El documento proporciona una configuración de ejemplo del Cisco Intrusion Detection System (IDS) a través de la solución de administración de seguridad/VPN (VMS), la consola de gestión IDS (IDS MC). En este caso, se configura el reinicio TCP del sensor IDS a un router Cisco.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
El sensor está instalado y configurado para detectar el tráfico necesario.
La interfaz de rastreo se extiende a la interfaz exterior del router.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
VMS 2.2 con IDS MC y Security Monitor 1.2.3
Sensor IDS de Cisco 4.1.3S(63)
Router de Cisco que ejecuta la versión 12.3.5 del software del IOS® de Cisco
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
En este documento, se utiliza esta configuración de red:
Este documento usa estas configuraciones.
Luz del router |
---|
Current configuration : 906 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Base del router |
---|
Building configuration... Current configuration : 797 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname House ! logging queue-limit 100 enable password cisco ! ip subnet-zero no ip domain lookup ! ! interface Ethernet0 ip address 10.66.79.210 255.255.255.224 hold-queue 100 out ! interface Ethernet1 ip address 100.100.100.1 255.255.255.0 ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server no ip http secure-server ! ! ! line con 0 stopbits 1 line vty 0 4 password cisco login ! scheduler max-task-time 5000 end |
Nota: Si ya ha realizado la configuración inicial de su sensor, vaya a la sección Importar el sensor a IDS MC.
Conéctese al sensor.
Se le solicita un nombre de usuario y una contraseña. Si es la primera vez que se consuele en el Sensor, debe iniciar sesión con el nombre de usuario cisco y la contraseña cisco.
Se le solicita que cambie la contraseña y que vuelva a escribir la nueva contraseña para confirmarla.
Escriba setup e introduzca la información adecuada en cada indicación para configurar los parámetros básicos del sensor, según este ejemplo:
sensor5#setup --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname sensor5 telnetOption enabled accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit 5 Save the config: (It might take a few minutes for the sensor saving the configuration) [0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Complete estos pasos para importar el Sensor al IDS MC.
Vaya al sensor. En este caso, ya sea http://10.66.79.250:1741 o https://10.66.79.250:1742.
Inicie sesión con el nombre de usuario y la contraseña adecuados.
En este ejemplo, el nombre de usuario es admin y la contraseña es cisco.
Elija VPN/Security Management Solution > Management Center y haga clic en IDS Sensors.
Haga clic en la pestaña Devices (Dispositivos) y elija Sensor Group (Grupo de sensores).
Resalte Global y haga clic en Crear subgrupo.
Ingrese el nombre de grupo y asegúrese de que se elija Default, luego haga clic en Aceptar para agregar el subgrupo al IDS MC.
Elija Devices > Sensor, resalte el subgrupo creado en el paso anterior (en este caso, test) y haga clic en Add.
Resalte el subgrupo y haga clic en Siguiente.
Ingrese los detalles según este ejemplo y haga clic en Siguiente para continuar.
Cuando aparezca un mensaje que indica correcta configuración del sensor importada, haga clic en Finalizar para continuar.
El sensor se importa en el IDS MC. En este caso, se importa Sensor5.
Complete estos pasos para importar el Sensor al Monitor de Seguridad.
En el menú VMS Server , elija VPN/Security Management Solution > Monitoring Center > Security Monitor.
Seleccione la ficha Devices (Dispositivos) y, a continuación, haga clic en Import e introduzca la información del servidor IDS MC, según este ejemplo.
Seleccione su sensor (en este caso, sensor5) y haga clic en Next para continuar.
Si es necesario, actualice la dirección NAT del sensor y, a continuación, haga clic en Finalizar para continuar.
Haga clic en Aceptar para finalizar la importación del sensor desde IDS MC al monitor de seguridad.
Ahora puede ver que el sensor se ha importado correctamente
Este procedimiento explica cómo utilizar IDS MC para las actualizaciones de firma.
Descargue las actualizaciones de firma IDS de red (sólo clientes registrados) y guárdelas en el directorio C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ en su servidor VMS.
En la consola del servidor VMS, elija VPN/Solución de administración de seguridad > Centro de administración > Sensores IDS.
Seleccione la ficha Configuration y haga clic en Updates.
Haga clic en Actualizar firmas IDS de red.
Seleccione la firma que desea actualizar en el menú desplegable y haga clic en Aplicar para continuar.
Seleccione los sensores que desea actualizar y haga clic en Siguiente para continuar.
Después de que se le pida que aplique la actualización al Management Center, así como al Sensor, haga clic en Finalizar para continuar.
Telnet o consola en la interfaz de línea de comandos Sensor. Puede ver información similar a esta:
sensor5# Broadcast message from root (Mon Dec 15 11:42:05 2003): Applying update IDS-sig-4.1-3-S63. This may take several minutes. Please do not reboot the sensor during this update. Broadcast message from root (Mon Dec 15 11:42:34 2003): Update complete. sensorApp is restarting This may take several minutes.
Espere unos minutos para permitir que se complete la actualización y luego ingrese show version para verificarla.
sensor5#show version Application Partition: Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 Upgrade History: * IDS-sig-4.1-3-S62 07:03:04 UTC Thu Dec 04 2003 IDS-sig-4.1-3-S63.rpm.pkg 11:42:01 UTC Mon Dec 15 2003
Complete estos pasos para configurar el reinicio TCP para el router IOS.
Elija VPN/Solución de administración de seguridad > Management Center > Sensores IDS.
Seleccione la ficha Configuration (Configuración), seleccione su sensor en Object Selector (Selector de objetos) y, a continuación, haga clic en Settings (Parámetros).
Seleccione Firmas, haga clic en Personalizado y haga clic en Agregar para agregar una nueva firma.
Introduzca el nuevo nombre de firma y, a continuación, seleccione el motor (en este caso, STRING.TCP).
Marque el botón de opción correspondiente para personalizar los parámetros disponibles y luego haga clic en Editar.
En este ejemplo, el parámetro ServicePorts se edita para cambiar su valor a 23 (para el puerto 23). El parámetro RegexString también se edita para agregar el valor testattack. Cuando haya terminado, haga clic en Aceptar para continuar.
Haga clic en el nombre de la firma para editar la Gravedad y acciones de la firma o para Habilitar/Desactivar la firma.
En este caso, la gravedad se cambia a Alta y se elige la acción Registro y reinicio. Haga clic en Aceptar para continuar.
La firma completa es similar a esta:
Elija Configuration > Pendiente, verifique la configuración pendiente para asegurarse de que sea correcta y haga clic en Save.
Elija Deployment > Generate y luego haga clic en Apply para enviar los cambios de configuración al Sensor.
Elija Deployment > Deploy y haga clic en Submit.
Marque la casilla de verificación junto a su sensor y haga clic en Implementar.
Marque la casilla de verificación del trabajo en la cola y haga clic en Siguiente para continuar.
Introduzca el nombre del trabajo y programe el trabajo como Inmediato y, a continuación, haga clic en Finalizar.
Elija Implementación > Implementar > Pendiente.
Espere unos minutos hasta que se hayan completado todos los trabajos pendientes. La cola debe estar vacía.
Elija Configuration > History para confirmar la implementación.
Asegúrese de que el estado de la configuración se muestre como Implementado. Esto significa que la configuración del sensor se ha actualizado correctamente.
Use esta sección para confirmar que su configuración funciona correctamente.
Inicie un ataque de prueba y verifique los resultados para verificar que el proceso de bloqueo funciona correctamente.
Antes de iniciar el ataque, elija VPN/Solución de administración de seguridad > Centro de supervisión > Monitor de seguridad.
Elija Monitor en el menú principal y haga clic en Eventos.
Haga clic en Iniciar visor de eventos.
Telnet de un router al otro y escriba testattack para iniciar el ataque.
En este caso, conectamos Telnet desde la luz del router a la casa del router. Tan pronto como presione <space> o <enter> , después de escribir testattack, su sesión Telnet debe restablecerse.
light#telnet 100.100.100.1 Trying 100.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack !--- The Telnet session is reset due to the !--- signature "testattack" being triggered. [Connection to 100.100.100.1 lost]
Desde el Visor de eventos, haga clic en Consultar base de datos para ver los nuevos eventos ahora.
Aparece la alerta para el ataque iniciado anteriormente
En el Visor de eventos, resalte la alarma, haga clic con el botón derecho y seleccione Ver búfer de contexto o Ver NSDB para ver información más detallada sobre la alarma.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Complete estos pasos para resolver el problema.
En IDS MC, elija Reports > Generate.
En función del tipo de problema, se deben encontrar más detalles en uno de los siete informes disponibles.
Mientras que Blocking utiliza el puerto Command and Control para configurar las listas de acceso del router, los reinicios de TCP se envían desde la interfaz de rastreo del Sensor. Asegúrese de haber extendido el puerto correcto, usando el comando set span en el switch, similar a esto:
set spanbanana (enable) set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable) show span Destination : Port 3/6 !--- Connect to sniffing interface of the Sensor. Admin Source : Port 2/12 !--- In this case, connect to Ethernet1 of Router House. Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Learning : enabled Multicast : enabled both inpkts enable
Si TCP Reset no funciona, inicie sesión en el Sensor e ingrese el comando show event.
Inicie el ataque y verifique si se activa o no la alarma. Si se activa la alarma, verifique que esté configurada para el tipo de acción reinicio TCP.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Oct-2008 |
Versión inicial |