AAA서버로부터 account-disabled indication을 재정의 해서 ASA와PIX를 설정할 수 있다. 그리고 사용자가 로그인을 허락한다. 그러나 사용자는 VPN에로그인하기위해서 타당한 증명을 제공해야한다. 재정의된 ACCOUNT기능이 설정 되어있을때VPN사용자가 PIX와 ASA 인증을우회할수있다는점이다.
note:재정의 account 기능은Cisco ASA software version 7.1(1)에 소개되어 있습니다.
재정의 어카운드 기능은 tunnel-group general-attributes 설정모드에서 override-account-disable 코맨드로 설정되어질수 있습니다. 아래의 예에서 보여지듣이,아래 예는 WebVPN터널 그룹 "testgroup"을 AAA server로부터 overriding the "account-disabled" 지표를 사용해서 재정의를 합니다.
hostname(config)#tunnel-group testgroup type webvpn hostname(config)#tunnel-group testgroup general-attributes hostname(config-tunnel-general)#override-account-disable
note:재정의 어카운트기능은 기본으로 설정해제되어 있습니다.
이 취약성은 Cisco 버그 ID CSCsx47543 (인증된 고객전용) 문서에 있습니다. 그리고 일반 취약성과 드러난식별자 등재되어있습니다. CVE-2009-1155.
Crafted HTTP Packet DoS Vulnerability
만들어진TCP패킷들은 ASA와 PIX에서 메모리 유출을 유발시킬수도있다. 아마 성공적인 공격의결과는 지속적인 DOS상태일것이다. 아래에 있는 기능중이 설정된 ASA는 영향을 받습니다.
SSL VPNs
ASDM Administrative Access
Telnet Access
SSH Access
cTCP for Remote Access VPNs
Virtual Telnet
Virtual HTTP
TLS Proxy for Encrypted Voice Inspection
Cut-Through Proxy for Network Access
TCP Intercept
만들어진 패킷들이 모든 패킷 기반 서비스를 보낼때 문제있는 장치들에게서 종료된다.그때 취약성은 발생한다.
단지 만약 TCP intercept 기능이 설정되있으면 그 취약성은 또한 일시적인 경유 트래픽을 유발한다.. TCP three-way handshake 는 이 취약성에 영향이 없다.
이 취약성은 Cisco 버그 IDCSCsy22484(인증된 고객전용) 문서에 있습니다.
그리고 일반 취약성과 드러난 식별자 등재되어있습니다. CVE-2009-1157
Crafted H.323 Packet DoS Vulnerability
만들어진H.323.패킷들은 아마 H.323 inspection 설정이된 ASA장치에서 DOS상태를 일으킬것이다.H.323 inspection은 기본설정으로 되어있다. 성공적인공격은 장치의 재기동이다.TCP
three-way handshake는 이취약성에 영향이없다.
이 취약성은 Cisco 버그 ID CSCsx32675(인증된 고객전용) 문서에 있습니다.
그리고 일반 취약성과 드러난 식별자 등재되어있습니다. CVE-2009-1158
SQL*Net Packet DoS Vulnerability
다른종류의 패킷으로 sokomind > 글구성되는The SQL*Net protocol은 세큐리티장치에서 처리되는데 ASA와 PIX장치에서 오라클 버전 7버전이하의 데이타 스트림을 모순없게 나타나게 만들어준다.
디폴트로 SQL*Net inspection이 설정된ASA와 PIX장치에서 연속된 SQL*Net packets은 아마 DOS상태를 유발할수도있다. 성공적인 공격의 결과는 장치의 재부팅이다.
SQL*Net 은 TCP port 1521로 기본 설정되있다. 이수치는 Oracle for SQL*Net이 사용하고있다. class-map커맨드는 ASA와 PIX의 SQL*Net inspection포트를 다른 포트숫자로 사용할수있다.
TCP three-way handshake는 이 취약성에 영향을 받지않는다. TCP three-way handshake요청은 위장된 소스어드레스들을을 사용하는 PACKETS의 가능성을 현저하게 줄여준다.
이 취약성은 Cisco 버그 CSCsw51809(인증된 고객전용) 문서에 있습니다. 그리고 일반 취약성과 드러난 식별자 등재되어있습니다. CVE-2009-1159
Access Control List Bypass Vulnerability
ACL은 암묵적인 거부 행위자를 가지고있다.이 행위자는ACL과 ACL의 끝에 도달했을때 패킷들이 ACE의 어떤 허가나 거부가 매치되었는지 판단한다. 이런 암묵적인 거부는 어떤 설정도 필요없이 모든 트래픽이 ACL의 끝에 닿으면 암묵적인 ACE로서 이해하도록 설계되었다. ASA와 PIX에 존재하는 이 취약성은 암묵적인 거부 ACE를 우회하는 트래픽을 허용하게 한다.
Note:이런 행위자는 오직 ACL이 적용되있는 장치에 암묵적인 거부 영향이 있다.명시적인 거부사태의 ACL은 이런 취약성의 영향을 받지 않는다.이취약성은 매우 드물게 나타며,일어나는게 매우 어렵다.
당신은 패킷이 정확하게 운영중인지 아닌지 세큐리티 장치보기 위해서 패킷드레이서 툴을가지고 패킷의 수명을 추적할수있다. packet-tracer커맨드는 패킷과 어떻게 패킷이 세큐리티장치에서 처리되는지 다양한정보를제공한다. 설정 커맨드가 패킷드롭을 유도하지 않는커맨packet-tracer컴맨드는 쉽게 읽을수있는 수단의 단서를 정보를 제공할것이다. 당신은 ACL의 암묵적인 거부가 효가과 없는지아닌지보기위해서 이기능을 사용할수있다. 아래의 예제는 암묵적인 거부가 통과된것을 보여준다.
