Questo documento offre un esempio per la configurazione di Cisco Intrusion Detection System (IDS) tramite VPN/Security Management Solution (VMS) e IDS Management Console (IDS MC). In questo caso, è configurato il blocco da IDS Sensor a un router Cisco.
Prima di configurare il blocco, verificare che siano soddisfatte queste condizioni.
Il sensore viene installato e configurato per rilevare il traffico necessario.
L'interfaccia di sniffing viene estesa all'interfaccia esterna del router.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware.
VMS 2.2 con IDS MC e Security Monitor 1.2.3
Sensore Cisco IDS 4.1.3S(63)
Router Cisco con software Cisco IOS® versione 12.3.5
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).
Nel documento viene usata l'impostazione di rete mostrata nel diagramma.
Nel documento vengono usate le configurazioni mostrate di seguito.
Luce router |
---|
Current configuration : 906 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Router House |
---|
Building configuration... Current configuration : 797 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname House ! logging queue-limit 100 enable password cisco ! ip subnet-zero no ip domain lookup ! ! interface Ethernet0 ip address 10.66.79.210 255.255.255.224 hold-queue 100 out ! interface Ethernet1 ip address 100.100.100.1 255.255.255.0 !--- After Blocking is configured, the IDS Sensor !--- adds this access-group ip access-group. IDS_Ethernet1_in_0 in ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server no ip http secure-server ! !--- After Blocking is configured, the IDS Sensor !--- adds this access list. ip access-list extended IDS_Ethernet1_in_0. permit ip host 10.66.79.195 any permit ip any any ! line con 0 stopbits 1 line vty 0 4 password cisco login ! scheduler max-task-time 5000 end |
Completare questa procedura per configurare inizialmente il sensore.
Nota: se è stata eseguita la configurazione iniziale del sensore, passare alla sezione Importazione del sensore in IDS MC.
Collegare la console al sensore.
Vengono richiesti un nome utente e una password. Se si sta effettuando la console per la prima volta nel sensore, è necessario eseguire il login con il nome utente cisco e la password cisco.
Viene richiesto di modificare la password e quindi digitare nuovamente la nuova password per confermarla.
Digitare setup e immettere le informazioni appropriate ad ogni richiesta di impostazione dei parametri di base per il sensore, come indicato nell'esempio seguente:
sensor5#setup --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname sensor5 telnetOption enabled accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit
Premere 2 per salvare la configurazione.
Completare questa procedura per importare il sensore nell'IDS MC.
Accedere al sensore.
In questo caso, selezionare http://10.66.79.250:1741 o https://10.66.79.250:1742.
Eseguire l'accesso con il nome utente e la password appropriati.
Nell'esempio sono stati usati il nome utente admin e la password cisco.
Selezionare VPN/Security Management Solution > Management Center e scegliere IDS Sensor.
Fare clic sulla scheda Dispositivi, selezionare Gruppo sensori, evidenziare Globale e fare clic su Crea sottogruppo.
Immettere il Nome gruppo e assicurarsi che il pulsante di scelta Predefinito sia selezionato, quindi fare clic su OK per aggiungere il sottogruppo al MC IDS.
Selezionare Dispositivi > Sensore, evidenziare il sottogruppo creato nel passaggio precedente (in questo caso, test) e fare clic su Aggiungi.
Evidenziare il sottogruppo e fare clic su Avanti.
Immettere i dettagli come indicato in questo esempio, quindi fare clic su Avanti per continuare.
Dopo aver visualizzato un messaggio che indica che la configurazione del sensore è stata importata correttamente, fare clic su Fine per continuare.
Il sensore viene importato nell'IDS MC. In questo caso, viene importato sensor5.
Completare questa procedura per importare il sensore nel monitor di protezione.
Nel menu del server VMS, selezionare VPN/Security Management Solution > Monitoring Center > Security Monitor.
Selezionare la scheda Devices, quindi fare clic su Import e immettere IDS MC Server Information, come indicato in questo esempio.
Selezionare il Sensore (in questo caso, sensore5) e fare clic su Avanti per continuare.
Se necessario, aggiornare l'indirizzo NAT (Network Address Translation) del sensore, quindi fare clic su Fine per continuare.
Fare clic su OK per completare l'importazione del sensore da IDS MC in Security Monitor.
Importazione del sensore completata.
Completare questa procedura per utilizzare IDS MC per gli aggiornamenti della firma.
Scaricare gli aggiornamenti delle firme IDS di rete (solo utenti registrati) dalla sezione Download e salvarli nella directory C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ del server VMS.
Dalla console del server VMS, selezionare VPN/Security Management Solution > Management Center > Sensor (Soluzione di gestione VPN/sicurezza > Centro di gestione > Sensori).
Fare clic sulla scheda Configurazione, selezionare Aggiornamenti e fare clic su Aggiorna firme ID di rete.
Selezionare la firma che si desidera aggiornare dal menu a discesa e fare clic su Applica per continuare.
Selezionare i sensori da aggiornare e fare clic su Avanti per continuare.
Dopo la richiesta di applicazione dell'aggiornamento al centro di gestione e al sensore, fare clic su Fine per continuare.
Telnet o console nell'interfaccia della riga di comando del sensore. Vengono visualizzate informazioni simili a questa:
sensor5# Broadcast message from root (Mon Dec 15 11:42:05 2003): Applying update IDS-sig-4.1-3-S63. This may take several minutes. Please do not reboot the sensor during this update. Broadcast message from root (Mon Dec 15 11:42:34 2003): Update complete. sensorApp is restarting This may take several minutes.
Attendere alcuni minuti per consentire il completamento dell'aggiornamento, quindi immettere show version per la verifica.
sensor5#show version Application Partition: Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 Upgrade History: * IDS-sig-4.1-3-S62 07:03:04 UTC Thu Dec 04 2003 IDS-sig-4.1-3-S63.rpm.pkg 11:42:01 UTC Mon Dec 15 2003
Completare questa procedura per configurare il blocco per il router IOS.
Dalla console del server VMS, selezionare VPN/Security Management Solution > Management Center > IDS Sensor.
Selezionare la scheda Configurazione, selezionare il sensore in Selettore oggetti e fare clic su Impostazioni.
Selezionare Firme, fare clic su Personalizzate, quindi su Aggiungi per aggiungere una nuova firma.
Immettere il nuovo Nome firma, quindi selezionare il Motore (in questo caso, STRING.TCP).
È possibile personalizzare i parametri disponibili selezionando il pulsante di opzione appropriato e facendo clic su Modifica.
In questo esempio, il parametro ServicePorts viene modificato in modo da modificarne il valore in 23 (per la porta 23). Viene inoltre modificato il parametro RegexString per aggiungere il valore testattack. Al termine, fare clic su OK per continuare.
Per modificare il livello di gravità e le azioni della firma o per attivare/disattivare la firma, fare clic sul nome della firma.
In questo caso, la severità viene modificata in Alta e viene selezionata l'azione Blocca host. Fare clic su OK per continuare.
Blocca host che attaccano host IP o subnet IP.
Blocca connessione blocca le porte TCP o UDP (in base all'attacco alle connessioni TCP o UDP).
La firma completa è simile alla seguente:
Per configurare il dispositivo di blocco, selezionare Blocco > Dispositivi di blocco dal selettore oggetti (il menu sul lato sinistro della schermata), quindi fare clic su Aggiungi per immettere le seguenti informazioni:
Fare clic su Edit Interfaces (vedere l'acquisizione schermo precedente), fare clic su Add, immettere queste informazioni, quindi fare clic su OK per continuare.
Fare clic su OK due volte per completare la configurazione del dispositivo di blocco.
Per configurare le proprietà di blocco, selezionare Blocco > Proprietà di blocco.
È possibile modificare la lunghezza del blocco automatico. In questo caso, viene modificato in 15 minuti. Fare clic su Apply (Applica) per continuare.
Selezionare Configurazione dal menu principale, quindi selezionare In sospeso, controllare la configurazione in sospeso per assicurarsi che sia corretta e fare clic su Salva.
Per eseguire il push delle modifiche di configurazione nel sensore, generare e distribuire le modifiche selezionando Distribuzione > Genera e facendo clic su Applica.
Selezionare Distribuzione > Distribuisci, quindi fare clic su Invia.
Selezionare la casella di controllo accanto al sensore, quindi fare clic su Distribuisci.
Selezionare la casella di controllo relativa al processo nella coda, quindi fare clic su Avanti per continuare.
Immettere il nome del job e programmare il job come Immediato, quindi fare clic su Fine.
Selezionare Distribuzione > Distribuisci > In sospeso.
Attendere alcuni minuti fino al completamento di tutti i processi in sospeso. La coda è quindi vuota.
Per confermare la distribuzione, selezionare Configurazione> Cronologia.
Verificare che lo stato della configurazione sia Distribuito. La configurazione del sensore è stata aggiornata.
Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.
Alcuni comandi show sono supportati dallo strumento Output Interpreter (solo utenti registrati); lo strumento permette di visualizzare un'analisi dell'output del comando show.
Per verificare che il processo di blocco funzioni correttamente, avviare un attacco di prova e verificare i risultati.
Prima di lanciare l'attacco, selezionare VPN/Security Management Solution > Centro di monitoraggio > Monitor di sicurezza.
Scegliere Monitor dal menu principale, fare clic su Eventi e quindi su Avvia Visualizzatore eventi.
Telnet su router (in questo caso, Telnet su router House), per verificare la comunicazione dal sensore.
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_Ethernet1_in_0 10 permit ip host 10.66.79.195 any 20 permit ip any any (20 matches) House#
Per lanciare l'attacco, digitare testattack in modalità Telnet da un router all'altro.
In questo caso, abbiamo utilizzato Telnet per connettersi dal router Light al router House. Non appena si preme <space> o <enter>, dopo aver digitato testattack, la sessione Telnet dovrebbe essere reimpostata.
light#telnet 100.100.100.1 Trying 100.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack !--- Host 100.100.100.2 has been blocked due to the !--- signature "testattack" being triggered. [Connection to 100.100.100.1 lost]
Telnet su router (House) e immettere il comando show access-list.
house#show access-list Extended IP access list IDS_Ethernet1_in_1 10 permit ip host 10.66.79.195 any !--- You will see a temporary entry has been added to !--- the access list to block the router from which you connected via Telnet previously. 20 deny ip host 100.100.100.2 any (37 matches) 30 permit ip any any
Dal Visualizzatore eventi, fare clic su Esegui query su database per i nuovi eventi per visualizzare l'avviso relativo all'attacco avviato in precedenza.
Nel Visualizzatore eventi, evidenziare e fare clic con il pulsante destro del mouse sull'allarme, quindi selezionare Visualizza buffer contesto o Visualizza NSDB per visualizzare informazioni più dettagliate sull'allarme.
Nota: l'NSDB è disponibile anche online su Cisco Secure Encyclopedia (solo utenti registrati).
Utilizzare la procedura seguente per la risoluzione dei problemi.
Nel MC IDS, selezionare Report > Genera.
A seconda del tipo di problema, è possibile trovare ulteriori dettagli in uno dei sette rapporti disponibili.
Alla console del sensore, immettere il comando show statistics network access e controllare l'output per verificare che "state" sia attivo.
sensor5#show statistics networkAccess Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 100.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
Verificare che il parametro di comunicazione indichi che viene utilizzato il protocollo corretto, ad esempio Telnet o Secure Shell (SSH) con 3DES.
È possibile provare un'autenticazione SSH o Telnet manuale da un client SSH/Telnet su un PC per verificare che le credenziali di nome utente e password siano corrette. È quindi possibile provare a utilizzare Telnet o SSH dal sensore stesso al router per verificare che l'accesso sia riuscito.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
16-Jun-2008 |
Versione iniziale |