Shunning IDS PIX avec Cisco IDS UNIX Director

Introduction

Ce document décrit comment configurer le shunning sur un PIX avec l'aide de Cisco IDS UNIX Director (anciennement connu sous le nom de Netranger Director) et Sensor. Ce document suppose que le Capteur et le Directeur sont opérationnels et que l'interface de détection du Capteur est configurée pour s'étendre à l'interface externe PIX.

Conditions préalables

Exigences

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et matériel suivantes :

• Cisco IDS UNIX Director 2.2.3

• Cisco IDS UNIX Sensor 3.0.5

• Cisco Secure PIX avec 6.1.1

  Remarque : si vous utilisez la version 6.2.x, vous pouvez utiliser la gestion SSH (Secure Shell Protocol), mais pas Telnet. Référez-vous à l'ID de bogue Cisco CSCdx5215 (clients enregistrés uniquement) pour plus d'informations.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Cisco IDS UNIX Director et Sensor sont utilisés afin de gérer un Cisco Secure PIX pour le shunning. Lorsque vous envisagez cette configuration, souvenez-vous des concepts suivants :

• Installez le capteur et assurez-vous qu'il fonctionne correctement.

• Assurez-vous que l'interface d'analyse s'étend à l'interface externe du PIX.

Remarque : afin de trouver des informations supplémentaires sur les commandes utilisées dans ce document, référez-vous à l'Outil de recherche de commandes (clients enregistrés uniquement) .

Diagramme du réseau

Ce document utilise cette configuration du réseau.

Configurations

Ce document utilise les configurations suivantes.

• Voyant du routeur

• PIX Tiger

Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

PIX Version 6.1(1)
nameif gb-ethernet0 intf2 security10
nameif gb-ethernet1 intf3 security15
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 9jNfZuG3TC5tCVH0 encrypted
hostname Tiger
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Allows ICMP traffic and HTTP to pass through the PIX !--- to the Web Server.

access-list 101 permit icmp any host 100.100.100.100 
access-list 101 permit tcp any host 100.100.100.100 eq www 
pager lines 24
logging on    
logging buffered debugging
interface gb-ethernet0 1000auto shutdown
interface gb-ethernet1 1000auto shutdown
interface ethernet0 auto
interface ethernet1 auto
mtu intf2 1500
mtu intf3 1500
mtu outside 1500
mtu inside 1500
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address outside 100.100.100.1 255.255.255.0
ip address inside 10.66.79.203 255.255.255.224
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Static NAT for the Web Server.

static (inside,outside) 100.100.100.100 10.66.79.204 
  netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
route inside 10.66.0.0 255.255.0.0 10.66.79.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
  h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol tacacs+ 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat

!--- Allows Sensor Telnet to the PIX from the inside interface.

telnet 10.66.79.199 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:b4c820ba31fbb3996ca8891503ebacbc
: end         

Configuration du capteur

Ces étapes décrivent comment configurer le capteur.

1. Établissez une connexion Telnet avec 10.66.79.199 avec le nom d’utilisateur root et le mot de passe attack.

2. Entrez sysconfig-sensor.

3. Entrez les informations suivantes :

   1. Adresse IP : 10.66.79.19

   2. Masque réseau IP : 255.255.255.224

   3. IP Host Name : sensor-2

   4. Route par défaut : 10.66.79.193

   5. Contrôle d'accès réseau

      10.

   6. Infrastructure de communication

      ID hôte du capteur : 49

      ID d'organisation du capteur : 900

      Nom d'hôte du capteur : sensor-2

      Nom de l'entreprise : cisco

      Adresse IP du capteur : 10.66.79.199

      ID hôte IDS Manager : 50

      ID d'organisation IDS Manager : 900

      Nom d'hôte IDS Manager : dir3

      IDS Manager Nom de l'organisation : cisco

      Adresse IP IDS Manager : 10.66.79.201

4. Enregistrez la configuration. Le capteur redémarre ensuite.

Ajout du capteur au Director

Complétez ces étapes afin d'ajouter le capteur dans le Director.

1. Établissez une connexion Telnet avec 10.66.79.201 avec le nom d’utilisateur netranger et le mot de passe attack.

2. Entrez ovw&afin de lancer HP OpenView.

3. Dans le menu principal, sélectionnez Security > Configure.

4. Dans le menu de configuration de Netranger, sélectionnez File > Add Host, et cliquez sur Next.

5. Saisissez ces informations, puis cliquez sur Next.

   

6. Conservez les paramètres par défaut et cliquez sur Next.

   

7. Modifiez le journal et les minutes d'arrêt ou conservez-les comme valeur par défaut si les valeurs sont acceptables. Remplacez le nom de l'interface réseau par le nom de votre interface d'analyse. Dans cet exemple, il s'agit de « iprb0 ». Il peut s'agir de « spwr0 » ou de tout autre élément en fonction du type de capteur et de la façon dont vous connectez le capteur.

   

8. Cliquez sur Next jusqu'à ce qu'il y ait une option pour cliquer sur Finish.

   Le capteur a été ajouté au Director. Dans le menu principal, sensor-2 s'affiche, comme illustré dans cet exemple.

   

Configurer le shunning pour PIX

Complétez ces étapes afin de configurer le shunning pour PIX.

1. Dans le menu principal, sélectionnez Security > Configure.

2. Dans le menu de configuration de Netranger, mettez en surbrillance sensor-2 et double-cliquez dessus.

3. Ouvrez Device Management.

4. Cliquez sur Devices > Add et entrez les informations comme indiqué dans cet exemple. Cliquez sur OK afin de continuer. Les mots de passe Telnet et enable sont tous deux « Cisco ».

   

5. Cliquez sur Shunning > Add. Ajoutez l'hôte 100.100.100.100 sous « Adresses à ne jamais ignorer ». Cliquez sur OK afin de continuer.

   

6. Cliquez sur Shunning > Add et sélectionnez sensor-2.cisco comme serveurs shunning. Cette partie de la configuration est terminée. Fermez la fenêtre Gestion des périphériques.

   

7. Ouvrez la fenêtre Détection des intrusions et cliquez sur Réseaux protégés. Ajoutez 10.66.79.1 à 10.66.79.254 dans le réseau protégé.

   

8. Cliquez sur Profile et sélectionnez Manual Configuration > Modify Signatures. Sélectionnez Large ICMP Traffic and ID: 2151, cliquez sur Modify, et changez l'action de None à Shun and Log. Cliquez sur OK afin de continuer.

   

9. Sélectionnez Inondation ICMP et ID : 2152, cliquez sur Modifier, puis modifiez l'action de Aucun à Shun and Log. Cliquez sur OK afin de continuer.

   

10. Cette partie de la configuration est terminée. Cliquez sur OK afin de fermer la fenêtre de détection d'intrusion.

11. Ouvrez le dossier System Files et ouvrez la fenêtre Daemons. Assurez-vous d'avoir activé ces démons :

    

12. Cliquez sur OK afin de continuer, et sélectionnez la version que vous venez de modifier. Cliquez sur Enregistrer > Appliquer. Attendez que le système vous indique que le capteur est terminé, redémarrez Services et fermez toutes les fenêtres de configuration de Netranger.

    

Vérifier

Cette section fournit des informations qui vous aident à confirmer que votre configuration fonctionne correctement.

Avant de lancer l'attaque

Tiger(config)# show telnet 
10.66.79.199 255.255.255.255 inside 
Tiger(config)# who 
        0: 10.66.79.199 

Tiger(config)# show xlate 
1 in use, 1 most used 
Global 100.100.100.100 Local 10.66.79.204 static 

Light#ping 100.100.100.100 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 112/195/217 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open

Lancer l'attaque et le shunning

Light#ping 
Protocol [ip]: 
Target IP address: 100.100.100.100 
Repeat count [5]: 100000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 100000, 18000-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!.................... 
Success rate is 4 percent (1/21), round-trip min/avg/max = 281/281/281 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... 
% Connection timed out; remote host not responding 

Tiger(config)# show shun 
Shun 100.100.100.2 0.0.0 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=ON, cnt=2604 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 
Shun 100.100.100.2 cnt=403, time=(0:01:00).0 0 0 

Quinze minutes plus tard, il revient à la normale car le shunning est réglé sur quinze minutes.

Tiger(config)# show shun 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=OFF, cnt=4437 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 

Light#ping 100.100.100.100
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open 

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

• Fin de commercialisation de Cisco IDS Director
• Fin de vie du logiciel Cisco IDS Sensor version 3.x
• Assistance produit Cisco Intrusion Prevention System
• Assistance produit pour le logiciel Cisco PIX Firewall
• Références des commandes du pare-feu Cisco Secure PIX
• Assistance et documentation techniques - Cisco Systems