VMS IDS MC를 사용하여 IDS 차단 구성

소개

이 문서에서는 VPN/VMS(Security Management Solution), IDS MC(Management Console)를 통한 Cisco IDS(Intrusion Detection System)의 컨피그레이션에 대한 샘플을 제공합니다. 이 경우 IDS 센서에서 Cisco 라우터로의 차단이 구성됩니다.

사전 요구 사항

요구 사항

차단을 구성하기 전에 이러한 조건을 충족했는지 확인합니다.

• 센서가 설치 및 구성되어 필요한 트래픽을 감지합니다.

• 스니핑 인터페이스는 라우터 외부 인터페이스에 스팬됩니다.

사용되는 구성 요소

이 문서의 정보는 이러한 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• IDS MC 및 보안 모니터 1.2.3이 포함된 VMS 2.2

• Cisco IDS Sensor 4.1.3S(63)

• Cisco IOS® 소프트웨어 릴리스 12.3.5을 실행하는 Cisco 라우터

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에서는 이 문서에 설명된 기능을 구성하는 정보를 제공합니다.

참고: 이 문서에 사용된 명령에 대한 추가 정보를 찾으려면 명령 조회 도구(등록된 고객만 해당)를 사용합니다.

네트워크 다이어그램

이 문서에서는 이 다이어그램에 표시된 네트워크 설정을 사용합니다.

구성

이 문서에서는 여기에 표시된 구성을 사용합니다.

• 라우터 표시등

• 라우터 하우스

Current configuration : 906 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Building configuration...

Current configuration : 797 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname House
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
no ip domain lookup
!
!
interface Ethernet0
 ip address 10.66.79.210 255.255.255.224
 hold-queue 100 out
!
interface Ethernet1
 ip address 100.100.100.1 255.255.255.0

!--- After Blocking is configured, the IDS Sensor !--- adds this access-group ip access-group. 


IDS_Ethernet1_in_0 in
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
no ip http secure-server
!

!--- After Blocking is configured, the IDS Sensor !--- adds this access list.

ip access-list extended IDS_Ethernet1_in_0.
 permit ip host 10.66.79.195 any
 permit ip any any
!
line con 0
 stopbits 1
line vty 0 4
 password cisco
 login
!
scheduler max-task-time 5000
end

초기 센서 컨피그레이션

센서를 처음 구성하려면 다음 단계를 완료하십시오.

참고: 센서의 초기 설정을 수행한 경우 센서를 IDS MC로 가져오기 섹션으로 진행합니다.

1. 센서에 콘솔을 연결합니다.

   사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다.센서에 처음 연결하는 경우 사용자 이름 cisco 및 비밀번호 cisco로 로그인해야 합니다.

2. 비밀번호를 변경한 다음 확인할 새 비밀번호를 다시 입력하라는 메시지가 표시됩니다.

3. 다음 예와 같이 센서에 대한 기본 매개변수를 설정하려면 setup을 입력하고 각 프롬프트에 적절한 정보를 입력합니다.

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   At any point you may enter a question mark '?' for help. 
   User ctrl-c to abort configuration dialog at any prompt. 
   Default settings are in square brackets '[]'. 
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname sensor5 
   telnetOption enabled 
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit 

4. 컨피그레이션을 저장하려면 2를 누릅니다.

센서를 IDS MC로 가져오기

센서를 IDS MC로 가져오려면 다음 단계를 완료합니다.

1. 센서를 찾습니다.

   이 경우 http://10.66.79.250:1741 또는 https://10.66.79.250:1742으로 이동합니다.

2. 적절한 사용자 이름과 비밀번호를 사용하여 로그인합니다.

   이 예에서는 사용자 이름 admin 및 비밀번호 cisco가 사용되었습니다.

3. VPN /Security Management Solution(VPN/보안 관리 솔루션) > Management Center(관리 센터)를 선택하고 IDS Sensor(IDS 센서)를 선택합니다.

4. Devices(디바이스) 탭을 클릭하고 Sensor Group(센서 그룹)을 선택하고 Global(전역)을 강조 표시한 다음 Create Subgroup(하위 그룹 생성)을 클릭합니다.

5. Group Name(그룹 이름)을 입력하고 Default(기본) 라디오 버튼이 선택되었는지 확인한 다음 OK(확인)를 클릭하여 IDS MC에 하위 그룹을 추가합니다.

   

6. Devices(디바이스) > Sensor를 선택하고 이전 단계에서 생성한 하위 그룹(이 경우 테스트)을 강조 표시하고 Add(추가)를 클릭합니다.

7. 하위 그룹을 강조 표시하고 Next(다음)를 클릭합니다.

   

8. 이 예에 따라 세부 정보를 입력한 다음 다음을 클릭하여 계속합니다.

   

9. Successfully imported sensor configuration(센서 컨피그레이션 가져오기 성공)이라는 메시지가 나타나면 Finish(마침)를 클릭하여 계속합니다.

   

10. 센서는 IDS MC로 가져옵니다.이 경우 sensor5를 가져옵니다.

    

센서를 보안 모니터로 가져오기

센서를 보안 모니터로 가져오려면 이 절차를 완료합니다.

1. VMS Server 메뉴에서 VPN/Security Management Solution(VPN/보안 관리 솔루션) > Monitoring Center(모니터링 센터) > Security Monitor(보안 모니터)를 선택합니다.

2. Devices(디바이스) 탭을 선택한 다음 Import(가져오기)를 클릭하고 이 예와 같이 IDS MC Server Information(IDS MC 서버 정보)을 입력합니다.

   

3. 센서(이 경우 sensor5)를 선택하고 다음을 클릭하여 계속합니다.

   

4. 필요한 경우 센서의 NAT(Network Address Translation) 주소를 업데이트한 다음 마침을 클릭하여 계속합니다.

   

5. 확인을 클릭하여 IDS MC에서 보안 모니터로 센서 가져오기를 완료합니다.

   

6. 센서를 성공적으로 가져왔습니다.

   

서명 업데이트에 IDS MC 사용

서명 업데이트에 IDS MC를 사용하려면 이 절차를 완료합니다.

1. 다운로드에서 네트워크 IDS 서명 업데이트(등록된 고객만 해당)를 다운로드하여 C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ directory on your VMS. 서버에 저장합니다.

2. VMS 서버 콘솔에서 VPN/Security Management Solution(VPN/보안 관리 솔루션) > Management Center > Sensors(센서)를 선택합니다.

3. Configuration(컨피그레이션) 탭을 클릭하고 Updates(업데이트)를 선택한 다음 Update Network IDS Signatures(네트워크 IDS 서명 업데이트)를 클릭합니다.

4. 드롭다운 메뉴에서 업그레이드할 서명을 선택하고 Apply(적용)를 클릭하여 계속합니다.

   

5. 업데이트할 센서를 선택하고 다음을 클릭하여 계속합니다.

   

6. Management Center와 센서에 업데이트를 적용하라는 메시지가 표시되면 마침을 클릭하여 계속합니다.

   

7. Sensor 명령줄 인터페이스에 텔넷 또는 콘솔.다음과 유사한 정보가 나타납니다.

   sensor5# 
   Broadcast message from root (Mon Dec 15 11:42:05 2003): 
   Applying update IDS-sig-4.1-3-S63.  
   This may take several minutes. 
   Please do not reboot the sensor during this update. 
   Broadcast message from root (Mon Dec 15 11:42:34 2003): 
   Update complete. 
   sensorApp is restarting 
   This may take several minutes. 
   

8. 업그레이드가 완료될 때까지 몇 분 정도 기다린 다음 show version을 입력하여 확인합니다.

   sensor5#show version 
   Application Partition: 
   Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 
   
   Upgrade History: 
   * IDS-sig-4.1-3-S62           07:03:04 UTC Thu Dec 04 2003 
      IDS-sig-4.1-3-S63.rpm.pkg   11:42:01 UTC Mon Dec 15 2003 

IOS 라우터에 대한 차단 구성

IOS 라우터에 대한 차단을 구성하려면 이 절차를 완료합니다.

1. VMS 서버 콘솔에서 VPN/Security Management Solution(VPN/보안 관리 솔루션) > Management Center > IDS Sensors(IDS 센서)를 선택합니다.

2. 구성 탭을 선택하고 개체 선택기에서 센서를 선택한 다음 설정을 클릭합니다.

3. Signatures를 선택하고 Custom을 클릭한 다음 Add를 클릭하여 새 서명을 추가합니다.

   

4. 새 서명 이름을 입력한 다음 엔진(이 경우 STRING.TCP)을 선택합니다.

5. 적절한 라디오 버튼을 선택하고 Edit를 클릭하여 사용 가능한 매개변수를 사용자 정의할 수 있습니다.

   이 예제에서는 ServicePorts 매개 변수를 편집하여 해당 값을 23(포트 23의 경우)으로 변경합니다. RegexString 매개 변수도 편집하여 testattack 값을 추가합니다.이 작업이 완료되면 OK(확인)를 클릭하여 계속합니다.

   

6. 서명 심각도 및 작업을 편집하거나 서명을 활성화/비활성화하려면 서명 이름을 클릭합니다.

   

7. 이 경우 심각도가 High로 변경되고 Block Host 작업이 선택됩니다.OK(확인)를 클릭하여 계속합니다.

   • 블록 호스트는 IP 호스트 또는 IP 서브넷을 공격하는 것을 차단합니다.

   • Block Connection(차단 연결)은 TCP 또는 UDP 포트(공격 TCP 또는 UDP 연결 기반)를 차단합니다.

   

8. 전체 서명은 다음과 같습니다.

   

9. 차단 장치를 구성하려면 Object Selector(화면 왼쪽에 있는 메뉴)에서 Blocking > Blocking Devices를 선택하고 Add를 클릭하여 다음 정보를 입력합니다.

   

10. Edit Interfaces(이전 화면 캡처 참조)를 클릭하고 Add를 클릭하고 이 정보를 입력한 다음 OK(확인)를 클릭하여 계속합니다.

    

11. OK(확인)를 두 번 클릭하여 차단 디바이스의 컨피그레이션을 완료합니다.

    

12. 차단 속성을 구성하려면 차단 > 차단 속성을 선택합니다.

    자동 블록의 길이를 수정할 수 있습니다.이 경우 15분으로 변경됩니다.Apply(적용)를 클릭하여 계속합니다.

    

13. 주 메뉴에서 Configuration을 선택한 다음 Pending을 선택하고 보류 중인 구성이 올바른지 확인한 다음 Save를 클릭합니다.

    

14. 컨피그레이션 변경 사항을 센서에 푸시하려면 Deployment(구축) > Generate(생성)를 선택하고 Apply(적용)를 클릭하여 변경 사항을 생성한 다음 배포합니다.

    

15. Deployment(구축) > Deploy(구축)를 선택한 다음 Submit(제출)을 클릭합니다.

16. 센서 옆의 확인란을 선택한 다음 구축을 클릭합니다.

17. 큐의 작업에 대한 확인란을 선택한 다음 다음을 클릭하여 계속 진행합니다.

    

18. [작업 이름]을 입력하고 작업을 [즉시]로 예약한 다음 [마침]을 클릭합니다.

    

19. Deployment(구축) > Deploy(구축) > Pending(보류 중)을 선택합니다.

    보류 중인 모든 작업이 완료될 때까지 잠시 기다려 주십시오.그러면 큐가 비어 있습니다.

20. 구축을 확인하려면 Configuration(컨피그레이션) > History(기록)를 선택합니다.

    컨피그레이션의 상태가 Deployed(구축됨)로 표시되는지 확인합니다.즉, 센서 컨피그레이션이 성공적으로 업데이트되었습니다.

    

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

공격 및 차단 실행

차단 프로세스가 올바르게 작동하는지 확인하려면 테스트 공격을 시작하고 결과를 확인합니다.

1. 공격을 시작하기 전에 VPN/Security Management Solution(VPN/보안 관리 솔루션) > Monitoring Center(모니터링 센터) > Security Monitor(보안 모니터)를 선택합니다.

2. 주 메뉴에서 Monitor를 선택하고 Events를 클릭한 다음 Launch Event Viewer를 클릭합니다.

   

3. 라우터에 텔넷(이 경우, 집 라우터에 텔넷)하여 센서에서 통신을 확인합니다.

   house#show user 
       Line       User       Host(s)              Idle       Location 
   *  0 con 0                idle                 00:00:00 
    226 vty 0                idle                 00:00:17 10.66.79.195 
   house#show access-list 
   Extended IP access list IDS_Ethernet1_in_0 
       10 permit ip host 10.66.79.195 any 
       20 permit ip any any (20 matches) 
   House# 

4. 공격을 시작하려면 한 라우터에서 다른 라우터로 텔넷하고 testattack을 입력합니다.

   이 경우 텔넷을 사용하여 Light 라우터에서 House 라우터에 연결합니다.testattack을 입력한 후 <space> 또는 <enter>를 누르자마자 텔넷 세션을 재설정해야 합니다.

   light#telnet 100.100.100.1 
   Trying 100.100.100.1 ... Open 
   User Access Verification 
   Password: 
   house>en 
   Password: 
   house#testattack 
   
   !--- Host 100.100.100.2 has been blocked due to the !--- signature "testattack" being triggered.
   
   [Connection to 100.100.100.1 lost]
   

5. 라우터(House)에 텔넷하고 show access-list 명령을 입력합니다.

   house#show access-list 
   Extended IP access list IDS_Ethernet1_in_1 
   10 permit ip host 10.66.79.195 any
   
   !--- You will see a temporary entry has been added to !--- the access list to block the router from which you connected via Telnet previously.
   
   20 deny ip host 100.100.100.2 any (37 matches) 
   30 permit ip any any 

6. 이벤트 뷰어에서 Query Database for new events now를 클릭하여 이전에 시작된 공격에 대한 알림을 확인합니다.

   

7. 이벤트 뷰어에서 알람을 강조 표시하고 마우스 오른쪽 버튼으로 클릭한 다음 View Context Buffer 또는 View NSDB를 선택하여 경보에 대한 자세한 정보를 봅니다.

   참고: NSDB는 Cisco Secure Encyclopedia(등록된 고객만 해당)에서도 온라인으로 제공됩니다.

   

문제 해결

문제 해결 절차

트러블슈팅을 위해 다음 절차를 사용합니다.

1. IDS MC에서 Reports > Generate를 선택합니다.

   문제 유형에 따라 7개의 사용 가능한 보고서 중 하나에서 자세한 내용을 확인할 수 있습니다.

   

2. Sensor 콘솔에서 show statistics network access 명령을 입력하고 출력을 확인하여 "state"가 활성 상태인지 확인합니다.

   sensor5#show statistics networkAccess 
   Current Configuration 
      AllowSensorShun = false 
      ShunMaxEntries = 100 
      NetDevice 
         Type = Cisco 
         IP = 10.66.79.210 
         NATAddr = 0.0.0.0 
         Communications = telnet 
         ShunInterface 
            InterfaceName = FastEthernet0/1 
            InterfaceDirection = in 
   State 
      ShunEnable = true 
      NetDevice 
         IP = 10.66.79.210 
         AclSupport = uses Named ACLs 
         State = Active 
      ShunnedAddr 
         Host 
            IP = 100.100.100.2 
            ShunMinutes = 15 
            MinutesRemaining = 12 
   sensor5# 

3. 3DES를 사용하는 텔넷 또는 SSH(Secure Shell)와 같은 올바른 프로토콜이 사용되고 있음을 통신 매개 변수가 표시하는지 확인합니다.

   PC의 SSH/텔넷 클라이언트에서 수동 SSH 또는 텔넷을 사용해 사용자 이름과 비밀번호 자격 증명이 올바른지 확인할 수 있습니다.그런 다음 센서 자체에서 라우터로 텔넷 또는 SSH를 시도하여 성공적으로 로그인할 수 있도록 할 수 있습니다.

관련 정보

• Cisco Secure Intrusion Detection 지원 페이지
• CiscoWorks VPN/보안 관리 솔루션 지원
• 기술 지원 및 문서 − Cisco Systems