6 access-list IPv6-tACL-Policy line 1 permit tcp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq sip (hitcnt=59) 
ipv6 access-list IPv6-tACL-Policy line 2 permit tcp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq 5061 (hitcnt=28) 
ipv6 access-list IPv6-tACL-Policy line 3 permit udp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq sip (hitcnt=124) 
ipv6 access-list IPv6-tACL-Policy line 4 permit udp host 
     2001:db8:1:100::1 2001:db8:1:60::/64 eq 5061 (hitcnt=81) 
ipv6 access-list IPv6-tACL-Policy line 5 deny tcp any 
     2001:db8:1:60::/64 eq sip (hitcnt=47)
ipv6 access-list IPv6-tACL-Policy line 6 deny tcp any 
     2001:db8:1:60::/64 eq 5061 (hitcnt=33) 
ipv6 access-list IPv6-tACL-Policy line 7 deny udp any 
     2001:db8:1:60::/64 eq sip (hitcnt=216) 
ipv6 access-list IPv6-tACL-Policy line 8 deny udp any 
     2001:db8:1:60::/64 eq 5061 (hitcnt=137) 
ipv6 access-list IPv6-tACL-Policy line 9 deny ip any any (hitcnt=27)

In het voorafgaande voorbeeld, heeft de toegangslijst IPv6-tACL-Policy de volgende pakketten gelaten vallen die van een onbetrouwbare gastheer of een netwerk worden ontvangen:

47 SIP-pakketten op TCP-poort 5060 voor ACE-lijn 5
33 SIP-pakketten op TCP-poort 5061 voor ACE-lijn 6
216 SIP-pakketten op UDP-poort 5060 voor ACE-lijn 7
137 SIP-pakketten op UDP-poort 5061 voor ACE-lijn 8

Identificatie: berichten in Firewall Access List System

Firewallsyslog-bericht 106023 wordt gegenereerd voor pakketten die worden geweigerd door een toegangscontrole-ingang (ACE) die niet het trefwoord voor het logbestand heeft. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106023.

Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.

In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op potentiële pogingen zouden kunnen wijzen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Het is mogelijk om verschillende reguliere expressies te gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.

Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

firewall#show logging | grep 106023
  Sep 28 2011 00:10:03: %ASA-4-106023: Deny udp src outside:192.0.2.18/2944 
         dst inside:192.168.60.191/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:11:53: %ASA-4-106023: Deny tcp src outside:192.0.2.99/2946 
         dst inside:192.168.60.240/5061 by access-group "tACL-Policy"
  Sep 28 2011 00:12:28: %ASA-4-106023: Deny tcp src outside:192.0.2.100/2947 
         dst inside:192.168.60.115/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:13:10: %ASA-4-106023: Deny udp src outside:192.0.2.88/2949 
         dst inside:192.168.60.38/5060 by access-group "tACL-Policy"
  Sep 28 2011 00:14:13: %ASA-4-106023: Deny udp src outside:192.0.2.175/2950 
         dst inside:192.168.60.250/5061 by access-group "tACL-Policy"
firewall#

In het vorige voorbeeld tonen de berichten die voor het tACL-beleid zijn geregistreerd mogelijk gespoofde SIP-pakketten op UDP-poort 5060 en SIP-TLS-pakketten op UDP-poort 5061 die naar het adresblok zijn verzonden dat aan de betreffende apparaten is toegewezen.

Aanvullende informatie over syslogberichten voor ASA-beveiligingsapparaten is te vinden in Cisco ASA 5500 Series systeemlogberichten, 8.2. Aanvullende informatie over syslog-berichten voor de FWSM is te vinden in Catalyst 6500 Series Switch en Cisco 7600 Series router Firewall Services Module Logging System Berichten.

Voor extra informatie over het onderzoeken van incidenten met behulp van syslog-gebeurtenissen, raadpleegt u het white paper Identifying Incidents Using Firewall en IOS Router Syslog Events Applied Intelligence.

Identificatie: bescherming tegen spoofing met Unicast Reverse Path Forwarding

Firewallsyslog-bericht 106021 wordt gegenereerd voor pakketten die worden geweigerd door Unicast PDF. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 106021.

Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.

firewall#show logging | grep 106021
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside
  Sep 28 2011 00:15:13: %ASA-1-106021: Deny UDP reverse path check from
         192.168.60.1 to 192.168.60.100 on interface outside

De opdracht Snel starten tonen kan ook het aantal pakketten identificeren dat de Unicast RPF-functie is gevallen, zoals in het volgende voorbeeld:

firewall#show asp drop frame rpf-violated
  Reverse-path verify failed                          11
firewall#

In het voorafgaande voorbeeld heeft Unicast RPF 11 IP-pakketten laten vallen die zijn ontvangen op interfaces met Unicast RPF geconfigureerd. Het ontbreken van uitvoer geeft aan dat de Unicast RPF-functie op de firewall geen pakketten heeft laten vallen.

Voor extra informatie over het debuggen van versnelde security pad gedropte pakketten of verbindingen, verwijzen we naar de Cisco Security Appliance Command Reference voor show asp drop.

Cisco-inbraakpreventiesysteem

Beperken: acties voor Cisco IPS-handtekeningen

Beheerders kunnen Cisco Inbraakpreventiesysteem (IPS) gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om de kwetsbaarheden te exploiteren die in dit document worden beschreven. Deze kwetsbaarheden kunnen worden gedetecteerd door de volgende handtekeningen:

25999-0 - misvormde SIP-pakketontkenning van de service
32379-0 - Cisco Unified Communications Manager SIP-ontkenning van de service
34445-0 - Cisco IOS SIP-kwetsbaarheid

25999-0 - misvormde SIP-pakketontkenning van de service

Beginnend met handtekeningsupdate S490 voor sensoren waarop Cisco IPS versie 6.x en hoger wordt uitgevoerd, kunnen deze kwetsbaarheden worden gedetecteerd door handtekening 25999/0 (Signature Name: Malform SIP Packet Denial of Service). Handtekening 25999/0 is standaard ingeschakeld, activeert een gebeurtenis met hoge ernst, heeft een SFR (Signature Fidelity Rating) van 85 en is geconfigureerd met een waarschuwing voor standaardgebeurtenissen.

Vuren van handtekening 25999/0 wanneer een poging wordt gedetecteerd om een SIP-pakketverwerkingskwetsbaarheid (Session Initiation Protocol) te gebruiken. Het afvuren van deze handtekening kan wijzen op een mogelijk misbruik van deze kwetsbaarheid.

32379-0 - Cisco Unified Communications Manager SIP-ontkenning van service

Beginnend met handtekeningsupdate S598 voor sensoren waarop Cisco IPS versie 6.x en hoger wordt uitgevoerd, kunnen deze kwetsbaarheden worden gedetecteerd door handtekening 32379/0 (Signature Name: Cisco Unified Communications Manager SIP Denial of Service). Handtekening 32379/0 is standaard ingeschakeld, activeert een gebeurtenis met hoge ernst, heeft een SFR (Signature Fidelity Rating) van 90 en is geconfigureerd met een waarschuwing voor standaardgebeurtenissen.

Vuren van handtekening 32379/0 wanneer een poging om een SIP-pakketverwerkingskwetsbaarheid (Session Initiation Protocol) te exploiteren via UDP wordt gedetecteerd. Het afvuren van deze handtekening kan wijzen op een mogelijk misbruik van deze kwetsbaarheid.

34445-0 - Cisco IOS SIP-kwetsbaarheid

Deze kwetsbaarheden worden gedetecteerd door handtekening 34445/0 (Signature Name: Cisco IOS SIP Vulnerability), te beginnen met de handtekeningupdate S598 voor sensoren waarop Cisco IPS versie 6.x en hoger wordt uitgevoerd. Signature 34445/0 is standaard ingeschakeld, activeert een Medium Severity event, heeft een Signature Fidelity Rating (SFR) van 90 en is geconfigureerd met een default event action of production-alert.

Vuren van handtekening 34445/0 bij het detecteren van een poging om een SIP-kwetsbaarheid in Cisco IOS-software te exploiteren. Het afvuren van deze handtekening kan wijzen op een mogelijk misbruik van deze kwetsbaarheid.

Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in dit document worden beschreven.

Explosies die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.

Cisco IPS-sensoren zijn het meest effectief wanneer ze worden geïmplementeerd met gebruik van inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 6.x en grotere sensoren die worden geïmplementeerd met behulp van de inline-beschermingsmodus, biedt bedreigingspreventie tegen een aanval die probeert de kwetsbaarheden te exploiteren die in dit document worden beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

Cisco-systeem voor beveiligingsbewaking, analyse en respons

Identificatie: incidenten van Cisco-systeem voor beveiligingsbewaking, analyse en respons

Het apparaat Cisco Security Monitoring, Analysis, and Response System (Cisco Security MARS) kan incidenten creëren voor gebeurtenissen die zijn gerelateerd aan de kwetsbaarheden die in dit document worden beschreven met behulp van de volgende IPS-handtekeningen:

25999/0 (misvormde SIP-pakketontkenning van de service)
32379/0 (Handtekeningnaam: Cisco Unified Communications Manager SIP - Denial of Service)
34445/0 (Handtekeningnaam: Cisco IOS SIP-kwetsbaarheid)

Nadat de dynamische handtekeningupdate S598 is gedownload met behulp van sleutelwoord NR-25999 voor IPS-handtekening 25999/0, NR-32379 voor IPS-handtekening 32379/0 of NR-3445 voor IPS-handtekening 34445/0 en een querytype van alle Raw-berichten van matching, zal de Cisco Security MARS-applicatie een rapport leveren met een lijst van de incidenten die door die IPS-handtekening zijn gemaakt.

Beginnend met de versies 4.3.1 en 5.3.1 van Cisco Security MARS-apparaten, is de ondersteuning voor de functie van Cisco IPS dynamische handtekeningen toegevoegd. Deze functie downloadt nieuwe handtekeningen van Cisco.com of van een lokale webserver, verwerkt en categoriseert correct ontvangen gebeurtenissen die overeenkomen met die handtekeningen, en omvat ze in inspectieregels en rapporten. Deze updates bieden normalisatie van gebeurtenissen en gebeurtenisgroepstoewijzing, en ze stellen ook het MARS-apparaat in staat om nieuwe handtekeningen van de IPS-apparaten te parseren.

caution Waarschuwing: als dynamische handtekeningupdates niet zijn geconfigureerd, worden gebeurtenissen die deze nieuwe handtekeningen weergeven als onbekend gebeurtenistype in vragen en rapporten. Omdat MARS deze gebeurtenissen niet opneemt in de inspectieregels, kunnen incidenten niet worden gecreëerd voor potentiële bedreigingen of aanvallen die binnen het netwerk plaatsvinden.

Deze optie is standaard ingeschakeld, maar moet geconfigureerd worden. Als deze niet is geconfigureerd, wordt de volgende Cisco Security MARS-regel geactiveerd: Systeemregel:

CS-MARS IPS Signature Update Failure

Wanneer deze functie is ingeschakeld en geconfigureerd, kunnen beheerders de huidige versie van handtekeningen die door MARS is gedownload, bepalen door Help > Info te selecteren en de waarde voor IPS Signature Version te bekijken.

Er is aanvullende informatie over updates van dynamische handtekeningen en instructies voor het configureren van dynamische handtekeningupdates beschikbaar voor de releases van Cisco Security MARS 4.3.1 en 5.3.1.

Aanvullende informatie

DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

Revisie 1.0

2011-28 september

Eerste openbare publicatie

Cisco-beveiligingsprocedures

Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.