Manualsbrain.com
  1. Manuais
  2. Marcas
  3. Cisco
  4. Cisco IPS 4255 Sensor
  5. White Paper

Cisco Cisco IPS 4255 Sensor White Paper

Download
Página de 8
 
 
© 2004 Cisco Systems, Inc. All right reserved.  
Important notices, privacy statements, and trademarks of Cisco Systems, Inc. can be found on cisco.com 
Page 6 of 8 
 
 
Mitigation of VoIP Threats with the H323/H225 Engine Delivered With Cisco IPS v5.0 Sensor Software 
Cisco IPS v5.0 Sensor Software utilizes advanced algorithms to accurately identify and stop threats in a VoIP environment using the following 
techniques:   
TPKT Validation and Length Checks 
For TCP streams, checks on the format of the TPKT (RFC 1006), version number, and maximum length are performed. This helps protect the 
gateway from very large TPKTs or bad TPKT length attacks, which in turn helps to ensure the sanity of the TPKT fields and that the TPKT length is 
within the bounds defined by the policy. 
Field/Message Validation (Empty or Absent Fields)  
Validation in terms of empty or absent information elements is performed. The actual H.225 message is also checked for adherence to the protocol 
specification in terms of field presence, length, and other criteria. 
Information Elements Validation and Length Checking on Information Elements 
Checks lengths and validations like presence/absence of information elements; checks for reserved values on Q.931 information elements for 
SETUP messages. This helps ensure the sanity of the SETUP message and that the SETUP message is not being misused.  
Setup Message Validation  
SETUP message checks, including presence/absence of actual H.225 SETUP message payload, making sure that the user information element is the 
last one in the SETUP message, and making sure that the total length of the actual H.225 SETUP message is valid, are performed to minimize the 
possibility of invalid or too-large SETUP messages reaching the endpoints/gateways.  
 
Regexp Pattern Searches 
Regexp pattern search capabilities on various SETUP message string components (URLs and e-mail IDs) and Q.931 string components (display 
information) are implemented to allow the system administrator to selectively apply policies and signatures on fields that are subject to attack based 
on the endpoint implementations. 
Address Checks 
Using the pattern search capabilities and length check signatures, address fields like e-mail ID, URL ID, and H.323 ID can have policies applied. 
These policies are highly detailed; they allow applying policies based on the above fields occurring in specific places, and not all occurrences of the 
address fields across the messages.  
Signature to Track the Maximum Number of SETUP Messages Seen on a Single Call-Signaling Connection 
This specific check is incorporated to support limiting the total number of SETUP messages that are seen in a call-signaling connection. This can 
help to alleviate or stop DoS attacks based on SETUP messages.  
ASN.1 PER validations 
The H.225 engine facilitates catching PER encoding errors like illegal or unknown choice/sequence of a field, ASN constraint violations and the 
message being too short for complete protocol decode.