يناقش هذا المستند تكوين حظر نظام منع التسلل (IPS) باستخدام IPS Manager Express (IME). يتم إستخدام أجهزة الاستشعار IME و IPS لإدارة موجه Cisco لحظر البيانات. تذكر هذه العناصر عند مراعاة هذا التكوين:
قم بتثبيت "أداة الاستشعار" وتأكد من عمل أداة الاستشعار بشكل صحيح.
جعلت ال ينشق قارن فسحة بين دعامتين إلى المسحاج تخديد خارج القارن.
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
Cisco IPS Manager Express 7.0
مستشعر Cisco IPS 7.0(0.88)E3
cisco ios ® مسحاج تخديد مع cisco ios برمجية إطلاق 12.4
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
يستخدم هذا المستند إعداد الشبكة التالي.
يستخدم هذا المستند هذه التكوينات.
ضوء الموجه |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
منزل الموجه |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 ip access-group IDS_FastEthernet0/1_in_0 in !--- After you configure blocking, !--- IDS Sensor inserts this line. duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ip access-list extended IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any !--- After you configure blocking, !--- IDS Sensor inserts this line. ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
أكمل هذه الخطوات لبدء تكوين المستشعر.
إذا كانت هذه هي المرة الأولى التي تقوم فيها بتسجيل الدخول إلى المستشعر، فيجب عليك إدخال Cisco كاسم المستخدم وCisco ككلمة مرور.
عند مطالبة النظام لك، قم بتغيير كلمة المرور الخاصة بك.
ملاحظة: Cisco123 هي كلمة قاموس ولا يسمح بها في النظام.
اكتب setup واتبع مطالبة النظام لإعداد المعلمات الأساسية لأجهزة الاستشعار.
أدخل هذه المعلومات:
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current time: Thu Oct 22 21:19:51 2009 Setup Configuration last modified: Enter host name[sensor]: Enter IP interface[10.66.79.195/24,10.66.79.193]: Modify current access list?[no]: Current access list entries: !--- permit the ip address of workstation or network with IME Permit:10.66.79.0/24 Permit: Modify system clock settings?[no]: Modify summer time settings?[no]: Use USA SummerTime Defaults?[yes]: Recurring, Date or Disable?[Recurring]: Start Month[march]: Start Week[second]: Start Day[sunday]: Start Time[02:00:00]: End Month[november]: End Week[first]: End Day[sunday]: End Time[02:00:00]: DST Zone[]: Offset[60]: Modify system timezone?[no]: Timezone[UTC]: UTC Offset[0]: Use NTP?[no]: yes NTP Server IP Address[]: Use NTP Authentication?[no]: yes NTP Key ID[]: 1 NTP Key Value[]: 8675309
قم بحفظ التكوين.
قد يستغرق المستشعر بضع دقائق لحفظ التكوين.
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
أكمل هذه الخطوات لإضافة المستشعر إلى IME.
انتقل إلى جهاز كمبيوتر Windows الذي قام بتثبيت IPS Manager Express وافتح IPS Manager Express.
أختر الصفحة الرئيسية > إضافة.
اكتب في هذه المعلومات وانقر فوق موافق لإنهاء التكوين.
أختر أجهزة > مستشعر 5 للتحقق من حالة المستشعر ثم انقر بزر الماوس الأيمن لاختيار الحالة.
تأكد من إمكانية مشاهدة فتح الاشتراك بنجاح. الرسالة.
أكمل هذه الخطوات لتكوين الحظر للمسار Cisco IOS:.
من جهاز IME، افتح مستعرض الويب وانتقل إلى https://10.66.79.195.
انقر على موافق لقبول شهادة HTTPS التي تم تنزيلها من المستشعر.
في نافذة تسجيل الدخول، أدخل Cisco لاسم المستخدم و123cisco123 لكلمة المرور.
تظهر واجهة إدارة IME هذه:
من علامة التبويب تكوين، انقر فوق التوقيعات النشطة.
بعد ذلك، انقر فوق معالج التوقيع.
ملاحظة: تم قص لقطة الشاشة السابقة إلى جزئين بسبب ضيق المساحة.
أخترت نعم وخيط TCP كتوقيع محرك. انقر فوق Next (التالي).
يمكنك ترك هذه المعلومات كافتراضي أو إدخال معرف التوقيع واسم التوقيع وملاحظات المستخدم الخاصة بك. انقر فوق Next (التالي).
أخترت حدث إجراء واخترت إنتاج تنبيه و طلب قالب مضيف. طقطقت بعد ذلك in order to باشرت.
دخلت تعبير عادي، أي في هذا مثال testattack، 23 ل خدمة ميناء، أخترت أن خدمة ل الإتجاه، وطقطقة بعد ذلك in order to تابعت.
يمكنك ترك هذه المعلومات كافتراضي. انقر فوق Next (التالي).
طقطقة إنجاز in order to أنهيت المعالج.
أخترت تشكيل > sig0>توقيع نشط in order to حددت ال newly created توقيع ب sig id أو sig name. طقطقة يحرر in order to شاهدت التوقيع.
طقطقة ok بعد أن يؤكد أنت ويطقطق ال apply زر in order to طبقت التوقيع إلى المستشعر.
من علامة التبويب "تكوين"، وتحت "إدارة المستشعر"، انقر فوق حظر. من الجزء الأيسر، أختر خصائص الحظر وحدد تمكين الحظر.
انتقل الآن من الجزء الأيسر إلى ملف تعريف تسجيل دخول الجهاز. طقطقة in order to خلقت توصيف جديد، يضيف. طقطقة ما إن يخلق ok ويطبق in order to مستشعر وتابع.
تتمثل الخطوة التالية في تكوين الموجه كجهاز حظر. من الجزء الأيسر، أختر حظر الجهاز، انقر فوق إضافة لإضافة هذه المعلومات. ثم انقر فوق موافق وتطبيق.
الآن من الجزء الأيسر قم بتكوين واجهات جهاز الحظر. إضافة المعلومات، انقر فوق موافق وتطبيق.
أكمل الخطوات التالية لإطلاق الهجوم والحجب:
قبل أن تقوم بتشغيل الهجوم، انتقل إلى IME، واختر مراقبة الحدث > عرض الهجمات التي تم إسقاطها واختر المستشعر من الجانب الأيمن.
Telnet إلى منزل الموجه والتحقق من الاتصال من الخادم باستخدام هذه الأوامر.
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any (12 matches) house#
من إضاءة الموجه، ومن برنامج Telnet إلى منزل الموجه ونوع هجوم التجربة.
اضغط إما <space> أو <enter> لإعادة ضبط جلسة عمل برنامج Telnet.
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 lost] !--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered.
قم باستخدام برنامج Telnet إلى منزل الموجه واستخدم الأمر show access-list كما هو موضح هنا.
house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 10 permit ip host 10.66.79.195 any 20 deny ip host 10.100.100.2 any (71 matches) 30 permit ip any any
من لوحة المعلومات الخاصة بعارض أحداث IDS، يظهر الإنذار الأحمر بمجرد تشغيل الهجوم.
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
أستخدم تلميحات أستكشاف المشكلات وإصلاحها التالية:
من المستشعر نظر في إخراج show statistics access إلى الشبكة وتأكد من أن الحالةنشطة. من وحدة التحكم أو SSH إلى المستشعر، يتم عرض هذه المعلومات:
sensor5#show statistics network-access Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 10.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
تأكد من أن معلمة الاتصال توضح أنه يتم إستخدام البروتوكول الصحيح مثل Telnet أو SSH مع 3DES. يمكنك تجربة بروتوكول SSH أو Telnet يدويا من عميل SSH/Telnet على جهاز كمبيوتر للتحقق من صحة بيانات اعتماد اسم المستخدم وكلمة المرور. ثم حاول إستخدام Telnet أو SSH من المستشعر نفسه إلى الموجه وانظر ما إذا كان يمكنك تسجيل الدخول بنجاح إلى الموجه.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
17-Dec-2009 |
الإصدار الأولي |