Configuración del Reinicio de TCP IDS Usando el IDS MC de VMS

Introducción

El documento proporciona una configuración de ejemplo del Cisco Intrusion Detection System (IDS) a través de la solución de administración de seguridad/VPN (VMS), la consola de gestión IDS (IDS MC). En este caso, se configura el reinicio TCP del sensor IDS a un router Cisco.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• El sensor está instalado y configurado para detectar el tráfico necesario.

• La interfaz de rastreo se extiende a la interfaz exterior del router.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• VMS 2.2 con IDS MC y Security Monitor 1.2.3

• Sensor IDS de Cisco 4.1.3S(63)

• Router de Cisco que ejecuta la versión 12.3.5 del software del IOS® de Cisco

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Este documento usa estas configuraciones.

• Luz del router

• Base del router

Current configuration : 906 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Building configuration...

Current configuration : 797 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname House
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
no ip domain lookup
!
!
interface Ethernet0
 ip address 10.66.79.210 255.255.255.224
 hold-queue 100 out
!
interface Ethernet1
 ip address 100.100.100.1 255.255.255.0
 ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
no ip http secure-server
!
!
!
line con 0
 stopbits 1
line vty 0 4
 password cisco
 login
!
scheduler max-task-time 5000
end

Configuración inicial del sensor

Nota: Si ya ha realizado la configuración inicial de su sensor, vaya a la sección Importar el sensor a IDS MC.

1. Conéctese al sensor.

   Se le solicita un nombre de usuario y una contraseña. Si es la primera vez que se consuele en el Sensor, debe iniciar sesión con el nombre de usuario cisco y la contraseña cisco.

2. Se le solicita que cambie la contraseña y que vuelva a escribir la nueva contraseña para confirmarla.

3. Escriba setup e introduzca la información adecuada en cada indicación para configurar los parámetros básicos del sensor, según este ejemplo:

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   At any point you may enter a question mark '?' for help. 
   User ctrl-c to abort configuration dialog at any prompt. 
   Default settings are in square brackets '[]'. 
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname sensor5 
   telnetOption enabled 
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit 
   
   5 Save the config:   (It might take a few minutes for the sensor 
                         saving the configuration) 
   [0] Go to the command prompt without saving this config. 
   [1] Return back to the setup without saving this config. 
   [2] Save this configuration and exit setup. 
   
   Enter your selection[2]: 2 

Importar el sensor a IDS MC

Complete estos pasos para importar el Sensor al IDS MC.

1. Vaya al sensor. En este caso, ya sea http://10.66.79.250:1741 o https://10.66.79.250:1742.

2. Inicie sesión con el nombre de usuario y la contraseña adecuados.

   En este ejemplo, el nombre de usuario es admin y la contraseña es cisco.

3. Elija VPN/Security Management Solution > Management Center y haga clic en IDS Sensors.

4. Haga clic en la pestaña Devices (Dispositivos) y elija Sensor Group (Grupo de sensores).

5. Resalte Global y haga clic en Crear subgrupo.

6. Ingrese el nombre de grupo y asegúrese de que se elija Default, luego haga clic en Aceptar para agregar el subgrupo al IDS MC.

   

7. Elija Devices > Sensor, resalte el subgrupo creado en el paso anterior (en este caso, test) y haga clic en Add.

8. Resalte el subgrupo y haga clic en Siguiente.

   

9. Ingrese los detalles según este ejemplo y haga clic en Siguiente para continuar.

   

10. Cuando aparezca un mensaje que indica correcta configuración del sensor importada, haga clic en Finalizar para continuar.

    

11. El sensor se importa en el IDS MC. En este caso, se importa Sensor5.

    

Importar el sensor al monitor de seguridad

Complete estos pasos para importar el Sensor al Monitor de Seguridad.

1. En el menú VMS Server , elija VPN/Security Management Solution > Monitoring Center > Security Monitor.

2. Seleccione la ficha Devices (Dispositivos) y, a continuación, haga clic en Import e introduzca la información del servidor IDS MC, según este ejemplo.

   

3. Seleccione su sensor (en este caso, sensor5) y haga clic en Next para continuar.

   

4. Si es necesario, actualice la dirección NAT del sensor y, a continuación, haga clic en Finalizar para continuar.

   

5. Haga clic en Aceptar para finalizar la importación del sensor desde IDS MC al monitor de seguridad.

   

6. Ahora puede ver que el sensor se ha importado correctamente

   

Utilizar IDS MC para actualizaciones de firmas

Este procedimiento explica cómo utilizar IDS MC para las actualizaciones de firma.

1. Descargue las actualizaciones de firma IDS de red (sólo clientes registrados) y guárdelas en el directorio C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ en su servidor VMS.

2. En la consola del servidor VMS, elija VPN/Solución de administración de seguridad > Centro de administración > Sensores IDS.

3. Seleccione la ficha Configuration y haga clic en Updates.

4. Haga clic en Actualizar firmas IDS de red.

5. Seleccione la firma que desea actualizar en el menú desplegable y haga clic en Aplicar para continuar.

   

6. Seleccione los sensores que desea actualizar y haga clic en Siguiente para continuar.

   

7. Después de que se le pida que aplique la actualización al Management Center, así como al Sensor, haga clic en Finalizar para continuar.

   

8. Telnet o consola en la interfaz de línea de comandos Sensor. Puede ver información similar a esta:

   sensor5# 
   Broadcast message from root (Mon Dec 15 11:42:05 2003): 
   Applying update IDS-sig-4.1-3-S63.  
   This may take several minutes. 
   Please do not reboot the sensor during this update. 
   Broadcast message from root (Mon Dec 15 11:42:34 2003): 
   Update complete. 
   sensorApp is restarting 
   This may take several minutes. 
   

9. Espere unos minutos para permitir que se complete la actualización y luego ingrese show version para verificarla.

   sensor5#show version 
   Application Partition: 
   Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 
   
   Upgrade History: 
   * IDS-sig-4.1-3-S62           07:03:04 UTC Thu Dec 04 2003 
      IDS-sig-4.1-3-S63.rpm.pkg   11:42:01 UTC Mon Dec 15 2003 

Configuración del reinicio TCP para el router IOS

Complete estos pasos para configurar el reinicio TCP para el router IOS.

1. Elija VPN/Solución de administración de seguridad > Management Center > Sensores IDS.

2. Seleccione la ficha Configuration (Configuración), seleccione su sensor en Object Selector (Selector de objetos) y, a continuación, haga clic en Settings (Parámetros).

3. Seleccione Firmas, haga clic en Personalizado y haga clic en Agregar para agregar una nueva firma.

   

4. Introduzca el nuevo nombre de firma y, a continuación, seleccione el motor (en este caso, STRING.TCP).

5. Marque el botón de opción correspondiente para personalizar los parámetros disponibles y luego haga clic en Editar.

   En este ejemplo, el parámetro ServicePorts se edita para cambiar su valor a 23 (para el puerto 23). El parámetro RegexString también se edita para agregar el valor testattack. Cuando haya terminado, haga clic en Aceptar para continuar.

   

6. Haga clic en el nombre de la firma para editar la Gravedad y acciones de la firma o para Habilitar/Desactivar la firma.

   

7. En este caso, la gravedad se cambia a Alta y se elige la acción Registro y reinicio. Haga clic en Aceptar para continuar.

   

8. La firma completa es similar a esta:

   

9. Elija Configuration > Pendiente, verifique la configuración pendiente para asegurarse de que sea correcta y haga clic en Save.

   

10. Elija Deployment > Generate y luego haga clic en Apply para enviar los cambios de configuración al Sensor.

    

11. Elija Deployment > Deploy y haga clic en Submit.

12. Marque la casilla de verificación junto a su sensor y haga clic en Implementar.

13. Marque la casilla de verificación del trabajo en la cola y haga clic en Siguiente para continuar.

    

14. Introduzca el nombre del trabajo y programe el trabajo como Inmediato y, a continuación, haga clic en Finalizar.

    

15. Elija Implementación > Implementar > Pendiente.

    Espere unos minutos hasta que se hayan completado todos los trabajos pendientes. La cola debe estar vacía.

16. Elija Configuration > History para confirmar la implementación.

    Asegúrese de que el estado de la configuración se muestre como Implementado. Esto significa que la configuración del sensor se ha actualizado correctamente.

    

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Inicie el ataque y reinicie TCP

Inicie un ataque de prueba y verifique los resultados para verificar que el proceso de bloqueo funciona correctamente.

1. Antes de iniciar el ataque, elija VPN/Solución de administración de seguridad > Centro de supervisión > Monitor de seguridad.

2. Elija Monitor en el menú principal y haga clic en Eventos.

3. Haga clic en Iniciar visor de eventos.

   

4. Telnet de un router al otro y escriba testattack para iniciar el ataque.

   En este caso, conectamos Telnet desde la luz del router a la casa del router. Tan pronto como presione <space> o <enter> , después de escribir testattack, su sesión Telnet debe restablecerse.

   light#telnet 100.100.100.1 
   Trying 100.100.100.1 ... Open 
   User Access Verification 
   Password: 
   house>en 
   Password: 
   house#testattack 
   
   
   !--- The Telnet session is reset due to the !--- signature "testattack" being triggered.
   
   
   [Connection to 100.100.100.1 lost]
   

5. Desde el Visor de eventos, haga clic en Consultar base de datos para ver los nuevos eventos ahora.

   Aparece la alerta para el ataque iniciado anteriormente

   

6. En el Visor de eventos, resalte la alarma, haga clic con el botón derecho y seleccione Ver búfer de contexto o Ver NSDB para ver información más detallada sobre la alarma.

   

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Procedimiento de Troubleshooting

Complete estos pasos para resolver el problema.

1. En IDS MC, elija Reports > Generate.

   En función del tipo de problema, se deben encontrar más detalles en uno de los siete informes disponibles.

   

2. Mientras que Blocking utiliza el puerto Command and Control para configurar las listas de acceso del router, los reinicios de TCP se envían desde la interfaz de rastreo del Sensor. Asegúrese de haber extendido el puerto correcto, usando el comando set span en el switch, similar a esto:

   set span 
           
            
            
              both inpkts enable 
             
           
   banana (enable) set span 2/12 3/6 both inpkts enable 
   Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
   Incoming Packets enabled. Learning enabled. Multicast enabled. 
   banana (enable) 
   banana (enable) 
   banana (enable) show span 
   
   Destination     : Port 3/6              
   
   !--- Connect to sniffing interface of the Sensor.
   
   Admin Source    : Port 2/12        
   
   !--- In this case, connect to Ethernet1 of Router House. 
   
   Oper Source     : Port 2/12 
   Direction       : transmit/receive 
   Incoming Packets: enabled 
   Learning        : enabled 
   Multicast       : enabled 

3. Si TCP Reset no funciona, inicie sesión en el Sensor e ingrese el comando show event.

   Inicie el ataque y verifique si se activa o no la alarma. Si se activa la alarma, verifique que esté configurada para el tipo de acción reinicio TCP.

Información Relacionada

• Página de soporte de Cisco Secure Intrusion Detection
• Documentación para Cisco Secure Intrusion Detection System
• Página de soporte de la solución CiscoWorks VPN/Security Management
• Soporte Técnico y Documentación - Cisco Systems