Avez-vous un compte?
Le document fournit une configuration d'échantillon du Cisco Intrusion Detection System (ID) par l'intermédiaire de la solution de Gestion VPN/Security (VMS), console de gestion d'ID (ID MC). Dans ce cas, la Réinitialisation TCP du capteur d'ID à un routeur de Cisco est configurée.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Le capteur est installé et configuré pour sentir le trafic nécessaire.
L'interface de reniflement est répartie au routeur en dehors de l'interface.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
VMS 2.2 avec les ID MC et le contrôleur de sécurité 1.2.3
Capteur d'ID de Cisco 4.1.3S(63)
Routeur de Cisco qui exécute la version de logiciel 12.3.5 de Cisco IOS®
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
Ce document utilise la configuration réseau suivante :
Ce document utilise les configurations suivantes.
Lumière du routeur |
---|
Current configuration : 906 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Remarque: Si vous avez déjà exécuté la première installation de votre capteur, poursuivez à l'importation le capteur dans la section de MC d'ID.
Console dans le capteur.
Vous êtes incité pour un nom d'utilisateur et mot de passe. Si c'est la première fois vous consolez dans le capteur, vous devez ouvrir une session avec le nom d'utilisateur Cisco et le mot de passe cisco.
Vous êtes incité à changer le mot de passe et à retaper le nouveau mot de passe à la machine pour confirmer.
Tapez l'installation et écrivez l'information correcte à chaque prompt pour installer des paramètres de base pour votre capteur, selon cet exemple :
sensor5#setup --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname sensor5 telnetOption enabled accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit 5 Save the config: (It might take a few minutes for the sensor saving the configuration) [0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Terminez-vous ces étapes afin d'importer le capteur dans les ID MC.
Parcourez à votre capteur. Dans ce cas, http://10.66.79.250:1741 ou https://10.66.79.250:1742.
Procédure de connexion avec le nom d'utilisateur et mot de passe approprié.
Dans cet exemple, le nom d'utilisateur est admin et le mot de passe est Cisco.
Choisissez la solution de Gestion VPN/Security > le centre de Gestion et cliquez sur les capteurs d'ID.
Cliquez sur l'onglet de périphériques et choisissez le groupe de capteur.
Le point culminant global et le clic créent le sous-groupe.
Écrivez le nom de groupe et assurez-vous que le par défaut est choisi, puis cliquent sur OK afin d'ajouter le sous-groupe dans les ID MC.
Choisissez les périphériques > le capteur, mettez en valeur le sous-groupe créé dans l'étape précédente (dans ce cas, test), et cliquez sur Add.
Mettez en valeur le sous-groupe et cliquez sur Next.
Écrivez les détails selon cet exemple et cliquez sur Next afin de continuer.
Quand vous êtes présenté avec un message que les états ont avec succès importé la configuration de capteur, cliquez sur Finish afin de continuer.
Votre capteur est importé dans les ID MC. Dans ce cas, Sensor5 est importé.
Terminez-vous ces étapes afin d'importer le capteur dans le contrôleur de sécurité.
Au menu de serveur VMS, choisissez la solution de Gestion VPN/Security > le centre > le contrôleur de sécurité de surveillance.
Sélectionnez l'onglet de périphériques, puis cliquez sur l'importation et écrivez les informations du serveur de MC d'ID, selon cet exemple.
Sélectionnez votre capteur (dans ce cas, sensor5) et cliquez sur Next afin de continuer.
Si nécessaire, mettez à jour l'adresse NAT pour votre capteur, alors cliquez sur Finish afin de continuer.
Cliquez sur OK afin de terminer importer le capteur des ID MC dans le contrôleur de sécurité.
Vous pouvez maintenant voir que votre capteur est avec succès importé
Cette procédure explique comment utiliser des ID MC pour des mises à jour de signature.
Téléchargez les mises à jour de signature d'ID de réseau (clients enregistrés seulement) et sauvegardez-les dans le répertoire C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ sur votre serveur VMS.
À la console de serveur VMS, choisissez la solution de Gestion VPN/Security > le centre de Gestion > les capteurs d'ID.
Sélectionnez l'onglet de configuration et cliquez sur les mises à jour.
Signatures d'ID de réseau de mise à jour de clic.
Sélectionnez la signature que vous voulez améliorer du menu déroulant et cliquer sur Apply afin de continuer.
Sélectionnez les capteurs pour mettre à jour et cliquer sur Next afin de continuer.
Après que vous soyez incité à appliquer la mise à jour au centre de Gestion, aussi bien que le capteur, cliquez sur Finish afin de continuer.
Telnet ou console dans l'interface de ligne de commande de capteur. Vous voyez les informations semblables à ceci :
sensor5# Broadcast message from root (Mon Dec 15 11:42:05 2003): Applying update IDS-sig-4.1-3-S63. This may take several minutes. Please do not reboot the sensor during this update. Broadcast message from root (Mon Dec 15 11:42:34 2003): Update complete. sensorApp is restarting This may take several minutes.
Attendez quelques minutes pour permettre à la mise à jour pour se terminer, puis écrivez le show version afin de vérifier.
sensor5#show version Application Partition: Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 Upgrade History: * IDS-sig-4.1-3-S62 07:03:04 UTC Thu Dec 04 2003 IDS-sig-4.1-3-S63.rpm.pkg 11:42:01 UTC Mon Dec 15 2003
Terminez-vous ces étapes afin de configurer la Réinitialisation TCP pour le routeur IOS.
Choisissez la solution de Gestion VPN/Security > le centre de Gestion > les capteurs d'ID.
Sélectionnez l'onglet de configuration, sélectionnez votre capteur de sélecteur d'objet, puis cliquez sur les configurations.
Les signatures choisies, la coutume de clic, et cliquent sur Add afin d'ajouter une nouvelle signature.
Écrivez le nouveau nom de signature, puis sélectionnez l'engine (dans ce cas, STRING.TCP).
Vérifiez la case d'option appropriée afin de personnaliser les paramètres disponibles et puis cliquer sur Edit.
Dans cet exemple, le paramètre de ServicePorts est édité pour changer sa valeur à 23 (pour port 23). Le paramètre de RegexString est également édité pour ajouter le testattack de valeur. Quand c'est complet, cliquez sur OK pour continuer.
Cliquez sur le nom de la signature afin d'éditer la sévérité et les actions de signature ou activer/la signature.
Dans ce cas, la sévérité est changée à la haute et le log et la remise d'action est choisi. Cliquez sur OK afin de continuer.
La signature complète semble semblable à ceci :
Choisissez la configuration > en suspens, vérifiez la configuration en attente pour s'assurer qu'elle est correcte, et clique sur la sauvegarde.
Choisissez le déploiement > se produisent, et puis cliquent sur Apply afin de pousser les modifications de configuration au capteur.
Choisissez le déploiement > se déploient et cliquent sur Submit.
Vérifiez la case à cocher à côté de votre capteur et le clic se déploient.
Vérifiez la case à cocher pour le travail dans la file d'attente et cliquez sur Next afin de continuer.
Écrivez le nom de JOB et programmez le travail comme immédiat, puis cliquez sur Finish.
Choisissez le déploiement > se déploient > en suspens.
Attendez quelques minutes jusqu'à ce que tous les travaux en attente aient été terminés. La file d'attente devrait alors être vide.
Choisissez la configuration > l'historique afin de confirmer le déploiement.
Assurez que le statut de la configuration est affiché comme déployé. Ceci signifie que la configuration de capteur est mise à jour avec succès.
Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.
Lancez une attaque de test et vérifiez les résultats afin de vérifier que les travaux par processus de blocage correctement.
Avant que l'attaque soit lancée, choisissez la solution de Gestion VPN/Security > le centre > le contrôleur de sécurité de surveillance.
Choisissez le moniteur du menu principal et cliquez sur les événements.
Visualisateur d'événements de lancement de clic.
Telnet d'un routeur au testattack d'autre et de type afin de lancer l'attaque.
Dans ce cas, nous Telnetted de la lumière du routeur à la Chambre de routeur. Dès que vous appuierez sur le <space> ou le <enter>, après que vous tapiez le testattack, votre session de telnet devrait être remise à l'état initial.
light#telnet 100.100.100.1 Trying 100.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack !--- The Telnet session is reset due to the !--- signature "testattack" being triggered. [Connection to 100.100.100.1 lost]
Du visualisateur d'événements, base de données de requête de clic pour de nouveaux événements maintenant.
Vous voyez l'alerte pour l'attaque précédemment lancée
En cas le visualiseur, mettent en valeur l'alarme, la cliquent avec le bouton droit et sélectionnent la mémoire tampon ou la vue NSDB de contexte de vue pour visualiser plus d'informations détaillées au sujet de l'alarme.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Terminez-vous ces étapes afin de dépanner.
Dans les ID MC, choisissez les états > se produisent.
Selon le type de problème, d'autres détails devraient être trouvés dans un des sept états disponibles.
Tandis que le blocage utilise le port de commandement et de contrôle de configurer les listes d'accès de routeur, des remises de TCP sont envoyées de l'interface de reniflement du capteur. Assurez que vous avez réparti le port approprié, utilisant la commande de set span sur le commutateur, semblable à ceci :
set span <src_mod/src_port><dest_mod/dest_port> both inpkts enable banana (enable) set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable) show span Destination : Port 3/6 !--- Connect to sniffing interface of the Sensor. Admin Source : Port 2/12 !--- In this case, connect to Ethernet1 of Router House. Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Learning : enabled Multicast : enabled
Si la Réinitialisation TCP ne fonctionne pas, ouvrez une session au capteur et sélectionnez la commande d'événement d'exposition.
Lancez l'attaque, et le contrôle pour voir si l'alarme est déclenchée. Si l'alarme est déclenchée, le contrôle pour l'assurer est placé pour la Réinitialisation TCP de type d'action.