Ce document discute de la configuration de la réinitialisation TCP IPS (Intrusion Prevention System) à l'aide d'IPS Manager Express (IME). Les capteurs IME et IPS sont utilisés pour gérer un routeur Cisco pour la réinitialisation TCP. Lorsque vous passez en revue cette configuration, souvenez-vous des éléments suivants :
Installez le capteur et assurez-vous qu'il fonctionne correctement.
Définissez l’étendue d’interface de reniflage sur le routeur en dehors de l’interface.
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco IPS Manager Express 7.0
Capteur Cisco IPS 7.0(0.88)E3
Routeur Cisco IOS® avec logiciel Cisco IOS Version 12.4
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Ce document utilise la configuration réseau indiquée dans le diagramme suivant.
Ce document utilise les configurations indiquées ici.
Voyant du routeur |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Routeur House |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ! ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
Exécutez ces étapes pour démarrer la configuration du capteur.
Si c'est la première fois que vous vous connectez au capteur, vous devez entrer cisco comme nom d'utilisateur et cisco comme mot de passe.
Lorsque le système vous invite, modifiez votre mot de passe.
Remarque : Cisco123 est un mot du dictionnaire et n'est pas autorisé dans le système.
Tapez setup et complétez l'invite système afin de configurer les paramètres de base des capteurs.
Entrez les informations suivantes :
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname Corp-IPS telnetOption enabled !--- Permit the IP address of workstation or network with IME accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit
Enregistrez la configuration.
L'enregistrement de la configuration peut prendre quelques minutes.
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Complétez ces étapes afin d'ajouter le capteur à l'IME :
Accédez au PC Windows, qui a installé IPS Manager Express, et ouvrez IPS Manager Express.
Choisissez Accueil > Ajouter .
Tapez ces informations et cliquez sur OK pour terminer la configuration.
Choisissez Devices > Corp-IPS afin de vérifier l'état du capteur, puis cliquez avec le bouton droit de la souris pour choisir Device Status.
Assurez-vous que l'abonnement a été ouvert.
Complétez ces étapes afin de configurer la réinitialisation TCP pour le routeur Cisco IOS :
À partir du PC IME, ouvrez votre navigateur Web et accédez à https://10.66.79.195.
Cliquez sur OK afin d'accepter le certificat HTTPS téléchargé à partir du capteur.
Dans la fenêtre de connexion, entrez cisco pour le nom d'utilisateur et 123cisco123 pour le mot de passe.
Cette interface de gestion IME apparaît :
Dans l'onglet Configuration, cliquez sur Signatures actives.
Cliquez ensuite sur Assistant Signature.
Dans l'Assistant, sélectionnez Oui et choisissez Chaîne TCP comme moteur de signature. Cliquez sur Next (Suivant).
Vous pouvez laisser ces informations par défaut ou saisir votre propre ID de signature, nom de signature et notes utilisateur. Cliquez sur Next (Suivant).
Choisissez Action d'événement, puis choisissez Générer une alerte et réinitialiser la connexion TCP. Cliquez sur OK, puis sur Suivant pour continuer.
Entrez une expression régulière et testattack est utilisé dans cet exemple. Entrez 23 pour les ports de service, choisissez To Service pour la direction, puis cliquez sur Next pour continuer.
Vous pouvez laisser ces informations par défaut. Cliquez sur Next (Suivant).
Cliquez sur Terminer afin de terminer l'Assistant.
Choisissez Configuration > sig0 > Active Signatures afin de localiser la signature nouvellement créée par ID de sig ou Nom de sig. Cliquez sur Modifier afin d'afficher la signature.
Cliquez sur OK après avoir confirmé et cliquez sur le bouton Appliquer afin d'appliquer la signature au capteur.
Complétez ces étapes afin de lancer l'attaque et la réinitialisation TCP :
Avant de lancer l'attaque, accédez à IME, choisissez Event Monitoring > Drop Attacks View et choisissez le capteur à droite.
À partir du voyant du routeur, établissez une connexion Telnet avec la maison du routeur et entrez testattack.
Appuyez sur <space> ou <enter> afin de réinitialiser votre session Telnet.
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 closed by foreign host] !--- Telnet session has been reset due to the !--- signature "String.tcp" triggered.
Dans le tableau de bord de l'Observateur d'événements IPS, l'alarme rouge apparaît une fois l'attaque lancée.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Utilisez ces conseils de dépannage :
L'arrêt s'effectue à partir du port de commande et de contrôle pour reprogrammer les listes de contrôle d'accès (ACL) du routeur. Les réinitialisations TCP sont envoyées à partir de l'interface de reniflage du capteur. Lorsque vous définissez span dans le commutateur, utilisez la commande set span <src_mod/src_port><dest_mod/dest_port> avec les deux paquets entrants activés comme indiqué ici.
banana (enable)set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable)show span Destination : Port 3/6 !--- connect to sniffing interface of the sensor Admin Source : Port 2/12 !--- connect to FastEthernet0/0 of Router House Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Multicast : enabled
Si les réinitialisations TCP fonctionnent, vérifiez si l'alarme est déclenchée pour le type d'action TCP Reset. Si l'alarme apparaît, vérifiez que le type de signature est défini sur TCP reset.
Connectez-vous à l'aide de la commande service account su à root et exécutez cette commande. Cette commande suppose que l’interface de détection est définie sur eth0.
[root@sensor1 root]#tcpdump -i eth0 -n
Remarque : cent réinitialisations tcp sont envoyées à la victime/cible, puis cent sont envoyées à l'attaquant/client.
Voici un exemple de sortie :
03:06:00.598777 64.104.209.205.1409 > 10.66.79.38.telnet: R 107:107(0) ack 72 win 0 03:06:00.598794 64.104.209.205.1409 > 10.66.79.38.telnet: R 108:108(0) ack 72 win 0 03:06:00.599360 10.66.79.38.telnet > 64.104.209.205.1409: R 72:72(0) ack 46 win 0 03:06:00.599377 10.66.79.38.telnet > 64.104.209.205.1409: R 73:73(0) ack 46 win 0
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
08-Dec-2009 |
Première publication |