Sécurité : Directeur Cisco IDS Unix

Configuration du shunning sur UNIX Director

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le directeur et le capteur de Detection System de Cisco Intrusion (ID) peuvent être utilisés pour gérer un routeur de Cisco pour l'évitement. Dans ce document, un senseur (sensor-2) est configuré afin de détecter des attaques sur le routeur « Chambre » et afin de communiquer ces informations au directeur "dir3." une fois configuré, une attaque est lancé (le ping de plus en grande partie que 1024 octets, qui est la signature 2151, et d'une inondation d'Internet Control Message Protocol [ICMP], qui est la signature 2152) du routeur la « lumière. » Le senseur détecte l'attaque et communique ceci au directeur. Une liste de contrôle d'accès (ACL) est téléchargée au routeur pour éviter le trafic de l'attaquant. Sur l'attaquant l'inaccessible d'hôte est affiché, et sur la victime l'ACL téléchargé est affiché.

Conditions préalables

Conditions requises

Assurez-vous de répondre à ces exigences avant d'essayer cette configuration :

  • Installez le capteur et assurez-vous que cela fonctionne correctement.

  • Assurez-vous que les envergures d'interface de reniflement au routeur en dehors de l'interface.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • IDS Director 2.2.3 de Cisco

  • Capteur 3.0.5 d'ID de Cisco

  • Routeur de½ du¿Â du Cisco IOSï avec 12.2.6

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant.

http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-director1.gif

Configurations

Ce document utilise les configurations suivantes.

Lumière du routeur
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Routeur House
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Configurez le capteur

Terminez-vous ces étapes pour configurer le capteur.

  1. Telnet à 10.64.10.49 avec la racine de nom d'utilisateur et l'attaque de mot de passe.

  2. Entrez dans le sysconfig-capteur.

  3. Une fois incité, écrivez les informations de configuration, suivant les indications de cet exemple.

    1 - IP Address: 10.64.10.49
    2 - IP Netmask: 255.255.255.224
    3 - IP Host Name:  sensor-2 
    4 - Default Route     10.64.10.33
    5 - Network Access Control 
             64. 
             10.
    6 - Communications Infrastructure
    Sensor Host ID: 49
    Sensor Organization ID:     900
    Sensor Host Name: sensor-2
    Sensor Organization Name:   cisco
    Sensor IP Address:        10.64.10.49
    IDS Manager Host ID: 50
    IDS Manager Organization ID:   900
    IDS Manager Host Name:        dir3
    IDS Manager Organization Name: cisco
    IDS Manager IP Address:        10.64.21.50
    
  4. Une fois incité, sauvegardez la configuration et permettez au capteur pour redémarrer.

Ajoutez le capteur dans le directeur

Terminez-vous ces étapes pour ajouter le capteur dans le directeur.

  1. Telnet à 10.64.21.50 avec le netrangr de nom d'utilisateur et l'attaque de mot de passe.

  2. Écrivez l'ovw& pour lancer le HP OpenView.

  3. Dans le menu principal, Security > Configure choisi.

  4. Dans l'utilitaire de gestion de fichier de configuration, le fichier choisi > ajoutent l'hôte, et cliquent sur Next.

  5. C'est un exemple de la façon compléter les informations demandées.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directora.gif

  6. Recevez la valeur par défaut pour le type d'ordinateur, et cliquez sur Next, suivant les indications de cet exemple.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorb.gif

  7. Changez le log et évitez les minutes, ou laissez-les comme par défaut si les valeurs sont acceptables. Changez le nom d'interface réseau au nom de votre interface de reniflement.

    Dans cet exemple il est "iprb0." qu'il peut être "spwr0" ou toute autre chose selon le type de capteur et comment vous connectez votre capteur.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorc.gif

  8. Cliquez sur Next jusqu'à ce qu'il y ait une option de cliquer sur Finish.

    Vous avez avec succès ajouté le capteur dans le directeur. Du menu principal, vous devriez voir sensor-2, comme indiqué dans cet exemple.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directord.gif

Configurez l'évitement pour le routeur Cisco IOS

Terminez-vous ces étapes pour configurer l'évitement pour le routeur Cisco IOS.

  1. Dans le menu principal, Security > Configure choisi.

  2. Dans l'utilitaire de gestion de fichier de configuration, mettez en valeur sensor-2 et double-cliquer-le.

  3. Ouvrez la Gestion de périphériques.

  4. Cliquez sur les périphériques > ajoutent, et écrivent les informations suivant les indications de cet exemple. Cliquez sur OK pour continuer.

    La correspondance de mots de passe de telnet et d'enable ce qui est dans le routeur la « Chambre. »

    shunning_directore.gif

  5. Cliquez sur les interfaces > ajoutent, écrivent ces informations, et cliquent sur OK pour continuer.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorf.gif

  6. Le clic évitant > ajoutent et sélectionnent sensor-2.cisco en tant que serveur de évitement. Fermez la fenêtre de Gestion de périphériques quand vous êtes de finition.

    shunning_directorg.gif

  7. Ouvrez la fenêtre de détection d'intrusion, et cliquez sur les réseaux protégés. Ajoutez la plage 10.64.10.1 à 10.64.10.254 dans le réseau protégé, suivant les indications de cet exemple.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorh.gif

  8. Profil > configuration manuelle de clic.

  9. Choisi modifiez les signatures > le grand trafic d'ICMP avec un ID de 2151.

  10. Le clic modifient, changent l'action d'aucun éviter et se connecter, et cliquent sur OK pour continuer.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorj.gif

  11. Choisissez l'inondation d'ICMP avec un ID de 2152, et le clic modifient. Changez l'action d'aucun éviter et se connecter, et cliquez sur OK pour continuer.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directori.gif

  12. Cliquez sur OK pour fermer la fenêtre de détection d'intrusion.

  13. Ouvrez le répertoire de fichiers système, et ouvrez la fenêtre de démons.

    Veillez-vous pour avoir activé ces démons :

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directork.gif

  14. Cliquez sur OK pour continuer, pour choisir la version juste modifiée, et pour cliquer sur la sauvegarde et puis pour s'appliquer.

    Attendez le système pour te dire le capteur terminé en redémarrant des services, puis fermez toutes les fenêtres pour la configuration de directeur.

    shunning_directorl.gif

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

  • liste d'accès d'exposition - Répertorie les déclarations de commande access-list en configuration de routeur. Il répertorie également un nombre de hits qui indique que le nombre de fois où un élément a été apparié pendant une recherche de commande access-list.

  • ping - Utilisé pour diagnostiquer la connexion réseau de base.

Avant une attaque est lancé

Avant qu'une attaque soit lancée, émettez ces commandes.

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

Lancez l'attaque et l'évitement

Lancez votre attaque à partir du routeur « lumière » à la victime « Chambre. » Quand l'ACL prend l'affect, les unreachables sont vus.

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

Une fois que le capteur l'a détecté l'attaque, et l'ACL est téléchargé, et cette sortie est affichée sur la « Chambre. »

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

Les unreachables sont encore vus sur la « lumière, » suivant les indications de cet exemple.

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

Quinze minutes plus tard, la « Chambre » retourne à la normale, parce que l'évitement a été placé à 15 minutes.

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

La « lumière » peut cingler la « Chambre. »

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 3901