Ce document décrit comment configurer le shunning sur un PIX avec l'aide de Cisco IDS UNIX Director (anciennement connu sous le nom de Netranger Director) et Sensor. Ce document suppose que le Capteur et le Directeur sont opérationnels et que l'interface de détection du Capteur est configurée pour s'étendre à l'interface externe PIX.
Aucune condition préalable spécifique n'est requise pour ce document.
Les informations dans ce document sont basées sur les versions de logiciel et matériel suivantes :
Cisco IDS UNIX Director 2.2.3
Cisco IDS UNIX Sensor 3.0.5
Cisco Secure PIX avec 6.1.1
Remarque : si vous utilisez la version 6.2.x, vous pouvez utiliser la gestion SSH (Secure Shell Protocol), mais pas Telnet. Référez-vous à l'ID de bogue Cisco CSCdx5215 (clients enregistrés uniquement) pour plus d'informations.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Cisco IDS UNIX Director et Sensor sont utilisés afin de gérer un Cisco Secure PIX pour le shunning. Lorsque vous envisagez cette configuration, souvenez-vous des concepts suivants :
Installez le capteur et assurez-vous qu'il fonctionne correctement.
Assurez-vous que l'interface d'analyse s'étend à l'interface externe du PIX.
Remarque : afin de trouver des informations supplémentaires sur les commandes utilisées dans ce document, référez-vous à l'Outil de recherche de commandes (clients enregistrés uniquement) .
Ce document utilise cette configuration du réseau.
Ce document utilise les configurations suivantes.
Voyant du routeur |
---|
Current configuration : 906 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
PIX Tiger |
---|
PIX Version 6.1(1) nameif gb-ethernet0 intf2 security10 nameif gb-ethernet1 intf3 security15 nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 2KFQnbNIdI.2KYOU encrypted passwd 9jNfZuG3TC5tCVH0 encrypted hostname Tiger fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names !--- Allows ICMP traffic and HTTP to pass through the PIX !--- to the Web Server. access-list 101 permit icmp any host 100.100.100.100 access-list 101 permit tcp any host 100.100.100.100 eq www pager lines 24 logging on logging buffered debugging interface gb-ethernet0 1000auto shutdown interface gb-ethernet1 1000auto shutdown interface ethernet0 auto interface ethernet1 auto mtu intf2 1500 mtu intf3 1500 mtu outside 1500 mtu inside 1500 ip address intf2 127.0.0.1 255.255.255.255 ip address intf3 127.0.0.1 255.255.255.255 ip address outside 100.100.100.1 255.255.255.0 ip address inside 10.66.79.203 255.255.255.224 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 failover ip address intf2 0.0.0.0 failover ip address intf3 0.0.0.0 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 !--- Static NAT for the Web Server. static (inside,outside) 100.100.100.100 10.66.79.204 netmask 255.255.255.255 0 0 access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 100.100.100.2 1 route inside 10.66.0.0 255.255.0.0 10.66.79.193 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 s0 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol tacacs+ no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat !--- Allows Sensor Telnet to the PIX from the inside interface. telnet 10.66.79.199 255.255.255.255 inside telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:b4c820ba31fbb3996ca8891503ebacbc : end |
Ces étapes décrivent comment configurer le capteur.
Établissez une connexion Telnet avec 10.66.79.199 avec le nom d’utilisateur root et le mot de passe attack.
Entrez sysconfig-sensor.
Entrez les informations suivantes :
Adresse IP : 10.66.79.19
Masque réseau IP : 255.255.255.224
IP Host Name : sensor-2
Route par défaut : 10.66.79.193
Contrôle d'accès réseau
10.
Infrastructure de communication
ID hôte du capteur : 49
ID d'organisation du capteur : 900
Nom d'hôte du capteur : sensor-2
Nom de l'entreprise : cisco
Adresse IP du capteur : 10.66.79.199
ID hôte IDS Manager : 50
ID d'organisation IDS Manager : 900
Nom d'hôte IDS Manager : dir3
IDS Manager Nom de l'organisation : cisco
Adresse IP IDS Manager : 10.66.79.201
Enregistrez la configuration. Le capteur redémarre ensuite.
Complétez ces étapes afin d'ajouter le capteur dans le Director.
Établissez une connexion Telnet avec 10.66.79.201 avec le nom d’utilisateur netranger et le mot de passe attack.
Entrez ovw&afin de lancer HP OpenView.
Dans le menu principal, sélectionnez Security > Configure.
Dans le menu de configuration de Netranger, sélectionnez File > Add Host, et cliquez sur Next.
Saisissez ces informations, puis cliquez sur Next.
Conservez les paramètres par défaut et cliquez sur Next.
Modifiez le journal et les minutes d'arrêt ou conservez-les comme valeur par défaut si les valeurs sont acceptables. Remplacez le nom de l'interface réseau par le nom de votre interface d'analyse. Dans cet exemple, il s'agit de « iprb0 ». Il peut s'agir de « spwr0 » ou de tout autre élément en fonction du type de capteur et de la façon dont vous connectez le capteur.
Cliquez sur Next jusqu'à ce qu'il y ait une option pour cliquer sur Finish.
Le capteur a été ajouté au Director. Dans le menu principal, sensor-2 s'affiche, comme illustré dans cet exemple.
Complétez ces étapes afin de configurer le shunning pour PIX.
Dans le menu principal, sélectionnez Security > Configure.
Dans le menu de configuration de Netranger, mettez en surbrillance sensor-2 et double-cliquez dessus.
Ouvrez Device Management.
Cliquez sur Devices > Add et entrez les informations comme indiqué dans cet exemple. Cliquez sur OK afin de continuer. Les mots de passe Telnet et enable sont tous deux « Cisco ».
Cliquez sur Shunning > Add. Ajoutez l'hôte 100.100.100.100 sous « Adresses à ne jamais ignorer ». Cliquez sur OK afin de continuer.
Cliquez sur Shunning > Add et sélectionnez sensor-2.cisco comme serveurs shunning. Cette partie de la configuration est terminée. Fermez la fenêtre Gestion des périphériques.
Ouvrez la fenêtre Détection des intrusions et cliquez sur Réseaux protégés. Ajoutez 10.66.79.1 à 10.66.79.254 dans le réseau protégé.
Cliquez sur Profile et sélectionnez Manual Configuration > Modify Signatures. Sélectionnez Large ICMP Traffic and ID: 2151, cliquez sur Modify, et changez l'action de None à Shun and Log. Cliquez sur OK afin de continuer.
Sélectionnez Inondation ICMP et ID : 2152, cliquez sur Modifier, puis modifiez l'action de Aucun à Shun and Log. Cliquez sur OK afin de continuer.
Cette partie de la configuration est terminée. Cliquez sur OK afin de fermer la fenêtre de détection d'intrusion.
Ouvrez le dossier System Files et ouvrez la fenêtre Daemons. Assurez-vous d'avoir activé ces démons :
Cliquez sur OK afin de continuer, et sélectionnez la version que vous venez de modifier. Cliquez sur Enregistrer > Appliquer. Attendez que le système vous indique que le capteur est terminé, redémarrez Services et fermez toutes les fenêtres de configuration de Netranger.
Cette section fournit des informations qui vous aident à confirmer que votre configuration fonctionne correctement.
Tiger(config)# show telnet 10.66.79.199 255.255.255.255 inside Tiger(config)# who 0: 10.66.79.199 Tiger(config)# show xlate 1 in use, 1 most used Global 100.100.100.100 Local 10.66.79.204 static Light#ping 100.100.100.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 112/195/217 ms Light#telnet 100.100.100.100 80 Trying 100.100.100.100, 80 ... Open
Light#ping Protocol [ip]: Target IP address: 100.100.100.100 Repeat count [5]: 100000 Datagram size [100]: 18000 Timeout in seconds [2]: Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 100000, 18000-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: !.................... Success rate is 4 percent (1/21), round-trip min/avg/max = 281/281/281 ms Light#telnet 100.100.100.100 80 Trying 100.100.100.100, 80 ... % Connection timed out; remote host not responding Tiger(config)# show shun Shun 100.100.100.2 0.0.0 Tiger(config)# show shun stat intf2=OFF, cnt=0 intf3=OFF, cnt=0 outside=ON, cnt=2604 inside=OFF, cnt=0 intf4=OFF, cnt=0 intf5=OFF, cnt=0 intf6=OFF, cnt=0 intf7=OFF, cnt=0 intf8=OFF, cnt=0 intf9=OFF, cnt=0 Shun 100.100.100.2 cnt=403, time=(0:01:00).0 0 0
Quinze minutes plus tard, il revient à la normale car le shunning est réglé sur quinze minutes.
Tiger(config)# show shun Tiger(config)# show shun stat intf2=OFF, cnt=0 intf3=OFF, cnt=0 outside=OFF, cnt=4437 inside=OFF, cnt=0 intf4=OFF, cnt=0 intf5=OFF, cnt=0 intf6=OFF, cnt=0 intf7=OFF, cnt=0 intf8=OFF, cnt=0 intf9=OFF, cnt=0 Light#ping 100.100.100.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms Light#telnet 100.100.100.100 80 Trying 100.100.100.100, 80 ... Open
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
23-Jul-2002 |
Première publication |