Introduction

Este documento descreve como configurar um IDS (Intrusion Detection System, sistema de detecção de intrusão) Diretor e Sensor para enviar redefinições de TCP em uma tentativa de Telnet para um intervalo de endereços que incluem o roteador gerenciado se a string enviada for "testattack".

Prerequisites

Requirements

Ao considerar esta configuração, lembre-se de:

• Instale o sensor e verifique se ele funciona corretamente antes de executar essa configuração.

• Certifique-se de que a interface de sniffing se estenda à interface externa do roteador gerenciado.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco IDS Diretor 2.2.3

• Cisco IDS Sensor 3.0.5

• Cisco IOS^® Router executando o Software Release 12.2.6

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

Configurações

Este documento utiliza estas configurações.

• Luz do Roteador

• Companhia do Roteador

Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!
!
snmp-server manager
!
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Configure o sensor

Conclua estes passos para configurar o sensor.

1. Faça Telnet para 10.64.10.49 (o sensor IDS) com o nome de usuário raiz e o ataque de senha.

2. Digite sysconfig-sensor.

3. Quando solicitado, insira as informações de configuração, como mostrado neste exemplo:

   1 - IP Address:  10.64.10.49 
   2 - IP Netmask:  255.255.255.224 
   3 - IP Host Name:  sensor-2 
   4 - Default Route:  10.64.10.33
   5 - Network Access Control 
            64. 
            10.
   6 - Communications Infrastructure
   Sensor Host ID:  49
   Sensor Organization ID:  900
   Sensor Host Name:  sensor-2
   Sensor Organization Name:  cisco
   Sensor IP Address:  10.64.10.49
   IDS Manager Host ID:  50
   IDS Manager Organization ID:  900
   IDS Manager Host Name:  dir3
   IDS Manager Organization Name:  cisco
   IDS Manager IP Address:  10.64.21.50
   

4. Quando solicitado, salve a configuração e permita que o sensor reinicialize.

Adicione o sensor ao diretor

Conclua estes passos para adicionar o Sensor ao Diretor.

1. Faça Telnet para 10.64.21.50 (o IDS Diretor) com o nome de usuário netrangr e o ataque de senha.

2. Digite ovw& para iniciar o HP OpenView.

3. No Main Menu (Menu principal), vá para Security > Configure (Segurança > Configurar).

4. No Utilitário de gerenciamento de arquivos de configuração, vá para arquivo > Adicionar host e clique em Avançar.

5. Preencha as informações do host do sensor, como mostrado neste exemplo. Clique em Next.

   

6. Aceite as configurações padrão para o tipo de máquina e clique em Avançar, como mostrado neste exemplo.

   

7. Você pode alterar os minutos de log e shun ou aceitar os valores padrão. No entanto, você deve alterar o nome da interface de rede para o nome da interface de sniffing. Neste exemplo, é "iprb0". Pode ser "spwr0" ou qualquer outra coisa, dependendo do tipo de sensor e de como você conecta o sensor.

   

8. Continue clicando em Avançar e clique em Concluir para adicionar o sensor ao Diretor. No menu principal, agora você deve ver o sensor-2, como neste exemplo.

   

Configurar a redefinição de TCP para o roteador Cisco IOS

Conclua estes passos para configurar a redefinição de TCP para o roteador Cisco IOS.

1. No Main Menu (Menu principal), vá para Security > Configure (Segurança > Configurar).

2. No Utilitário de gerenciamento de arquivos de configuração, realce sensor-2 e clique duas vezes nele.

3. Abra o Gerenciamento de dispositivos.

4. Clique em Dispositivos > Adicionar. Insira as informações do dispositivo, como mostrado no exemplo a seguir. Clique em OK para continuar. As senhas Telnet e enable são da Cisco.

   

5. Abra a janela Intrusion Detection (Detecção de intrusão) e clique em Protected Networks. Adicione o intervalo de endereços de 10.64.10.1 a 10.64.10.254 à rede protegida.

   

6. Clique em Profile e selecione Manual Configuration. Em seguida, clique em Modificar assinaturas. Escolha Correspondentes com um ID 8000. Clique em Expandir > Adicionar para adicionar uma nova string chamada testattack. Digite as informações da string, como mostrado neste exemplo, e clique em OK para continuar.

   

7. Você concluiu esta parte da configuração. Clique em OK para fechar a janela Intrusion Detection (Detecção de intrusão).

8. Abra a pasta Arquivos do sistema e a janela Daemons. Certifique-se de que estes daemons estejam ativados:

   

9. Clique em OK para continuar.

10. Escolha a versão que acabou de modificar, clique em Salvar e em Aplicar. Aguarde até que o sistema informe que o Sensor concluiu a reinicialização dos serviços e feche todas as janelas da Configuração do Diretor.

    

Iniciar o ataque de TCP Reset (RST)

Faça Telnet do roteador Light para o Router House e digite testattack. Assim que você pressiona a tecla Espaço ou Enter, sua sessão Telnet é redefinida. Você se conectará ao Router House.

light#telnet 10.64.10.45 
Trying 10.64.10.45 ... Open 

User Access Verification 
Password: 
house>en 
Password: 
house#testattack 
[Connection to 10.64.10.45 closed by foreign host] 

!--- Telnet session has been reset because the !--- signature testattack was triggered.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Faça Telnet para 10.64.10.49, o Sensor, usando o nome de usuário raiz e o ataque de senha. Digite cd /usr/nr/etc. Digite cat packetd.conf. Se você definir corretamente a redefinição do TCP para o testattack, verá quatro (4) no campo Códigos de ação. Indica a redefinição do TCP como mostrado neste exemplo.

netrangr@sensor-2:/usr/nr/etc 
>cat packetd.conf | grep "testattack" 
RecordOfStringName 51304 23 3 1 "testattack" 
SigOfStringMatch 51304 4 5 5 # "testattack"

Se você acidentalmente definir a ação como "nenhum" na assinatura, verá um zero (0) no campo Códigos de ação. Isso indica nenhuma ação como vista neste exemplo.

netrangr@sensor-2:/usr/nr/etc 
>cat packetd.conf | grep "testattack" 
RecordOfStringName 51304 23 3 1 "testattack" 
SigOfStringMatch 51304 0 5 5 # "testattack"

As redefinições de TCP são enviadas da interface de farejamento do sensor. Se houver um switch conectando a interface do sensor à interface externa do roteador gerenciado, ao configurar usando o comando set span no switch, use esta sintaxe:

set span 
      
      
      
      
       
       
       
       
       
        
        
        
         both inpkts enable 
       
       
       
        
      
      
      
      

banana (enable) set span 2/12 3/6 both inpkts enable 
Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
Incoming Packets enabled. Learning enabled. Multicast enabled. 
banana (enable) 
banana (enable) 
banana (enable) show span 

Destination     : Port 3/6   

!--- Connect to sniffing interface of the Sensor.
 
Admin Source    : Port 2/12  

!--- Connect to FastEthernet0/0 of Router House.
 
Oper Source     : Port 2/12 
Direction       : transmit/receive 
Incoming Packets: enabled 
Learning        : enabled 
Multicast       : enabled 

Informações Relacionadas

• Field Notices
• Página de suporte do Cisco Secure Intrusion Prevention