02.03.06 Новости Cisco — январь/февраль 2006
Новый IP телефон Cisco 7911G
Компания Cisco Systems расширяет линейку IP телефонов серии Cisco 7900 новым аппаратом с поддержкой стандарта 802.3af и обновленным графическим меню. Внешний вид телефона CP-7911G:
Основные отличия телефона Cisco IP Phone 7911G от Cisco IP Phone 7912G:
| |
Cisco IP Phone 7911G
(Part Number CP-7911G) |
Cisco IP Phone 7912G
(Part Number CP-7912G-A) |
| IEEE 803.af Power Over Ethernet (PoE) |
Yes |
No |
| Cisco Inline Power |
Yes |
Yes |
| Enhanced Memory and Applications |
Yes |
No |
| Enhanced Security Features |
Yes |
No |
| LCD Resolution |
192 x 64 pixels |
192 x 64 pixels |
В данный момент поддержка нового телефона объявлена только для Cisco CallManager версий 3.3 (5)SR1, 4.0(2)SR2b и 4.1(3)SR1. Для поддержки телефона необходима Skinny Client Control Protocol (SCCP) Version 7.2(1) и выше.
Гарантия
Стандартная гарантия 1 год.
Дополнительная информация
http://www.cisco.com/en/US/products/hw/phones/ps379/products_data_sheet0900aecd8039de52.html
Отказы в обслуживании Cisco Call Manager.
Cisco CallManager (CCM) – программное обеспечение, которое является ключевым компонентом Cisco IP telephony, обеспечивает интеграцию функций IP телефонов, голосовых шлюзы, мультимедийных приложений. Многие версии CCM подвержены атакам, направленных на отказ в обслуживании Denial of Service (DoS), которые могут привезти к недоступности серверов CCM для пользователей или перезагрузке серверов.
Уязвимые продукты:
- Cisco CallManager 3.2 и более ранние версии.
- Cisco CallManager 3.3, версии более ранние, чем 3.3(5)SR1a
- Cisco CallManager 4.0, версии более ранние, чем 4.0(2a)SR2c
- Cisco CallManager 4.1, версии более ранние, чем 4.1(3)SR2
Описание
Уязвимые версии CCM не управляют TCP соединениями и активностью Windows сообщений, позволяя некоторым хорошо известные номерам портов быть подверженным DoS атакам.
- CSCea53907—CallManager не достаточно агрессивно отключает неактивные TCP соединения на 2000 порте, что приводит к использованию памяти и ресурсов CPU, необходимых для открытых соединений. В некоторых случаях, CallManager сможет закрыть TCP соединение только при перезагрузки сервера.
- CSCsa86197, CSCsb16635, CSCsb64161— Несколько соединений на портах 2001, 2002 или 7727 могут полностью заполнить очередь сообщений Windows, что не позволит CCM обмениваться сообщениями с Windows Service Manager, который перезапускает CCM после периода неактивности.
Ущерб
Эти уязвимости могут быть успешно использованы для DoS атак, которые могут привести к высокой загрузке ресурсов центрального процессора, прерыванию сервисов или перезагрузки серверов.
Версии ПО и исправления
Перед обновлением ПО Cisco Systems рекомендует посетить страницу PSIRT http://www.cisco.com/go/psirt
Клиентам необходимо убедиться что оборудование, на которое будет устанавливаться новая вервия CCM, обладает достаточным объемом оперативной памяти, и что текущая конфигурация оборудования будет продолжать работать корректно с новой версией CCM. При необходимости, можно обратиться за поддержкой в Cisco Technical Assistance Center ("TAC").
Каждая строка в таблице ниже указывает на уязвимые версии Cisco CallManager. Все версии CCM, которые являются более ранними, чем версии, указанные в столбцах Engineering Special и Service Release считаются уязвимыми. В этом случаи необходимо заменить версию CCM на более новую в соответствии с данными, указанными в таблице.
|
Version |
Engineering Special |
Service Release |
Maintenance Release |
|
3.2 и более ранние |
|
|
Переход на 3.3 и более поздние версии |
|
3.3 |
3.3(5)ES24 |
3.3(5)SR1a |
Не планируется |
|
4.0 |
4.0(2a)ES56 |
4.0(2a)SR2c |
Не планируется |
|
4.1 |
4.1(2)ES50 4.1(3)ES24 |
4.1(3)SR2 |
Не планируется |
Временное решение
В данный момент нет методов, которые позволяют полностью исключить DoS атаки на CCM. Cisco рекомендует использовать списки доступа и ограничение скорости для контроля доступа к CCM, что значительно понижает возможность успешной атаки. Cisco предоставляет инструкцию Solution Reference Network Design (SRND), которая поможет проектировать и развертывать соответствующие сетевые решения. http://www.cisco.com/warp/public/779/largeent/it/ese/srnd.html
Получение исправленных версий
Компания Cisco Systems выпустила ПО, которое доступно бесплатно. Перед инсталляцией ПО, клиенты должны проверить ПО на совместимость с имеющимся оборудованием.
Перед использованием новых версий CCM, клиент должен принять соглашение о лицензировании ПО, установленное Cisco Systems, с которым можно ознакомиться по нижеуказанной ссылке. http://www.cisco.com/public/sw-license-agreement.html
Для пользователей с сервисными контрактами
Клиенты, которые имеют зарегистрированные сервисные контракты, могут получить новые версии CCM через Software Center на сайте производителя. http://www.cisco.com
Для пользователей без сервисных контрактов
Клиентам, у которых нет зарегистрированных сервисных контрактов, для получения новых версий ПО необходимо связаться с Cisco Technical Assistance Center (TAC). Дополнительную информацию о TAC можно посмотреть по нижеуказанной ссылке http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml
Информацию об описанных уязвимостях и способах снижения рисков можно посмотреть на сайте производителя по нижеуказанной ссылке:
http://www.cisco.com/en/US/products/products_security_advisory09186a00805e8a55.shtml
Решения Cisco ASA 5500 Series Anti-X Edition для предприятий на основе модулей CSC-SSM.
Cisco ASA 5500 Series Adaptive Security Appliance - это модульная платформа, которая предоставляет безопасное решение следующего поколения с поддержкой технологии VPN. Исчерпывающий набор сервисов Cisco ASA 5500 Series позволяет удовлетворить практически любые потребности клиентов.
Устройства этой серии выпускаются в 4 вариантах: Firewall, IPS, Anti-X и VPN. Более подробную информацию о Cisco security сервисах см. http://www.cisco.com/go/services/security.
Cisco ASA 5500 Series Anti-X Edition является мощным решением «все в одном». Оно позволяет защищать сетевые ресурсы, останавливая вирусы, сетевых червей, шпионские программы, спам, а также контролировать нежелательные электронные письма и web содержимое, уменьшая стоимость владения и сложность развертывания решения.
Cisco ASA 5500 Series Anti-X Edition предоставляет предприятиям безопасный, хорошо защищенный шлюз, для доступа в Internet. В комбинации со встроенной технологией URL filtering, набор Anti-X Edition позволяет контролировать использование Inernet трафика сотрудниками компании и ограничивать доступ к «ненужным» Web Сайтам.
Централизованное управление и мониторинг дают возможность устанавливать и поддерживать работу Cisco ASA 5500 Series Anti-X Edition с минимальным штатом сотрудников. Cisco предоставляет законченное решения для управления и мониторинга при помощи Cisco Adaptive Security Device Manager (ASDM), который обеспечивает мощный, но интуитивно понятный, web интерфейс.
Архитектура возможных сценариев
Основные компоненты
- Cisco ASA 5500 Series Anti-X Edition обеспечивает безопасность клиентов на границе локальных и удаленных сетей.
- Cisco Security Manager (CS-Manager) позволяет осуществлять развертывание крупномасштабных Cisco security проектов на уровне предприятия.
- Cisco Security Monitoring, Analysis, and Response System (CS-MARS) позволяет в режиме реального времени осуществлять мониторинг и выполнять необходимые действия.
Подробную информацию о Cisco ASA 5500 Series можно посмотреть на сайте производителя http://www.cisco.com/go/asa
Информация о Cisco Adaptive Security Device Manager: http://www.cisco.com/go/asdm
Новые модули Cisco ASA 5500 Series Content Security and Control Security Services Module (CSC-SSM).
Модуль Cisco ASA 5500 Series CSC-SSM предоставляет надежную защиту от угроз и вторжений. Он может обеспечивать контроль содержимого Internet трафика, предоставляя такие встроенные сервисы, как antivirus, anti-spyware, file blocking, anti-spam, anti-phishing, URL blocking and filtering и content filtering.
Таблица 1. Функциональные возможности модулей CSC-SSM
|
Функции |
Описание |
|
Antivirus |
Antivirus технология защищает внутренние сетевые ресурсы от вирусных атак. |
|
Anti-Spyware |
Блокирование шпионских программ при прохождении Internet Web и e-mail трафика через шлюз. |
|
Anti-Spam |
Блокирование спама с низким числом ложных срабатываний. |
|
Anti-Phishing |
Защита против несанкционированного получения третьими лицами конфиденциальной информации о пользователях (пароли и коды доступа). |
|
Automatic Updates from TrendLabs |
Автоматическое обновление единой базы virus, spyware и spam сигнатур, которое работает 24 часа в день, 7 дней в неделю. |
|
Central Administration |
Легкое управление при помощи удаленной Web консоли. Снижает время на развертывание и уменьшает стоимость IT поддержки. |
|
Real-Time Protection for Web Access, Mail and File Transfers |
Проверка Web, e-mail трафика и передаваемых файлов на наличие вирусов и других вредоносных программ в режиме реального времени. |
|
Full URL Filtering Capability with Categories, Scheduling and Caching |
URL фильтрация применяется для контроля использования сотрудниками Internet ресурсов, блокируя доступ к ненужным для работы web сайтам. |
|
E-Mail Content Filtering |
E-mail фильтрация минимизирует прохождение электронных писем, содержащих непристойные и оскорбительные материалы. |
Лицензии на продукт
Cisco ASA 5500 Series CSC-SSM предоставляет широкий выбор лицензий, давая возможность формировать различные наборы поддерживаемых сервисов и увеличение количества пользователей.
Таблица 2. Стандартные и дополнительные лицензии.
|
CSC-SSM модули |
Стандартные лицензии |
Дополнительные лицензии |
|
|
(включены в комплект поставки) |
обновление пользователей (Общее количество) |
особенности обновлений |
|
CSC-SSM-10 |
· 50 Users
· Antivirus, anti-spyware, file blocking |
· 100 Users
· 250 Users
· 500 Users |
Поддержка anti-spam, anti-phishing, URL blocking/filtering and content контроля. |
|
CSC-SSM-20 |
· 500 Users
· Antivirus, anti-spyware, file blocking |
· 750 Users
· 1000 Users |
Поддержка anti-spam, anti-phishing, URL blocking/filtering and content контроля. |
Характеристики устройства
Таблица 3. Совместимость программного обеспечения
|
Оборудование |
Поддерживаемые версии ПО |
|
Cisco ASA 5500 Series Appliances |
Cisco ASA Software Version 7.1(1) and higher |
|
Cisco Adaptive Security Device Manager |
Cisco ASDM Software Version 5.1(1) and higher |
|
Cisco CSC-SSM |
Cisco CSC Software Version 6.0(b1349) and higher |
Таблица 4. Поддерживаемые платформы
|
Оборудование |
Поддерживаемые устройства |
|
CSC-SSM-10 |
· Cisco ASA 5510 Adaptive Security Appliance
· Cisco ASA 5520 Adaptive Security Appliance |
|
CSC-SSM-20 |
· Cisco ASA 5510 Adaptive Security Appliance
· Cisco ASA 5520 Adaptive Security Appliance
· Cisco ASA 5540 Adaptive Security Appliance |
Таблица 5. Характеристики Cisco ASA 5500 Series CSC-SSM
|
|
Cisco ASA 5500 Series CSC-SSM-10 |
Cisco ASA 5500 Series CSC-SSM-20 |
|
Technical Specifications |
|
Processor |
2.0 GHz |
2.4 GHz |
|
Memory |
1 GB |
2 GB |
|
System Flash |
256 MB |
256 MB |
|
Cache |
256 KB |
512 KB |
Сервис и поддержка
Сервис Cisco ASA 5500 Series CSC-SSM включает в себя hardware support, software support и подписку на content обновления. Подписка на обновления на первый год предоставляется бесплатно. На второй и последующие годы лицензии на обновление необходимо приобретать отдельно. hardware поддержка обеспечивается при помощи контракта SMARTnet, который, также приобретается отдельно.
Таблица 6. Доступная поддержка и обслуживание
|
Support Deliverables |
Cisco SMARTnet® (SNT) Service |
Trend Micro Update Service |
|
Cisco ASA 5500 Series Appliance Chassis Support |
|
Registered Access to Cisco.com |
Included |
- |
|
TAC Technical Support 24 x 7 x 365 |
Included |
- |
|
Operating System Software Releases (Maintenance, Major, Minor) |
Included |
- |
|
Hardware Replacement Options |
Included |
- |
|
Cisco ASA 5500 Series CSC-SSM Support |
|
Registered Access to Cisco.com |
Included |
- |
|
TAC Technical Support 24 x 7 x 365 |
Included |
- |
|
Operating System Software Releases (Maintenance, Major, Minor) |
Included |
- |
|
Pattern File, Scan Engine and Signature Updates |
- |
Included |
|
Advance Hardware Replacement Options |
Included |
- |
Подробную информацию о Cisco ASA 5500 Series можно посмотреть на сайте производителя:
http://www.cisco.com/go/asa.
|
