无线/移动 : WLAN 安全

无线 LAN 控制器和 IPS 集成指南

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

Cisco Unified入侵检测系统(IDS) /Intrusion预防系统(IPS)是思科自防御网络的一部分并且是在行业的首先集成的有线的和无线安全解决方案。Cisco Unified IDS/IPS采取对安全的一个全面的方法—在无线边缘,有线的边缘, WAN边缘和通过数据中心。当一个相关的客户端通过Cisco Unified无线网络时发送恶意流量,思科有线IDS设备检测攻击,并且发送避开请求到Cisco无线LAN控制器(WLCs),然后取消关联客户端设备。

在他们影响企业连续性前,思科IPS是一轴向,基于网络解决方案,设计识别,准确地分类和终止恶意流量,包括蠕虫病毒,间谍软件/广告软件、网络病毒和应用程序滥用。

使用Cisco IPS传感器软件版本5的利用率, Cisco IPS解决方案与创新技术联合轴向预防服务改进准确性。结果是在您的IPS解决方案的提供的防护的总信心,没有丢弃的合法数据流恐惧。思科IPS解决方案通过其独特的能力协作也提供您的网络的全面的保护与其他网络安全资源并且提供对您的网络的保护的一个预防性的方法。

思科IPS解决方案帮助用户通过使用这些功能终止更多威胁有更加极大的信心:

  • 准确轴向预防技术—提供空前的信心采取预防措施各种各样的威胁,不用降低合法数据流风险。这些唯一技术提供您的数据智能,自动化的,上下文分析并且帮助保证您接收多数出于您的入侵防御解决方案。

  • 多个矢量威胁识别—通过流量的详细的检查在第2层的保护您的从策略违反、漏洞开发和异常活动的网络通过7。

  • 唯一的网络协作—通过网络协作提高可扩展性和弹性,包括高效流量捕获技术、负载均衡功能和可见性到加密流量。

  • 全面的部署解决方案—为所有环境提供解决方案,从中小型企业(SMB)和分支机构位置到大型企业和服务提供商安装。

  • 强有力的管理、事件关联和支持服务—启用一完整的解决方案,包括配置、管理、数据相关性和高级支持支持服务。特别是Cisco安全监听,分析,并且答复系统(火星)识别,隔离,和推荐触犯的元素精确度删除,网络宽入侵防御解决方案的。并且Cisco Incident Control System通过启用网络迅速地适应和提供一分布式答复防止新的蠕虫病毒和病毒爆发。

当结合,这些元素提供一全面的轴向预防解决方案并且给您信心检测和终止恶意流量宽广的范围,在影响企业连续性前。思科自防御网络计划呼叫请求网络解决方案的集成和内置的安全。当前轻量级接入点协议(LWAPP) -基于WLAN系统只支持基本IDS功能由于这样的事实它根本是Layer2系统,并且限制了处理功率。新建的Cisco版本以适时的方式编码包括新建的增强功能到新的代码。版本4.0有包括一个基于LWAPP的WLAN系统集成有思科IDS/IPS产品线的最新的功能。在此版本中,目标是允许思科IDS/IPS系统指示WLCs阻塞某些客户端从访问到无线网络,当攻击任何地方从第3层检测到在考虑事项涉及客户端的第七层时。

先决条件

要求

保证您符合这些最低要求:

  • WLC固件版本4.x和以后

  • 关于怎样的知识配置思科IPS和思科WLC是理想。

使用的组件

思科WLC

这些控制器用IDS修改的软件版本4.0包括:

  • Cisco 2000 系列 WLC

  • Cisco 2100 系列 WLC

  • Cisco 4400 系列 WLC

  • Cisco无线服务模块(WiSM)

  • Cisco Catalyst 3750G系列Unified接入交换机

  • Cisco无线LAN控制器模块(WLCM)

接入点

  • AG Cisco Aironet 1100系列轻量级接入点

  • AG Cisco Aironet 1200系列轻量级接入点

  • Cisco Aironet 1300系列轻量级接入点

  • Cisco Aironet 1000系列轻量级接入点

管理

  • Cisco Wireless Control System (WCS)

  • Cisco 4200系列传感器

  • Cisco IDS管理- Cisco IDS Device管理器(IDM)

Cisco Unified IDS/IPS平台

  • 有Cisco IPS传感器软件5.x或以上的Cisco IPS 4200系列传感器。

  • SSM10和SSM20 Cisco ASA 5500系列自适应安全设备的用Cisco IPS传感器软件5.x

  • Cisco ASA 5500系列自适应安全设备用Cisco IPS传感器软件5.x

  • Cisco IDS网络模块(NM-CIDS)用思科IPS传感器软件5.x

  • Cisco Catalyst 6500系列入侵检测系统模块2 (IDSM-2)用Cisco IPS传感器软件5.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Cisco IDS概述

Cisco IDS (版本5.0)的主要组件是:

  • 传感器App —执行数据包捕获和分析。

  • 事件存储管理和操作模块—提供策略违反存储设备。

  • 制作镜像,安装和启动模块—负载,初始化,并且开始所有系统软件。

  • 用户界面和UI支持模块—提供嵌入式CLI和IDM。

  • 传感器OS —主机操作系统(根据Linux)。

/image/gif/paws/71231/wlc-ips-integration-guide-1.gif

传感器应用程序(IPS软件)包括:

  • 主要App —初始化系统,运行并且终止其他应用程序,配置OS并且对升级负责。它包含这些组件:

    • 控制事务处理服务器—允许传感器发送用于启用攻击答复控制器的控制处理(以前叫作网络访问控制器)万事达阻塞传感器功能。

    • 事件存储—通过CLI、IDM、可适应安全设备管理器的被标注的存储曾经存储IPS事件(错误、状态和警报系统消息) (ASDM),或者远程数据交换的协议(RDEP)是可取得。

  • 接口App —把柄绕过和物理设置并且定义了配对的接口。物理设置包括速度、双工和管理状态。

  • 日志App —写应用程序的日志消息对日志文件和错误消息到事件存储。

  • 攻击答复控制器(以前叫作网络访问控制器) (的)弧—管理远程网络设备(防火墙、路由器和交换机)提供阻塞功能,当一个提醒的事件发生了时。弧创建并且应用在受控的网络设备的访问控制列表(ACL)或使用shun命令(防火墙)。

  • 通知App —发送SNMP陷阱,当触发由警报、状态和错误事件。通知App使用公共域SNMP代理程序为了这。SNMP获得提供关于传感器的健康的信息。

    • Web服务器(HTTP RDEP2服务器) —提供一网页用户界面。它也提供方法用其他IPS设备通信通过RDEP2使用几Servlet提供IPS服务。

    • 验证App —验证用户授权进行CLI、IDM、ASDM或者RDEP操作。

  • 传感器App (分析引擎) —执行数据包捕获和分析。

  • CLI —运行的接口,当用户顺利登录对传感器通过Telnet或SSH。通过CLI创建的所有帐户使用CLI作为他们的shell (除了服务帐户-仅一个服务帐户允许)。允许CLI命令取决于用户的权限。

所有IPS应用程序与彼此联络通过呼叫IDAPI的一普通的Application Program Interface (API)。远程应用程序(其他传感器、管理应用和第三方软件)与传感器联络通过RDEP2和安全设备事件Exchange (SDEE)协议。

必须注意传感器有这些磁盘分区:

  • 应用程序分区—包含全双工IPS系统镜像。

  • 维护分区—用于的专用IPS镜像再镜像IDSM-2的应用程序分区。维护分区的重新镜像导致丢失的配置设置。

  • 恢复分区—用于传感器的恢复的专用镜像。启动到恢复分区enable (event)用户完全再镜像应用程序分区。网络设置被保留,但是其他配置丢失。

Cisco IDS和WLC –集成概述

Cisco IDS的版本5.0引入能力配置拒绝操作,当策略违反(签名)时检测。基于用户配置在IDS/IPS系统,避开请求可以发送到防火墙、路由器或者WLC为了阻塞从特定IP地址的数据包。

使用Cisco无线控制器的Cisco Unified无线网络软件版本4.0,避开请求需要发送到WLC为了触发客户端列入黑名单或排除在控制器的行为联机。控制器使用获得避开请求的接口是命令和控制接口在Cisco IDS。

  • 控制器允许在一个给的控制器将配置的五IDS传感器。

  • 每已配置的IDS传感器由其IP地址或合格的网络名和授权凭证识别。

  • 每IDS传感器在有一唯一查询速率的一个控制器可以配置以秒钟。

/image/gif/paws/71231/wlc-ips-integration-guide-2.gif

IDS避开

控制器查询传感器以已配置的查询速率为了获取所有避开事件。给的避开请求被分配在从IDS传感器获取请求控制器的整个移动组中。其中每一避开要求客户端IP地址有效为指定的超时秒值。如果超时值指示无限的时光,则Shun事件结束,只有当避开条目在IDS删除。如果任一或所有控制器重置,避开的客户端状态在均等的移动组的每个控制器维护。

注意: 决定避开客户端由IDS传感器总是做出。控制器不检测第3层攻击。它是确定一更加复杂的进程客户端启动恶意攻击在第3层。是足够有效对于控制器准许Layer2访问的客户端验证在Layer2。

注意: 例如,如果客户端获得一个上一个触犯的(避开的) IP地址分配,它是至疏导此的Layer2访问的传感器超时新建的客户端。即使控制器提供访问在Layer2,客户端的流量也许无论如何阻塞在第3层的路由器,因为传感器也通知路由器Shun事件。

假设,客户端有IP地址A。现在,当控制器轮询IDS为时请避开事件, IDS发送避开请求到控制器用IP地址A作为目标IP地址。现在,控制器黑色列出此客户端A。在控制器上,客户端禁用根据MAC地址。

现在,假设,客户端更改其IP地址从A到B。在下投票期间,控制器得到根据IP地址的避开的客户端列表。这次再, IP地址A仍然在避开的列表。但是,因为客户端更改其IP地址从A到不在IP地址避开的列表)的B (此客户端用B的一个新的IP地址发布,一旦黑人列出的客户端超时在控制器被到达。现在,控制器启动允许有新建的此客户端B (但是客户端MAC地址的IP地址保持同样)。

所以,虽然客户端保持已禁用处于控制器排除时间的并且重新排除,如果它购回其上一个DHCP地址,该客户端不再禁用,如果是避开的更改客户端的IP地址。例如,如果客户端连接对同样网络和DHCP租用超时没有超时。

控制器对IDS的仅支持连接客户端使用控制器的管理端口的避开请求的。控制器连接对包侦测的IDS通过运载无线客户端数据流的可适用的VLAN接口。

在控制器上,禁用客户端页显示通过IDS传感器请求禁用的每个客户端。cli show命令也显示列入黑名单的客户端列表。

在WCS,不包括客户端显示在安全sub选项卡下。

这是跟随的步骤为了完成思科IPS传感器和思科WLCs的集成。

  1. 安装并且连接在无线控制器驻留的同一交换机的IDS设备。

  2. 反映(SPAN)运载无线客户端数据流到IDS设备的WLC端口。

  3. IDS设备收到每数据包的复制并且检查流量在第3层通过7。

  4. IDS设备提供一个可下载的签名文件,可能也定制。

  5. 当攻击签名检测时, IDS设备生成有事件操作的报警避开。

  6. WLC轮询报警的IDS。

  7. 当一报警用无线客户端的IP地址,关联对WLC时,检测,放客户端到排除列表。

  8. 陷阱由WLC生成,并且WCS通知。

  9. 用户从排除列表删除在指定的时间段之后。

网络架构设计

/image/gif/paws/71231/wlc-ips-integration-guide-3.gif

思科WLC连接对在Catalyst 6500的千兆接口。创建千兆接口的一Port-Channel并且启用林克聚合(滞后)在WLC。

(Cisco Controller) >show interface summary 

Interface Name                    Port  Vlan Id   IP Address       Type     Ap Mgr
--------------------------------  ----  --------  ---------------  -------  ------
ap-manager                        LAG   untagged  10.10.99.3       Static   Yes   
management                        LAG   untagged  10.10.99.2       Static   No    
service-port                      N/A   N/A       192.168.1.1      Static   No    
virtual                           N/A   N/A       1.1.1.1          Static   No    
vlan101                           LAG   101       10.10.101.5      Dynamic  No    

控制器连接建立接口在Catalyst 6500的千兆位5/1和千兆位5/2。

cat6506#show run interface gigabit 5/1
Building configuration...

Current configuration : 183 bytes
!
interface GigabitEthernet5/1
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 99
 switchport mode trunk
 no ip address
 channel-group 99 mode on
end

cat6506#show run interface gigabit 5/2
Building configuration...

Current configuration : 183 bytes
!
interface GigabitEthernet5/2
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 99
 switchport mode trunk
 no ip address
 channel-group 99 mode on
end

cat6506#show run interface port-channel 99
Building configuration...

Current configuration : 153 bytes
!
interface Port-channel99
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 99
 switchport mode trunk
 no ip address
end

IPS传感器的感觉的接口在混杂模式能单个运行或您能配对他们创建轴向感觉的模式的轴向接口。

在混杂模式,数据包不流经传感器。传感器分析受监视流量的复制而不是实际转发数据包。优点操作在混杂模式是传感器不影响与转发的流量的数据包流。

注意: 体系结构图表是WLC和IPS集成体系结构示例设置。显示的配置示例此处解释感觉接口的IDS操作在混杂模式。体系结构图表在轴向对模式显示一起配对的感觉的接口操作。参考轴向模式关于轴向接口模式的更多信息。

在此配置中,假设,感觉的接口在混杂模式操作。Cisco IDS传感器的监听接口连接对在Catalyst 6500的千兆接口5/3。创建端口信道接口是数据包的来源的Catalyst 6500的一个监控会话,并且目的地是思科IPS传感器监听接口连接的千兆接口。这复制所有入口和出口流量从控制器有线接口到IDS第3层的通过第七层检查。

cat6506#show run | inc monitor
monitor session 5 source interface Po99
monitor session 5 destination interface Gi5/3

cat6506#show monitor session 5  
Session 5
---------
Type                   : Local Session
Source Ports           : 
    Both               : Po99
Destination Ports      : Gi5/3
cat6506#

配置Cisco IDS传感器

Cisco IDS传感器的初始配置执行从控制台端口或通过连接一个监视器和键盘对传感器。

  1. 设备的洛金:

    1. 连接控制台端口对传感器。

    2. 连接监视器和键盘对传感器。

  2. 键入您的用户名和密码在登录提示。

    注意: 默认用户名和密码是都cisco。第一次您登陆到设备,提示您更改他们。您必须首先输入UNIX密码,是cisco。然后您必须两次输入新密码。

    login: cisco
    Password: 
    ***NOTICE***
    This product contains cryptographic features and is subject to 
    United States and local country laws governing import, export, 
    transfer and use. Delivery of Cisco cryptographic products does 
    not imply third-party authority to import, export, distribute or 
    use encryption. importers, exporters, distributors and users are 
    responsible for compliance with U.S. and local country laws. 
    By using this product you agree to comply with applicable laws 
    and regulations. If you are unable to comply with U.S. and local laws, 
    return this product immediately.
    
    A summary of U.S. laws governing Cisco cryptographic products may 
    be found at:
    
    http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
    
    If you require further assistance please contact us by sending 
    email to export@cisco.com.
    ***LICENSE NOTICE***
    There is no license key installed on the system.
    Please go to https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet
               (registered customers only)
            
    to obtain a new license or install a license.
  3. 配置IP地址、子网掩码和访问列表在传感器。

    注意: 这是命令和控制接口在用于的IDS用控制器通信。此地址应该是可路由的对控制器管理接口。感觉的接口不要求编址。访问列表应该包括控制器管理接口地址,以及允许的地址IDS的管理的。

    sensor#configure terminal
    sensor(config)#service host 
    sensor(config-hos)#network-settings 
    sensor(config-hos-net)#host-ip 192.168.5.2/24,192.168.5.1
    sensor(config-hos-net)#access-list 10.0.0.0/8
    sensor(config-hos-net)#access-list 40.0.0.0/8
    sensor(config-hos-net)#telnet-option enabled 
    sensor(config-hos-net)#exit
    sensor(config-hos)#exit
    Apply Changes:?[yes]: yes
    sensor(config)#exit
    sensor# 
    sensor#ping 192.168.5.1
    PING 192.168.5.1 (192.168.5.1): 56 data bytes
    64 bytes from 192.168.5.1: icmp_seq=0 ttl=255 time=0.3 ms
    64 bytes from 192.168.5.1: icmp_seq=1 ttl=255 time=0.9 ms
    64 bytes from 192.168.5.1: icmp_seq=2 ttl=255 time=0.3 ms
    64 bytes from 192.168.5.1: icmp_seq=3 ttl=255 time=1.0 ms
    --- 192.168.5.1 ping statistics ---
    4 packets transmitted, 4 packets received, 0% packet loss
    round-trip min/avg/max = 0.3/0.6/1.0 ms
    sensor# 
  4. 您能当前配置从GUI的IPS传感器。点浏览器传感器的管理IP地址。此图像显示传感器配置与192.168.5.2。的示例。

    /image/gif/paws/71231/wlc-ips-integration-guide-4.gif

  5. 添加WLC使用访问IPS传感器事件的一个用户。

    /image/gif/paws/71231/wlc-ips-integration-guide-5.gif

  6. 启用监听接口。

    /image/gif/paws/71231/wlc-ips-integration-guide-6.gif

    因为此窗口表示,必须添加监听接口到分析引擎:

    /image/gif/paws/71231/wlc-ips-integration-guide-7.gif

  7. 选择2004年签名(ICMP echo请求)为了进行一个快速设置验证。

    /image/gif/paws/71231/wlc-ips-integration-guide-8.gif

    应该启用签名,提醒的设置的严重性设置为海伊和事件操作导致警报请求分程序主机能将完成的此验证步骤的。

    /image/gif/paws/71231/wlc-ips-integration-guide-9.gif

配置 WLC

完成这些步骤为了配置WLC :

  1. 一旦IPS设备在控制器配置并且准备被添加,请选择安全> CID >传感器>New

  2. 添加IP地址, TCP端口号,您以前创建的用户名和密码。

    为了从IPS传感器获取指纹,执行此in命令IPS传感器和添加在WLC的SHA1指纹(没有冒号)。这用于获取轮询通信的控制器到IDS。

    sensor#show tls fingerprint 
    MD5: 1A:C4:FE:84:15:78:B7:17:48:74:97:EE:7E:E4:2F:19
    SHA1: 16:62:E9:96:36:2A:9A:1E:F0:8B:99:A7:C1:64:5F:5C:B5:6A:88:42

    /image/gif/paws/71231/wlc-ips-integration-guide-10.gif

  3. 检查连接的状况IPS传感器和WLC之间的。

    /image/gif/paws/71231/wlc-ips-integration-guide-11.gif

  4. 一旦设立与思科IPS传感器的连接,请确保WLAN配置正确,并且那您启用客户端排除

    默认客户端排除超时值是60秒。并且请注意不管客户端排除计时器,客户端排除仍然存在,只要IDS调用的客户端块依然是活动。在IDS的默认块时间是30分钟。

    /image/gif/paws/71231/wlc-ips-integration-guide-12.gif

  5. 您能触发在思科IPS系统的一个事件二者之一,当您执行NMAP扫描到在网络时的某些设备或,当您执行ping到思科IPS传感器时监控的一些主机。一旦报警在思科IPS被触发,请去为了检查关于主机的详细信息的监控和激活主机

    /image/gif/paws/71231/wlc-ips-integration-guide-13.gif

    避开的客户端在控制器列出当前带有主机的IP和MAC地址。

    /image/gif/paws/71231/wlc-ips-integration-guide-14.gif

    用户被添加到客户端排除列表。

    /image/gif/paws/71231/wlc-ips-integration-guide-15.gif

    陷阱日志生成,客户端被添加到避开列表。

    /image/gif/paws/71231/wlc-ips-integration-guide-16.gif

    消息日志为事件也生成。

    /image/gif/paws/71231/wlc-ips-integration-guide-17.gif

    一些另外的事件在思科IPS传感器生成,当监控的NMAP扫描在设备时执行。

    /image/gif/paws/71231/wlc-ips-integration-guide-18.gif

    此窗口表示在思科IPS传感器生成的事件。

    /image/gif/paws/71231/wlc-ips-integration-guide-19.gif

Cisco IDS传感器配置示例

这是从设定脚本的输出从安装:

sensor#show config
! ------------------------------  
! Version 5.0(2)
! Current configuration last modified Mon Apr 03 15:32:07 2006
! ------------------------------
service host
network-settings
host-ip 192.168.5.2/25,192.168.5.1
host-name sensor
telnet-option enabled
access-list 10.0.0.0/8 
access-list 40.0.0.0/8
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 2000 0 
alert-severity high
status  
enabled true
exit
exit
signatures 2001 0 
alert-severity high
status
enabled true
exit
exit
signatures 2002 0 
alert-severity high
status
enabled true
exit
exit
signatures 2003 0 
alert-severity high
status
enabled true
exit
exit
signatures 2004 0 
alert-severity high
engine atomic-ip
event-action produce-alert|request-block-host
exit
status
enabled true
exit
exit
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service authentication
exit
! ------------------------------
service web-server
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0 
description default virtual sensor
physical-interface GigabitEthernet0/0 
exit
exit
! ------------------------------
service interface
physical-interfaces GigabitEthernet0/0 
admin-state enabled
exit
exit
! ------------------------------
service trusted-certificates
exit
sensor#  

配置IDS的ASA

不同于一个传统入侵检测传感器, ASA必须总是在数据路径。换句话说,而不是从交换机端口的以生成数据流量到传感器的一个被动探测端口, ASA必须接收在一个接口的数据,内部地,然后处理它向前它另一个端口。对于IDS,请使用模块化政策架构(MPF)为了复制ASA收到到内部先进的检查和预防安全服务模块的流量(AIP-SSM)检查的。

/image/gif/paws/71231/wlc-ips-integration-guide-20.gif

在本例中,使用的ASA已经设置并且通过流量。这些步骤展示如何创建发送数据对AIP-SSM的策略。

  1. 使用ASDM,登录ASA。在成功登录, ASA主系统窗口出现。

    /image/gif/paws/71231/wlc-ips-integration-guide-21.gif

  2. 单击配置在页顶部。对ASA的视图的窗口交换机建立接口。

    /image/gif/paws/71231/wlc-ips-integration-guide-22.gif

  3. 点击在窗口的左手边的安全策略。在产生的窗口,请选择服务策略规则选项卡。

    /image/gif/paws/71231/wlc-ips-integration-guide-23.gif

  4. 单击添加为了创建一项新的策略。在新窗口的添加服务策略规则向导启动。

    1. 点击接口从下拉列表然后选择正确接口为了创建一定到其中一个接口通过流量的一项新的策略。

    2. 给予策略名称和什么的说明使用两文本框,策略执行。

    3. 其次单击为了移动向下一步。

      /image/gif/paws/71231/wlc-ips-integration-guide-24.gif

  5. 建立新数据流类适用于策略。

    建立特定类为了检查特定数据类型是合理的,但是在本例中,所有流量选择的为了简化。其次单击为了继续。

    /image/gif/paws/71231/wlc-ips-integration-guide-25.gif

  6. 完成这些步骤为了

    指示ASA处理流量到其AIP-SSM。

    1. 检查Enable (event) IPS此通信流为了启动入侵检测。

    2. 设置模式对混乱,以便流量的复制被发送对模块带外而不是放置模块线型与数据流。

    3. 在AIP-SSM发生故障情况下,请点击Permit流量为了保证ASA交换机到一FAIL开放状态。

    4. 点击芬通社为了确认更改。

      /image/gif/paws/71231/wlc-ips-integration-guide-26.gif

  7. ASA当前配置发送流量到IPS模块。点击在顶部行的“Save”为了写入对ASA的更改。

    /image/gif/paws/71231/wlc-ips-integration-guide-27.gif

配置流量检查的AIP-SSM

当ASA发送数据到IPS模块时,请关联AIP-SSM接口到其虚拟传感器引擎。

  1. 使用IDM,登陆对AIP-SSM。

    /image/gif/paws/71231/wlc-ips-integration-guide-28.gif

  2. 添加一个用户有至少查看器权限。

    /image/gif/paws/71231/wlc-ips-integration-guide-29.gif

  3. 启用该接口。

    /image/gif/paws/71231/wlc-ips-integration-guide-30.gif

  4. 检查虚拟传感器配置。

    /image/gif/paws/71231/wlc-ips-integration-guide-31.gif

配置WLC轮询客户端块的AIP-SSM

完成这些步骤,一旦传感器配置并且准备被添加在控制器:

  1. 选择安全>在WLC的CID >传感器>New

  2. 添加IP地址, TCP端口号,您在前面部分创建的用户名和密码。

  3. 为了从传感器获取指纹,执行此in命令传感器和添加在WLC的SHA1指纹(没有冒号)。这用于获取轮询通信的控制器到IDS。

    sensor#show tls fingerprint 
    MD5: 07:7F:E7:91:00:46:7F:BF:11:E2:63:68:E5:74:31:0E
    SHA1: 98:C9:96:9B:4E:FA:74:F8:52:80:92:BB:BC:48:3C:45:B4:87:6C:55

    /image/gif/paws/71231/wlc-ips-integration-guide-32.gif

  4. 检查连接的状况AIP-SSM和WLC之间的。

    /image/gif/paws/71231/wlc-ips-integration-guide-33.gif

添加阻塞签名到AIP-SSM

添加一个检查签名阻塞流量。虽然有能做根据工具联机的工作的许多签名,此示例创建阻塞ping信息包的签名。

  1. 选择2004年签名(ICMP echo请求)为了进行一个快速设置验证。

    /image/gif/paws/71231/wlc-ips-integration-guide-34.gif

  2. 启用签名,设置提醒的严重性为海伊和集合事件操作导致警报请求分程序主机为了完成此验证步骤。注意请求分程序主机操作是密钥对发信号WLC创建客户端例外。

    /image/gif/paws/71231/wlc-ips-integration-guide-35.gif

    /image/gif/paws/71231/wlc-ips-integration-guide-36.gif

  3. 点击OK键为了保存签名。

  4. 验证签名是活跃的,并且设置进行阻塞操作。

  5. 单击应用为了做签名到模块。

监控阻塞和事件与IDM

完成这些步骤:

  1. 当成功签名火,那里是在注释此的IDM内的两个地方。

    第一种方法表示有源组件, AIP-SSM安装。点击沿操作顶部行的监听。在出现在左手边项目内的列表,请选择激活主机块。每当ping签名触发,激活主机块窗口显示违者的IP地址,设备的地址在攻击下和为的时间哪些依然是块有效。默认阻塞时间是30分钟并且是可调的。然而,更改此值在本文没有讨论。关于如何更改此参数的信息,如所需要参考ASA配置文档。立即删除块,从列表选择它和然后单击删除

    /image/gif/paws/71231/wlc-ips-integration-guide-37.gif

    查看被触发的签名的第二种方法使用AIP-SSM事件缓冲区。从监控页的IDM,请选择在项目的事件列出在左手边。事件搜索工具出现。集合适当的搜索条件和点击视图….

    /image/gif/paws/71231/wlc-ips-integration-guide-38.gif

  2. 事件查看器然后显现匹配给的标准事件的列表。通过列表移动并且查找ICMP echo请求签名被修改在先前配置步骤。

    查找在事件列为签名的名称,或者搜索签名的标识号码在签名ID列下。

    /image/gif/paws/71231/wlc-ips-integration-guide-39.gif

  3. 在您找出签名后,请双击条目为了打开新窗口。新窗口包含关于触发签名的事件的详细信息。

    /image/gif/paws/71231/wlc-ips-integration-guide-40.gif

箴言报在无线控制器的客户端排除

避开的客户端在控制器列出这时填充与主机的IP和MAC地址的时间。

/image/gif/paws/71231/wlc-ips-integration-guide-41.gif

用户被添加到客户端排除列表。

/image/gif/paws/71231/wlc-ips-integration-guide-42.gif

在WCS的箴言报事件

触发在AIP-SSM原因内的一块控制器添加违者地址对客户端排除列表的安全事件。事件在WCS内也生成。

  1. 请使用从WCS主菜单的监视器>报警工具为了查看排除事件。WCS最初显示所有未结报警并且提交在窗口的左手边的一个搜索的功能。

  2. 修改搜索条件查找客户端块。在严重性下,请选择迈纳,并且设置报警类别为安全

  3. 单击搜索。

    /image/gif/paws/71231/wlc-ips-integration-guide-43.gif

  4. 告警窗口然后列出仅安全报警以较小严重性。把鼠标指向触发在AIP-SSM内的块的事件。

    特别是, WCS显示引起报警客户端工作站的MAC地址。通过指向相应地址, WCS推出与事件详细信息的一个小窗口。点击链路为了查看在另一个窗口的这些同样详细信息。

    /image/gif/paws/71231/wlc-ips-integration-guide-44.gif

思科ASA配置示例

ciscoasa#show run
: Saved
:
ASA Version 7.1(2) 
!
hostname ciscoasa
domain-name cisco.com
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.10.102.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.26.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging asdm informational
mtu inside 1500
mtu management 1500
mtu outside 1500
asdm image disk0:/asdm512-k8.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 102 interface
nat (inside) 102 172.16.26.0 255.255.255.0
nat (inside) 102 0.0.0.0 0.0.0.0
route inside 0.0.0.0 0.0.0.0 172.16.26.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.12 255.255.255.255 inside
http 0.0.0.0 0.0.0.0 inside
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
!
class-map inside-class
 match any
!
!
policy-map inside-policy
 description IDS-inside-policy
 class inside-class
  ips promiscuous fail-open
!
service-policy inside-policy interface inside
Cryptochecksum:699d110f988e006f6c5c907473939b29
: end
ciscoasa#

思科入侵防御系统传感器配置示例

sensor#show config
! ------------------------------       
! Version 5.0(2)
! Current configuration last modified Tue Jul 25 12:15:19 2006
! ------------------------------
service host
network-settings
host-ip 172.16.26.10/24,172.16.26.1
telnet-option enabled
access-list 10.0.0.0/8 
access-list 40.0.0.0/8 
exit
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0
signatures 2004 0 
engine atomic-ip
event-action produce-alert|request-block-host
exit
status
enabled true
exit
exit    
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service authentication
exit
! ------------------------------
service web-server
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0 
description default virtual sensor
physical-interface GigabitEthernet0/1 
exit
exit
! ------------------------------
service interface
exit
! ------------------------------
service trusted-certificates
exit
sensor#

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。


相关信息


Document ID: 71231