セキュリティ : Cisco IDS Unix Director

UNIX Director のシャニングのセットアップ

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

シスコ侵入検知システム(IDS)のダイレクタとセンサーを使用して、シャニング用の Cisco ルータを管理できます。 この資料ではルータ「家」の不正侵入を検出するために、センサー(sensor-2)はこの情報を一度設定されるシグニチャ 2151 である、およびルータ「光からの 2152) シグニチャ」。がであるインターネット制御メッセージ プロトコル[ICMP]フラッド ディレクター "dir3." と伝えるために攻撃起動します設定され、(1024 バイト以上の PING センサーが攻撃を検出して、これをダイレクタに伝送します。 アクセス コントロール リスト(ACL)がルータにダウンロードされ、攻撃者からのトラフィックが回避されます。 攻撃者側ではホスト到達不能と表示され、被害者側ではダウンロードされた ACL が表示されます。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • センサーをインストールし、確かめて下さいきちんとはたらくことを。

  • ルータの outside インターフェイスにように探知インターフェイス スパンして下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IDS Director 2.2.3

  • Cisco IDS Sensor 3.0.5

  • Cisco IOS(R) 12.2.6 のルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次の図で示されるネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-director1.gif

設定

このドキュメントでは、次の設定を使用します。

Router Light
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Router House
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Sensor の設定

Sensor を設定するには、次の手順を実行します。

  1. ユーザ名 ルートおよびパスワード攻撃を用いる 10.64.10.49 への Telnet。

  2. sysconfig-sensor を入力して下さい。

  3. プロンプト表示された場合、この例に示すように構成情報を、入力して下さい。

    1 - IP Address: 10.64.10.49
    2 - IP Netmask: 255.255.255.224
    3 - IP Host Name:  sensor-2 
    4 - Default Route     10.64.10.33
    5 - Network Access Control 
             64. 
             10.
    6 - Communications Infrastructure
    Sensor Host ID: 49
    Sensor Organization ID:     900
    Sensor Host Name: sensor-2
    Sensor Organization Name:   cisco
    Sensor IP Address:        10.64.10.49
    IDS Manager Host ID: 50
    IDS Manager Organization ID:   900
    IDS Manager Host Name:        dir3
    IDS Manager Organization Name: cisco
    IDS Manager IP Address:        10.64.21.50
    
  4. 要求されたら、設定を保存して Sensor をリブートします。

Director への Sensor の追加

Director に Sensor を追加するには、次の手順を実行します。

  1. ユーザ名 netrangr およびパスワード攻撃を用いる 10.64.21.50 に Telnet で接続して下さい。

  2. HP OpenView を起動させるために ovw& を入力して下さい。

  3. メインメニューでは、Security > Configure の順に選択 して下さい。

  4. コンフィギュレーションファイル管理ユーティリティでは、File > Add Host の順に選択 し、『Next』 をクリック して下さい。

  5. これは方法の例要求された情報に記入するです。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directora.gif

  6. マシンの種類のデフォルト設定を受け入れ、この例に示すように、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorb.gif

  7. 値が受諾可能である場合ログを変更し、分を排除するか、またはデフォルトとして残して下さい。 探知インターフェイスの名前にネットワーク インターフェイスの名前を変更して下さい。

    この例でそれはセンサーをどのように接続するかセンサタイプによって "spwr0" または何か他のもののどれである場合もある "iprb0." であり。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorc.gif

  8. 『Finish』 をクリック する オプションになるまで『Next』 をクリック して下さい。

    ディレクターにセンサーの追加に成功しました。 メインメニューから、次この例 sensor-2 を見るはずです。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directord.gif

Cisco IOS ルータのためのシャニングを設定して下さい

Cisco IOS ルータのためのシャニングを設定するためにこれらのステップを完了して下さい。

  1. メインメニューでは、Security > Configure の順に選択 して下さい。

  2. コンフィギュレーションファイル管理ユーティリティでは、sensor-2 を強調表示し、ダブル クリックして下さい。

  3. Device Management を開きます。

  4. Devices > Add の順にクリック し、この例に示すように情報を入力して下さい。 [OK] をクリックして、次に進みます。

    」。あるものがルータ「家に Telnet およびイネーブルパスワードは一致する

    shunning_directore.gif

  5. Interfaces > Add の順にクリック し、この情報を入力し、続くために『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorf.gif

  6. シャニング サーバとして sensor-2.cisco を Shunning > Add の順にクリック し、選択して下さい。 終了したら Device Management ウィンドウを閉じて下さい。

    shunning_directorg.gif

  7. Intrusion Detection ウィンドウを開き、『Protected Networks』 をクリック して下さい。 この例に示すように保護されたネットワークに 10.64.10.254 に範囲 10.64.10.1 を、追加して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorh.gif

  8. Profile > Manual Configuration の順にクリック して下さい。

  9. 2151 の ID と Modify Signatures > Large ICMP Traffic の順に選択 して下さい。

  10. 『Modify』 をクリック しない で下さい、処理を排除することを及び記録 することをどれもから変更し続くために『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorj.gif

  11. 2152 の ID と『ICMP Flood』 を選択 し、『Modify』 をクリック して下さい。 処理を排除することを及び記録 することをどれもから変更しないし続くために『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directori.gif

  12. [OK] をクリックし、[Intrusion Detection] ウィンドウを閉じます。

  13. システム ファイル ファイル ホルダーを開き、Daemons ウィンドウを開いて下さい。

    これらのデーモンを有効に するために確かめて下さい:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directork.gif

  14. 続き、修正されたばかりのバージョンを選択し『SAVE』 をクリック し、次に適用するために『OK』 をクリック して下さい。

    終わるセンサーを言うためにシステムを閉じて下さいサービスを待ち、そして Director 設定のためのすべてのウィンドウを再開します。

    shunning_directorl.gif

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を提供しています。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

  • show access-list -ルータコンフィギュレーションの access-list コマンド文をリストします。 それはまた回数は access-list コマンド検索の間に要素一致したことを示すヒット カウントをリストします。

  • ping - 基本的なネットワークの接続性を診断するのに使用します。

攻撃の前に起動させます

攻撃が開始する前に、これらのコマンドを発行して下さい。

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

攻撃 および シャニングを開始して下さい

開始して下さい対象「家にルータ「光」から攻撃を」。 ACL が影響を奪取 するとき、unreachables は見られます。

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

センサーが検出する 攻撃、ACL はダウンロードされ、およびこの出力は「家で表示する」。

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

unreachables はまだこの例に示すように「光で」、見られます。

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

15 分以降は標準に、「家」シャニングが 15 分に設定 されたので、戻ります。

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

「光家」は ping 「できます」。を

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 3901