Este documento descreve como configurar um IDS (Intrusion Detection System, sistema de detecção de intrusão) Diretor e Sensor para enviar redefinições de TCP em uma tentativa de Telnet para um intervalo de endereços que incluem o roteador gerenciado se a string enviada for "testattack".
Ao considerar esta configuração, lembre-se de:
Instale o sensor e verifique se ele funciona corretamente antes de executar essa configuração.
Certifique-se de que a interface de sniffing se estenda à interface externa do roteador gerenciado.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco IDS Diretor 2.2.3
Cisco IDS Sensor 3.0.5
Cisco IOS® Router executando o Software Release 12.2.6
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).
Este documento utiliza a configuração de rede mostrada neste diagrama.
Este documento utiliza estas configurações.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Current configuration : 2187 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! enable password cisco ! ! ! ip subnet-zero ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.64.10.45 255.255.255.224 duplex auto speed auto ! ! ! interface FastEthernet4/0 no ip address shutdown duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.33 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server ip pim bidir-enable ! ! ! snmp-server manager ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! ! end house# |
Conclua estes passos para configurar o sensor.
Faça Telnet para 10.64.10.49 (o sensor IDS) com o nome de usuário raiz e o ataque de senha.
Digite sysconfig-sensor.
Quando solicitado, insira as informações de configuração, como mostrado neste exemplo:
1 - IP Address: 10.64.10.49 2 - IP Netmask: 255.255.255.224 3 - IP Host Name: sensor-2 4 - Default Route: 10.64.10.33 5 - Network Access Control 64. 10. 6 - Communications Infrastructure Sensor Host ID: 49 Sensor Organization ID: 900 Sensor Host Name: sensor-2 Sensor Organization Name: cisco Sensor IP Address: 10.64.10.49 IDS Manager Host ID: 50 IDS Manager Organization ID: 900 IDS Manager Host Name: dir3 IDS Manager Organization Name: cisco IDS Manager IP Address: 10.64.21.50
Quando solicitado, salve a configuração e permita que o sensor reinicialize.
Conclua estes passos para adicionar o Sensor ao Diretor.
Faça Telnet para 10.64.21.50 (o IDS Diretor) com o nome de usuário netrangr e o ataque de senha.
Digite ovw& para iniciar o HP OpenView.
No Main Menu (Menu principal), vá para Security > Configure (Segurança > Configurar).
No Utilitário de gerenciamento de arquivos de configuração, vá para arquivo > Adicionar host e clique em Avançar.
Preencha as informações do host do sensor, como mostrado neste exemplo. Clique em Next.
Aceite as configurações padrão para o tipo de máquina e clique em Avançar, como mostrado neste exemplo.
Você pode alterar os minutos de log e shun ou aceitar os valores padrão. No entanto, você deve alterar o nome da interface de rede para o nome da interface de sniffing. Neste exemplo, é "iprb0". Pode ser "spwr0" ou qualquer outra coisa, dependendo do tipo de sensor e de como você conecta o sensor.
Continue clicando em Avançar e clique em Concluir para adicionar o sensor ao Diretor. No menu principal, agora você deve ver o sensor-2, como neste exemplo.
Conclua estes passos para configurar a redefinição de TCP para o roteador Cisco IOS.
No Main Menu (Menu principal), vá para Security > Configure (Segurança > Configurar).
No Utilitário de gerenciamento de arquivos de configuração, realce sensor-2 e clique duas vezes nele.
Abra o Gerenciamento de dispositivos.
Clique em Dispositivos > Adicionar. Insira as informações do dispositivo, como mostrado no exemplo a seguir. Clique em OK para continuar. As senhas Telnet e enable são da Cisco.
Abra a janela Intrusion Detection (Detecção de intrusão) e clique em Protected Networks. Adicione o intervalo de endereços de 10.64.10.1 a 10.64.10.254 à rede protegida.
Clique em Profile e selecione Manual Configuration. Em seguida, clique em Modificar assinaturas. Escolha Correspondentes com um ID 8000. Clique em Expandir > Adicionar para adicionar uma nova string chamada testattack. Digite as informações da string, como mostrado neste exemplo, e clique em OK para continuar.
Você concluiu esta parte da configuração. Clique em OK para fechar a janela Intrusion Detection (Detecção de intrusão).
Abra a pasta Arquivos do sistema e a janela Daemons. Certifique-se de que estes daemons estejam ativados:
Clique em OK para continuar.
Escolha a versão que acabou de modificar, clique em Salvar e em Aplicar. Aguarde até que o sistema informe que o Sensor concluiu a reinicialização dos serviços e feche todas as janelas da Configuração do Diretor.
Faça Telnet do roteador Light para o Router House e digite testattack. Assim que você pressiona a tecla Espaço ou Enter, sua sessão Telnet é redefinida. Você se conectará ao Router House.
light#telnet 10.64.10.45 Trying 10.64.10.45 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.64.10.45 closed by foreign host] !--- Telnet session has been reset because the !--- signature testattack was triggered.
No momento, não há procedimento de verificação disponível para esta configuração.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Faça Telnet para 10.64.10.49, o Sensor, usando o nome de usuário raiz e o ataque de senha. Digite cd /usr/nr/etc. Digite cat packetd.conf. Se você definir corretamente a redefinição do TCP para o testattack, verá quatro (4) no campo Códigos de ação. Indica a redefinição do TCP como mostrado neste exemplo.
netrangr@sensor-2:/usr/nr/etc >cat packetd.conf | grep "testattack" RecordOfStringName 51304 23 3 1 "testattack" SigOfStringMatch 51304 4 5 5 # "testattack"
Se você acidentalmente definir a ação como "nenhum" na assinatura, verá um zero (0) no campo Códigos de ação. Isso indica nenhuma ação como vista neste exemplo.
netrangr@sensor-2:/usr/nr/etc >cat packetd.conf | grep "testattack" RecordOfStringName 51304 23 3 1 "testattack" SigOfStringMatch 51304 0 5 5 # "testattack"
As redefinições de TCP são enviadas da interface de farejamento do sensor. Se houver um switch conectando a interface do sensor à interface externa do roteador gerenciado, ao configurar usando o comando set span no switch, use esta sintaxe:
set spanboth inpkts enable
banana (enable) set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable) show span Destination : Port 3/6 !--- Connect to sniffing interface of the Sensor. Admin Source : Port 2/12 !--- Connect to FastEthernet0/0 of Router House. Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Learning : enabled Multicast : enabled
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
08-Oct-2018 |
Versão inicial |