IDS PIX Shunning met Cisco IDS UNIX Director

Inleiding

Dit document beschrijft hoe u shunning op een PIX kunt configureren met behulp van Cisco IDS UNIX Director (voorheen bekend als Network Director) en Sensor. In dit document wordt ervan uitgegaan dat de sensor en de directeur operationeel zijn en dat de snuffelinterface van de sensor is ingesteld om de buiteninterface van PIX te beslaan.

Voorwaarden

Vereisten

Er zijn geen specifieke voorwaarden van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies.

• Cisco IDS UNIX Director 2.2.3

• Cisco IDS UNIX sensor 3.0.5

• Cisco Secure PIX-module met 6.1.1

  Opmerking: als u de 6.2.x-versie gebruikt, kunt u SSH-beheer (Secure Shell Protocol) gebruiken, maar niet Telnet. Raadpleeg Cisco bug-id CSCdx5215 (alleen geregistreerde klanten) voor meer informatie.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

In deze sectie vindt u de informatie die wordt gebruikt om de functies te configureren die in dit document worden beschreven.

Cisco IDS UNIX Director en Sensor worden gebruikt voor het beheer van een Cisco Secure PIX voor Shunning. Wanneer u deze configuratie overweegt, herinner deze concepten:

• Installeer de sensor en controleer of de sensor correct werkt.

• Zorg ervoor dat de snuffelinterface naar de buiteninterface van de PIX loopt.

Opmerking: raadpleeg de Command Lookup Tool (alleen geregistreerde klanten) om extra informatie over de in dit document gebruikte opdrachten te vinden.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd.

Configuraties

Dit document gebruikt de volgende configuraties.

• Routerverlichting

• PIX Tiger

Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

PIX Version 6.1(1)
nameif gb-ethernet0 intf2 security10
nameif gb-ethernet1 intf3 security15
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 9jNfZuG3TC5tCVH0 encrypted
hostname Tiger
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Allows ICMP traffic and HTTP to pass through the PIX !--- to the Web Server.

access-list 101 permit icmp any host 100.100.100.100 
access-list 101 permit tcp any host 100.100.100.100 eq www 
pager lines 24
logging on    
logging buffered debugging
interface gb-ethernet0 1000auto shutdown
interface gb-ethernet1 1000auto shutdown
interface ethernet0 auto
interface ethernet1 auto
mtu intf2 1500
mtu intf3 1500
mtu outside 1500
mtu inside 1500
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address outside 100.100.100.1 255.255.255.0
ip address inside 10.66.79.203 255.255.255.224
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Static NAT for the Web Server.

static (inside,outside) 100.100.100.100 10.66.79.204 
  netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
route inside 10.66.0.0 255.255.0.0 10.66.79.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
  h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol tacacs+ 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat

!--- Allows Sensor Telnet to the PIX from the inside interface.

telnet 10.66.79.199 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:b4c820ba31fbb3996ca8891503ebacbc
: end         

De sensor configureren

Deze stappen beschrijven hoe de sensor te configureren.

1. Telnet naar 10.66.79.1999 met gebruikersnaam root en wachtwoord aanval.

2. Voer de sysconfig-sensor in.

3. Voer deze informatie in:

   1. IP-adres: 10.66.79.1999

   2. IP-netwerkmasker: 255.255.255.224

   3. IP-hostnaam: sensor-2

   4. Standaard router: 10.66.79.193

   5. Netwerktoegangscontrole

      10.

   6. Communicatie-infrastructuur

      Sensor host-id: 49

      Sensor organisatie-ID: 900

      Sensor hostnaam: sensor-2

      Sensor Organisatie Naam: cisco

      IP-adres sensor: 10.66.79.1999

      IDS Manager host-id: 50

      IDS Manager organisatie-ID: 900

      IDS Manager hostnaam: dir3

      IDS Manager organisatienaam: cisco

      IP-adres voor IDS Manager: 10.66.79.201

4. Sla de configuratie op. De sensor start vervolgens opnieuw op.

De sensor aan de Director toevoegen

Voltooi deze stappen om de sensor aan de Director toe te voegen.

1. Telnet naar 10.66.79.201 met gebruikersnaam en wachtwoord aanval.

2. Typ ovw& om HP OpenView te starten.

3. Selecteer in het hoofdmenu Beveiliging > Configureren.

4. Selecteer in het menu Netwerkconfiguratie de optie Bestand > Host toevoegen en klik op Volgende.

5. Typ deze informatie en klik op Volgende.

   

6. Laat de standaardinstellingen staan en klik op Volgende.

   

7. Wijzig het logbestand en schuif minuten of laat ze als standaard staan als de waarden acceptabel zijn. Verander de naam van de netwerkinterface in de naam van uw selecterende interface. In dit voorbeeld is het "iprb0". Het kan zijn "spwr0" of iets anders gebaseerd op het Sensor type en hoe u de Sensor aansluit.

   

8. Klik op Volgende totdat er een optie is om op Voltooien te klikken.

   De sensor wordt nu met succes toegevoegd aan de Director. Vanuit het hoofdmenu wordt sensor-2 weergegeven, zoals in dit voorbeeld.

   

Shunning voor PIX configureren

Voltooi deze stappen om shunning voor PIX te configureren.

1. Selecteer in het hoofdmenu Beveiliging > Configureren.

2. Markeer sensor-2 in het menu Netwerkconfiguratie en dubbelklik erop.

3. Open apparaatbeheer.

4. Klik op Apparaten > Toevoegen en voer de informatie in zoals in dit voorbeeld. Klik op OK om verder te gaan. Telnet en Enable password zijn beide "Cisco".

   

5. Klik op Shunning > Add. Voeg host 100.100.100.100 toe onder "Adressen nooit aan hun." Klik op OK om verder te gaan.

   

6. Klik op Shunning > Add en selecteer sensor-2.cisco als de Shunning servers. Dit deel van de configuratie is voltooid. Sluit het venster Apparaatbeheer.

   

7. Open het venster voor inbraakdetectie en klik op Beschermde netwerken. Voeg 10.66.79.1 toe aan 10.66.79.254 in het beschermde netwerk.

   

8. Klik op Profiel en selecteer Handmatige configuratie > Handtekeningen wijzigen. Selecteer Large ICMP Traffic en ID: 2151, klik op Wijzigen en verander de actie van Geen in Shun en Log. Klik op OK om verder te gaan.

   

9. Selecteer ICMP Flood and ID: 2152, klik op Wijzigen en verander de actie van Geen naar Shun en Log. Klik op OK om verder te gaan.

   

10. Dit gedeelte van de configuratie is voltooid. Klik op OK om het venster voor inbraakdetectie te sluiten.

11. Open de map Systeembestanden en open het venster Daemons. Zorg ervoor dat u deze daemons heeft ingeschakeld:

    

12. Klik op OK om verder te gaan en selecteer de versie die u zojuist hebt gewijzigd. Klik op Opslaan > Toepassen. Wacht tot het systeem u laat weten dat de Sensor is voltooid, start Services opnieuw op en sluit alle vensters voor de Netranger-configuratie.

    

Verifiëren

Deze sectie verschaft informatie die u helpt om te bevestigen dat uw configuratie correct werkt.

Voordat u de aanval start

Tiger(config)# show telnet 
10.66.79.199 255.255.255.255 inside 
Tiger(config)# who 
        0: 10.66.79.199 

Tiger(config)# show xlate 
1 in use, 1 most used 
Global 100.100.100.100 Local 10.66.79.204 static 

Light#ping 100.100.100.100 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 112/195/217 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open

Start de aanval en Shunning

Light#ping 
Protocol [ip]: 
Target IP address: 100.100.100.100 
Repeat count [5]: 100000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 100000, 18000-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!.................... 
Success rate is 4 percent (1/21), round-trip min/avg/max = 281/281/281 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... 
% Connection timed out; remote host not responding 

Tiger(config)# show shun 
Shun 100.100.100.2 0.0.0 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=ON, cnt=2604 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 
Shun 100.100.100.2 cnt=403, time=(0:01:00).0 0 0 

Vijftien minuten later gaat het weer normaal, want de glans is ingesteld op vijftien minuten.

Tiger(config)# show shun 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=OFF, cnt=4437 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 

Light#ping 100.100.100.100
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open 

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

• End-of-sale voor Cisco IDS-directeur
• Software voor End-of-Life voor Cisco IDS Sensor, versie 3.x
• Cisco-productondersteuning voor inbraakpreventiesysteem
• Productondersteuning voor Cisco PIX-firewall-software
• Referenties voor Cisco Secure PIX-firewall-opdracht
• Technische ondersteuning en documentatie – Cisco Systems