Безопасность : Сенсоры Cisco IPS серии 4200

Избегание/Блокирование на IPS для Примера конфигурации ASA/PIX/МАРШРУТИЗАТОРА IOS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить избегание на PIX/ASA/маршрутизаторе Cisco IOS с помощью Cisco IPS. ARC, блокирующееся приложение на датчике, запускает и останавливает блоки на маршрутизаторах, RSM Cisco 5000 и Коммутаторах серии Catalyst 6500, Межсетевых экранах PIX, FWSM и ASA. ARC выполняет блок, или избегите к управляемому устройству для злонамеренного IP-адреса. ARC передает тот же блок ко всем устройствам, которыми управляет датчик. Если ведущее устройство, блокирующее датчик, настроено, блок передан и выполнен от этого устройства. ARC контролирует время блокировки и снимает блокировку после того, как ее время истечет.

При использовании IPS 5.1 специальное обслуживание должно быть взято при избегании к межсетевым экранам в многоконтекстном режиме, поскольку никакие сведения о виртуальной локальной сети (VLAN) не передаются с избегать запросом.

Примечание: Блокирование не поддерживается в контексте администратора FWSM составного контекста.

Существует три типа блоков:

  • Блок хоста — Блокирует весь трафик от данного IP-адреса.

  • Блок соединений — Блокирует трафик от данного IP - адреса источника до IP-адреса заданного получателя и порта назначения.

    Блоки множественного соединения от того же IP - адреса источника или до другого IP - адреса назначения или до порта назначения автоматически коммутируют блок от блока соединений до блока хоста.

    Примечание: Блоки соединений не поддерживаются устройствами безопасности. Устройства безопасности только поддерживают блоки хоста с дополнительной информацией о порте и протоколе.

  • Сетевой блок — Блокирует весь трафик от данной сети.

    Когда подпись вызвана, можно инициировать хост и блоки соединений вручную или автоматически. Можно только инициировать сетевые блоки вручную.

Для автоматических блоков необходимо выбрать Request Block Host или Request Block Connection как действие события для особых подписей, так, чтобы SensorApp отправил блочный запрос к ARC, когда вызвана подпись. Как только ARC получает блочный запрос от SensorApp, это обновляет конфигурации устройства для блокирования хоста или соединения. Обратитесь к Присвоению Действий к Подписям, странице 5-22 для получения дополнительной информации о процедуре добавить действия События подключения Блока Хоста или Запроса Блока Запроса к подписи. Обратитесь к Переопределениям действия при событии Настройки, странице 7-15 для получения дополнительной информации о процедуре для конфигурации замен, которые добавляют действия События подключения Блока Хоста или Запроса Блока Запроса к сигналам тревоги определенных оценок риска.

На маршрутизаторах Cisco и Коммутаторах серии Catalyst 6500, ARC создает блоки путем применения ACL или VACL. ACL и VACL применяют фильтры к интерфейсам, который включает направление и VLAN, соответственно для permit or deny трафика.. Межсетевой экран PIX, FWSM и ASA не используют ACL или VACL. Встроенные избегают , и команда no shun используются.

Эта информация запрошена для конфигурации ARC:

  • ID регистрационной информации пользователя для входа, если устройство настроено с AAA

  • Пароль для входа

  • Enable password, который не необходим, если пользователь имеет, включает привилегии

  • Интерфейсы, которые будут управляемы, например, ethernet0, vlan100

  • Любой существующий ACL или информация о VACL, которую вы хотите примененный вначале (Предблочный ACL или VACL) или конец (Постблочный ACL или VACL) ACL или VACL, который создан. Это не применяется к Межсетевому экрану PIX, FWSM или ASA, потому что они не используют ACL или VACL для блокирования.

  • Используете ли вы Telnet или SSH для передачи с устройством

  • IP-адреса (хост или диапазон хостов) вы никогда не хотите заблокированный

  • Сколько времени вы хотите, чтобы продлились блоки

Предварительные условия

Требования

Перед настройкой ARC для блокирования или ограничения скорости необходимо выполнить эти задачи:

  • Проанализируйте топологию сети для понимания, какие устройства должны быть заблокированы, которым датчиком, и который никогда не должны блокироваться адреса.

  • Соберите имена пользователей, пароли устройства, enable password, и типы соединений (Telnet или SSH) должны были войти к каждому устройству.

  • Знайте имена интерфейсов на устройствах.

  • Знайте названия Предблочного ACL или VACL и Постблочного ACL или VACL в случае необходимости.

  • Поймите, какие интерфейсы должны и не должны быть заблокированы и в который направление (в или).

Используемые компоненты

Сведения в этом документе основываются на системе предотвращения вторжений Cisco (IPS) 5.1 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Примечание: По умолчанию ARC настроен для предела 250 блочных записей. Отнеситесь для Поддержки Устройств для получения дополнительной информации о списке блокирующих устройств, поддерживаемых ARC.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Используйте область Blocking Properties для настройки базовых параметров, требуемых позволять блокироваться и ограничение скорости.

Блокирование средств управления за ARC и действия ограничения скорости на управляемых устройствах.

Необходимо настроить датчик для определения хостов и сетей, которые никогда не должны блокироваться. Для трафика надежного устройства возможно запустить подпись. Если эта подпись настроена для блокирования атакующего, на легитимный сетевой трафик можно влиять. IP-адрес устройства может быть перечислен в Никогда Черный список для предотвращения этого сценария.

Маска подсети, заданная в Никогда Блочной записи, не применена к Никогда Адресу блока. Если никакая маска подсети не задана, по умолчанию/32 маска применен.

Примечание: По умолчанию датчику не разрешают выполнить блок для собственного IP-адреса, поскольку это вмешивается в связь между датчиком и блокирующим устройством. Но, эта опция конфигурируема пользователем.

Как только ARC настроен для управления блокирующим устройством, блокирующее устройство избегает и ACL/VACL, которые используются для блокирования, не должен быть изменен вручную. Это может вызвать разрушение сервиса ARC и может привести к будущим блокам, не будучи выполненным.

Примечание: По умолчанию только блокирование поддерживается на устройствах Cisco IOS. Можно отвергнуть блокирующийся по умолчанию при выборе ограничения скорости или блокирующийся плюс ограничение скорости.

Чтобы выполнить или изменить блоки, у пользователя IPS должна быть роль Администратора или Оператора.

Настройте датчик для управления маршрутизаторами Cisco

В этом разделе описывается настроить датчик для управления маршрутизаторами Cisco. Это содержит эти темы:

Настройте профили пользователя

Датчик управляет другими устройствами с командой profile_name профилей пользователей для устанавливания профилей пользователя. Профили пользователя содержат идентификатор пользователя, пароль и информацию о enable password. Например, маршрутизаторы, что весь ресурс общего доступа те же пароли и имена пользователей может находиться под одним профилем пользователя.

Примечание: Необходимо создать профиль пользователя перед настройкой блокирующего устройства.

Выполните эти шаги для устанавливания профилей пользователя:

  1. Войдите к CLI с учетной записью, которая имеет Администраторские привилегии.

  2. Перейдите в режим доступа к сети.

    sensor#configure terminal
    sensor(config)#service network-access
    sensor(config-net)#
  3. Создайте название профиля пользователя.

    sensor(config-net)#user-profiles PROFILE1
    
  4. Введите имя пользователя для того профиля пользователя.

    sensor(config-net-use)#username username
    
  5. Задайте пароль для пользователя.

    sensor(config-net-use)# password
    Enter password[]: ********
    Re-enter password ********
    
  6. Задайте enable password для пользователя.

    sensor(config-net-use)# enable-password
    Enter enable-password[]: ********
    Re-enter enable-password ********
    
  7. !--- Проверьте настройки.

    sensor(config-net-use)#show settings
       profile-name: PROFILE1
       -----------------------------------------------
          enable-password: <hidden>
          password: <hidden>
          username: jsmith default:
       -----------------------------------------------
    sensor(config-net-use)#
  8. Выходной подрежим доступа к сети.

    sensor(config-net-use)#exit
    sensor(config-net)#exit
    Apply Changes:?[yes]:
  9. Нажмите Enter, чтобы применить изменения или войти не для отмены от них.

Маршрутизаторы и ACL

Когда ARC настроен с блокирующим устройством, которое использует ACL, ACL составлены таким образом:

  1. Линия разрешения с IP-адресом датчика или, если задано, адрес NAT датчика

    Примечание: Если вы разрешаете датчику быть заблокированным, эта линия не появляется в ACL.

  2. Предблочный ACL (если задано)

    Этот ACL должен уже существовать на устройстве.

    Примечание: ARC читает линии в предварительно сконфигурированном ACL и копирует эти линии к запуску блочного ACL.

  3. Любые активные блоки

  4. Также: постблочный ACL / permit ip any any

    - Постблочный ACL (если задано)

    Этот ACL должен уже существовать на устройстве.

    Примечание: ARC читает линии в ACL и копирует эти линии до конца ACL.

    Примечание: Удостоверьтесь, что последняя линия в ACL является permit ip any any, если вы хотите, чтобы были разрешены все несопоставленные пакеты.

    - permit ip any any (не используемый, если Постблочный ACL задан),

Примечание: ACL, которые делает ARC, никогда не должны модифицироваться вами или любой другой системой. Эти ACL являются временными, и новые ACL постоянно создаются датчиком. Единственные модификации, которые можно сделать, к пред - и Постблочные ACL.

Если необходимо модифицировать Предблочный или Постблочный ACL, выполните эти шаги:

  1. Отключите блокирование на датчике.

  2. Внесите изменения в конфигурацию устройства.

  3. Реактивируйте блокирование на датчике.

Когда блокированию реактивируют, датчик читает новую конфигурацию устройства.

Примечание: Одиночный датчик может управлять составными устройствами, но множественные датчики не могут управлять одиночным устройством. В случае, который блокируется выполненный от множественных датчиков, предназначаются для одиночного блокирующего устройства, ведущее устройство, блокирующее датчик, должно быть включено в дизайн. Ведущее устройство, блокирующее датчик, получает блокирующиеся запросы от множественных датчиков и выполняет все блокирующиеся запросы к блокирующему устройству.

Вы создаете и сохраняете Предблочные и Постблочные ACL в конфигурации маршрутизатора. Этими ACL должны быть ACL расширенного IP, или названные или пронумерованные. См. документацию по маршрутизатору для получения дополнительной информации о том, как создать ACL.

Примечание: Предварительно заблокируйтесь и Постблочные ACL не применяются к ограничению скорости.

ACL оценены сверху вниз, и меры первого соответствия приняты. Предблочный ACL может содержать разрешение, которое имело бы приоритет по запрещению, которое следовало из блока.

Постблочный ACL используется для составления любых условий, не обрабатываемых Предблочным ACL или блоками. Если у вас есть существующий ACL на интерфейсе и в направлении, которое выполнены блоки, тот ACL может использоваться в качестве Постблочного ACL. Если у вас нет Постблочного ACL, датчик вставляет permit ip any any в конце нового ACL.

Когда датчик запускает, он читает содержание этих двух ACL. Это создает третий ACL с этими записями:

  • Линия разрешения для IP-адреса датчика

  • Копии всех строк настройки Предблочного ACL

  • Запрещать линия для каждого адреса, которые заблокированы датчиком

  • Копии всех строк настройки Постблочного ACL

Датчик применяет новый ACL к интерфейсу и направлению, которое вы определяете.

Примечание: Когда новый блочный ACL применен к интерфейсу маршрутизатора в конкретном направлении, это заменяет любой существующий ранее ACL на том интерфейсе в том направлении.

Настройте маршрутизаторы Cisco Использование CLI

Выполните эти шаги для настройки датчика для управления маршрутизатором Cisco для выполнения блокирования и ограничения скорости:

  1. Войдите к CLI с учетной записью, которая имеет Администраторские привилегии.

  2. Введите подрежим доступа к сети.

    sensor#configure terminal
    sensor(config)#service network-access
    sensor(config-net)#
  3. Задайте IP-адрес для маршрутизатора, управляемого ARC.

    sensor(config-net)#router-devices ip_address
    
  4. Введите имя логического элемента, которое вы создали при настройке профиля пользователя.

    sensor(config-net-rou)#profile-name user_profile_name
    

    ARC принимает что-либо, что вы вводите. Это не проверяет, чтобы видеть, существует ли профиль пользователя.

  5. Укажите, что метод использовал обращаться к датчику.

    sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
    

    Если неуказанный, 3DES SSH используется.

    Примечание: При использовании DES или 3DES необходимо использовать команду ssh host-key ip_address для принятия SSH key от устройства.

  6. Задайте адрес NAT датчика.

    sensor(config-net-rou)#nat-address nat_address
    

    Примечание: Это изменяет IP-адрес в первой линии ACL от адреса датчика к адресу NAT. Адрес NAT является адресом датчика, пост-NAT, преобразованным посредническим устройством, расположенным между датчиком и блокирующим устройством.

  7. Задайте, выполняет ли маршрутизатор блокирование, ограничение скорости или обоих.

    Примечание: По умолчанию блокируется. Вы не должны настраивать возможности ответа, если вы хотите, чтобы маршрутизатор выполнил блокирование только.

    • Ограничение скорости только

      sensor(config-net-rou)#response-capabilities rate-limit
      
    • И блокирование и ограничение скорости

      sensor(config-net-rou)#response-capabilities block|rate-limit
      
  8. Задайте имя интерфейса и направление.

    sensor(config-net-rou)#block-interfaces interface_name {in | out}
    

    Примечание: Название интерфейса должно быть сокращением, которое маршрутизатор распознает, когда используется после интерфейсной команды.

  9. (Необязательно) Добавьте название перед ACL (блокирующийся только).

    sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
    
  10. (Необязательно) Добавьте название пост-ACL (блокирующийся только).

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    
  11. !--- Проверьте настройки.

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 19.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#
  12. Выходной подрежим доступа к сети.

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:
  13. Нажмите Enter, чтобы применить изменения или войти не для отмены от них.

Настройте датчик для управления межсетевыми экранами Cisco

Выполните эти шаги для настройки датчика для управления межсетевыми экранами Cisco:

  1. Войдите к CLI с учетной записью, которая имеет Администраторские привилегии.

  2. Введите подрежим доступа к сети.

    sensor#configure terminal
    sensor(config)#service network-access
    sensor(config-net)#
  3. Задайте IP-адрес для межсетевого экрана, управляемого ARC.

    sensor(config-net)#firewall-devices ip_address
    
  4. Введите имя профиля пользователя, которое вы создали при настройке профиля пользователя.

    sensor(config-net-fir)#profile-name user_profile_name
    

    ARC принимает что-либо, что вы вводите. Это не проверяет, чтобы видеть, существует ли логический элемент.

  5. Укажите, что метод использовал обращаться к датчику.

    sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
    

    Если неуказанный, 3DES SSH используется.

    Примечание: При использовании DES или 3DES необходимо использовать команду ssh host-key ip_address для принятия ключа, или ARC не может соединиться с устройством.

  6. Задайте адрес NAT датчика.

    sensor(config-net-fir)#nat-address nat_address
    

    Примечание: Это изменяет IP-адрес в первой линии ACL от IP-адреса датчика к адресу NAT. Адрес NAT является адресом датчика, пост-NAT, преобразованным посредническим устройством, расположенным между датчиком и блокирующим устройством.

  7. Выходной подрежим доступа к сети.

    sensor(config-net-fir)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:
  8. Нажмите Enter, чтобы применить изменения или войти не для отмены от них.

Блок с SHUN в PIX/ASA

Запуск избегать соединения блоков команд от хоста нападения. Пакеты, которые совпадают со значениями в команде, отброшены и зарегистрированы, пока блокирующаяся функция не удалена. Избегание применено независимо от того, в настоящее время активно ли соединение с адресом указанного узла.

При определении адреса назначения (DA), источника и портов назначения и протокола, вы сужаете избегание к соединениям, которые совпадают с теми параметрами.

Вы можете только иметь, каждый избегает команды для каждого IP - адреса источника.

Поскольку избегать команда используется для блокирования атак динамично, она не отображена в настройке устройства защиты.

Каждый раз, когда интерфейс демонтирован, все избегает, которые присоединены к тому интерфейсу, также удалены.

Данный пример показывает, что незаконный хост (10.1.1.27) делает соединение с жертвой (10.2.2.89) к TCP. Соединение в таблице подключений устройства безопасности читает следующим образом:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

Для блокирования соединений от хоста нападения используйте избегать команду в привилегированном режиме EXEC. Примените избегать команду с этими опциями:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

Команда удаляет соединение из таблицы подключений устройства безопасности и также предотвращает пакеты от 10.1.1.27:555 до 10.2.2.89:666 (TCP) от прохождения через устройства безопасности.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения