Безопасность : Cisco IDS Unix Director

Настройка избегания на UNIX Director

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Cisco Intrusion Detection System (IDS) Управляющий узел и Датчик может использоваться для управления маршрутизатором Cisco для того, чтобы избежать. В этом документе Датчик (sensor-2) настроен для обнаружения атак на маршрутизатор "House" и для передачи этой информации Управляющему узлу "dir3". После того, как настроенный, в наступление идут (эхо-запрос больших, чем 1024 байта, который является подписью 2151 и лавинной рассылкой Internet Control Message Protocol [ICMP], которая является подписью 2152) от маршрутизатора "Свет". Датчик обнаруживает атаку и передает это Управляющему узлу. Список контроля доступа (ACL) загружен к маршрутизатору для избегания трафика от атакующего. На атакующем показывают host unreachable, и на жертве показывают загруженный ACL.

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются следующие требования:

  • Установите Датчик и удостоверьтесь, что он работает должным образом.

  • Гарантируйте, что интерфейс анализатора охватывает к внешнему интерфейсу маршрутизатора.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco IDS Director 2.2.3

  • Датчик Cisco IDS 3.0.5

  • Cisco маршрутизатор IOS� с 12.2.6

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Поиск дополнительной информации о командах в данном документе можно выполнить с помощью средства "Command Lookup" (Поиск команд) (только для зарегистрированных клиентов).

Схема сети

В этом документе используются настройки сети, показанные на данной диаграмме.

http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-director1.gif

Конфигурации

Эти конфигурации используются в данном документе.

Маршрутизатор light
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Маршрутизатор house
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Настройка датчика

Выполните эти шаги для настройки Датчика.

  1. Telnet к 10.64.10.49 с пользователем root и атакой пароля.

  2. Введите sysconfig-sensor.

  3. Когда предложено, введите сведения о конфигурации, как показано в данном примере.

    1 - IP Address: 10.64.10.49
    2 - IP Netmask: 255.255.255.224
    3 - IP Host Name:  sensor-2 
    4 - Default Route     10.64.10.33
    5 - Network Access Control 
             64. 
             10.
    6 - Communications Infrastructure
    Sensor Host ID: 49
    Sensor Organization ID:     900
    Sensor Host Name: sensor-2
    Sensor Organization Name:   cisco
    Sensor IP Address:        10.64.10.49
    IDS Manager Host ID: 50
    IDS Manager Organization ID:   900
    IDS Manager Host Name:        dir3
    IDS Manager Organization Name: cisco
    IDS Manager IP Address:        10.64.21.50
    
  4. Когда предложено, сохраните конфигурацию и позвольте Датчик перезагрузке.

Добавьте датчик в управляющий узел

Выполните эти шаги для добавления Датчика в Управляющий узел.

  1. Telnet к 10.64.21.50 с netrangr имени пользователя и атакой пароля.

  2. Введите ovw& для запуска HP OpenView.

  3. В Главном меню выберите Security> Configure.

  4. В Утилите Управления файлами конфигурации выберите File> Add Host и нажмите Next.

  5. Это - пример того, как заполнить запрошенную информацию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directora.gif

  6. Примите настройку по умолчанию для типа машины и нажмите Next, как показано в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorb.gif

  7. Измените журнал и избегите минут или оставьте их как по умолчанию, если значения приемлемы. Измените имя сетевого интерфейса на название вашего интерфейса анализатора.

    В данном примере это - "iprb0". Это может быть "spwr0" или что-либо еще в зависимости от Типа датчика и как вы подключаете свой Датчик.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorc.gif

  8. Нажмите Next, пока не будет опция для нажатия Finish.

    Вы успешно добавили Датчик в Управляющий узел. Из Главного меню необходимо видеть sensor-2, как в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directord.gif

Настройте избегание для маршрутизатора Cisco IOS

Выполните эти шаги для настройки избегания для маршрутизатора Cisco IOS.

  1. В Главном меню выберите Security> Configure.

  2. В Утилите Управления файлами конфигурации выделите sensor-2 и двойной щелчок это.

  3. Открытое управление устройствами.

  4. Нажмите Devices> Add и введите информацию как показано в данный пример. Для продолжения нажмите кнопку OK.

    Telnet и enable password совпадают с тем, что находится в маршрутизаторе "House".

    shunning_directore.gif

  5. Нажмите Interfaces> Add, введите эту информацию и нажмите OK для продолжения.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorf.gif

  6. Нажмите Shunning> Add и выберите датчик-2.cisco как избегающий сервер. Закройте окно Device Management, когда вы будете закончены.

    shunning_directorg.gif

  7. Откройте окно Intrusion Detection и нажмите Protected Networks. Добавьте диапазон 10.64.10. От 1 до 10. 64.10.254 в защищенную сеть, как показано в данном примере.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorh.gif

  8. Нажмите Profile> Manual Configuration.

  9. Выберите Modify Signatures> Large ICMP Traffic с ID 2151.

  10. Нажмите Modify, измените Действие ни от Одного, чтобы Избежать и Регистрировать, и нажать OK для продолжения.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directorj.gif

  11. Выберите ICMP Flood с ID 2152 и нажмите Modify. Измените Действие ни от Одного, чтобы Избежать и Регистрировать, и нажать OK для продолжения.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directori.gif

  12. Нажмите OK для закрытия окна Intrusion Detection.

  13. Откройте папку System Files и откройте окно Daemons.

    Удостоверьтесь, что вы включили этим демонам:

    http://www.cisco.com/c/dam/en/us/support/docs/security/ids-unix-director/3901-shunning-directork.gif

  14. Нажмите OK, чтобы продолжить, выбрать версию, просто модифицируемую, и нажать Save и затем Примениться.

    Ждите системы, чтобы сказать вам, что Датчик закончил перезапускать сервисы, затем закройте все окна для Настройки устройства управления.

    shunning_directorl.gif

Проверка

В этом разделе содержатся сведения, которые помогают убедиться в надлежащей работе конфигурации.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

  • show access-list - Перечисляет операторы команды access-list в конфигурации маршрутизатора. Это также перечисляет количество соответствия, которое указывает на число раз, с элементом совпали во время поиска команды access-list.

  • команда ping —– Используется для диагностики подключения основной сети.

Прежде чем в Наступление Идут

Прежде чем в наступление идут, выполните эти команды.

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

Запустите блокирование атак

Пойдите в свое наступление от маршрутизатора "Свет" жертве "House". Когда ACL берет влияние, недостижимые замечены.

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

Как только Датчик обнаружил атаку, и ACL загружен, и эти выходные данные отображены на "House".

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

Недостижимые все еще замечены на "Свету", как показано в данном примере.

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

Пятнадцать Минут спустя "House" возвращается к обычному, потому что избегание было установлено в 15 минут.

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

"Свет" может пропинговать "House".

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 3901