Vulnerability Bulletins |
Denegación de servicio en DHCP de Cisco IOS |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Denegación de Servicio |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Networking |
Affected software |
Cisco 7200, 7300, 7500 Cisco 2650, 2651, 2650XM, 2651XM Multiservice Cisco ONS15530, ONS15540 Cisco Catalyst 4000, Sup2plus, Sup3, Sup4 & Sup5 Cisco Catalyst 4500, Sup2Plus TS Cisco Catalyst 4948, 2970, 3560, & 3750 Cisco Catalyst 6000, Sup2/MSFC2 & Sup720/MSFC3 Cisco 7600 Sup2/MSFC2 & Sup720/MSFC3 |
Description |
|
Algunos dispositivos Cisco, con versiones de Cisco IOS del la rama 12.2S y el servidor Dynamic Host Configuration Protocol (DHCP) o agente relay activado, aunque no esten configurados, son vulnerables a una denegación de servicio, ya que la cola de entrada se bloquea si recibe un paquete DHCP manipulado. | |
Solution |
|
Workaround: Existen cuatro posibles medidas dada la vulnerabilidad: *Deshabilitar el servicio dhcp. *Control Plane Policing *Dos versiones de listas de acceso. La eficacia de cualquiera de estas soluciones depende de la situación de cada cliente como pueden ser el tipo de productos, la topología, el comportamiento de tráfico y la organización. Debido a la variedad de los productos y distribuciones afectadas, los clientes deberían consultar con su proveedor para asegurar que la medida tomada es la más apropiada para la red donde se va a implantar. Deshabilitar el servicio de DHCP: La vulnerabilidad se puede evitar mediante el siguiente comando: no service dhcp No obstante esta medida desactivará el procesado de DHCP en el dispositivo, incluyendo la funcionalidad de DHCP helper que puede ser necesaria en algunas configuraciones. Control Plane Policing The Control Plane Policy se puede utilizar para mitigar la vulnerabilidad tal y como se muestra a continuación: access-list 140 deny udp host 192.168.13.1 any eq bootps access-list 140 deny udp any host 192.168.13.1 eq bootps access-list 140 deny udp any host 255.255.255.255 eq bootps access-list 140 permit udp any any eq bootps class-map match-all bootps-class match access-group 140 policy-map control-plane-policy class bootps-class police 8000 1500 1500 conform-action drop exceed-action drop control-plane service-policy input control-plane-policy En este ejemplo 192.168.13.1 es un servidor DHCP legítimo. Para mas información en la configuración y uso de la opción CPP: http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1838/products_feature_guide09186a00801afad4.html. Esta medida es solo aplicable a Cisco IOS 12.2S, ya que esta opción esta solo disponible en versiones 12.2S y 12.3T. Cisco IOS 12.3T no se ha visto afectada por este aviso. Access Lists - Dos métodos: Las Access lists se pueden aplicar para bloquear el tráfico DHCP/BootP con destino a cualquier dirección del router, como se muestra en el siguiente ejemplo: En este ejemplo, la dirección IP 192.168.13.1 representa un servidor DHCP legítimo, las direcciones 10.89.236.147 y 192.168.13.2 representan direcciones de las interfaces del router y 192.168.61.1 representa la interfaz de loopback del router. En el ejemplo cualquier paquete del tipo bootp/dhcp con destino al router será bloqueado: In this example, any bootp/dhcp packets destined to the router interface addresses are blocked. access-list 100 remark permit bootps from the DHCP server access-list 100 permit udp host 192.168.13.1 any eq bootps access-list 100 remark deny bootps from any to router f1/0 access-list 100 deny udp any host 10.89.236.147 eq bootps access-list 100 remark deny bootps from any to router f0/0 access-list 100 deny udp any host 192.168.13.2 eq bootps access-list 100 remark deny bootps from any to router loopback1 access-list 100 deny udp any host 192.168.61.1 eq bootps access-list 100 remark permit all other traffic access-list 100 permit ip any any access-list 100 se aplica alas interfaces f0/0 y f1/0. interface FastEthernet0/0 ip address 192.168.13.2 255.255.255.0 ip access-group 100 in interface FastEthernet1/0 ip address 10.89.236.147 255.255.255.240 ip access-group 100 in ip helper-address 192.168.13.1 Configuración alternativa para las reglas de las interfaces: Este ejemplo también se debe aplicar a todas las interfaces, pero no es necesario denegar los paquetes hacia todas las IPs configuradas en el router.En este ejemplo la dirección 192.168.13.1 representa un servidor DHCP legítimo. access-list 100 permit udp host 192.168.13.1 any eq bootps access-list 100 permit udp any host 192.168.13.1 eq bootps access-list 100 permit udp any host 255.255.255.255 eq bootps access-list 100 deny udp any any eq bootps interface FastEthernet0/0 ip address 192.168.13.2 255.255.255.0 ip access-group 100 in interface FastEthernet1/0 ip address 10.89.236.147 255.255.255.240 ip access-group 100 in ip helper-address 192.168.13.1 Nota: Estas medidas no pueden prevenir paquetes IP falseados con la IP de origen igual a la del servidor DHCP. Actualización de software Cisco http://www.cisco.com/tacpage/sw-center/sw-ios.shtml. Cisco 12.2(18)EW Instalar la versión rebuild 12.2(18)EW2 Cisco 12.2(18)EWA Instalar la versión maintenance 12.2(20)EWA Cisco 12.2(18)S Instalar la versión rebuild 12.2(18)S6/12.2(20)S4/12.2(22)S2 o la version maintenance 12.2(25)S Cisco 12.2(18)SE Instalar la versión rebuild 12.2(20)SE3 Cisco 12.2(18)SV Instalar la versión maintenance 12.2(24)SV Cisco 12.2(18)SW Instalar la versión maintenance 12.2(25)SW Cisco 12.2(20)EW Migrar a 12.2(20)EWA |
|
Standar resources |
|
Property | Value |
CVE | |
BID | |
Other resources |
|
Cisco Security Advisory (63312) http://www.cisco.com/warp/public/707/cisco-sa-20041110-dhcp.shtml |
Version history |
||
Version | Comments | Date |
1.0 | Avido emitido | 2004-11-11 |
1.1 | Aviso actualizado por CISCO (63312) | 2004-11-12 |
1.2 | Aviso actualizado por CISCO (63312) | 2004-12-07 |