Configurando o Shunning em um UNIX Diretor

Opções de download

  • PDF     (343.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (160.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (346.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de janeiro de 2006
ID do documento:3901

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Cisco Intrusion Detection System (IDS) Diretor e Sensor podem ser usados para gerenciar um roteador Cisco para evitar. Neste documento, um Sensor (sensor-2) é configurado para detectar ataques no roteador "House" e para comunicar essas informações ao Diretor "dir3". Uma vez configurado, um ataque é iniciado (ping com mais de 1024 bytes, que é a assinatura 2151, e uma inundação de Internet Control Message Protocol [ICMP], que é a assinatura 2152) do roteador "Light". O sensor detecta o ataque e o comunica ao diretor. Uma lista de controle de acesso (ACL) é baixada para o roteador para evitar o tráfego do invasor. No host do invasor inalcançável é mostrado, e na vítima a ACL baixada é mostrada.

Pré-requisitos

Requisitos

Antes de você tentar esta configuração, verifique se estes requisitos são atendidos:

  • Instale o sensor e verifique se ele está funcionando corretamente.

  • Certifique-se de que a interface de farejamento se estenda até a interface externa do roteador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IDS Diretor 2.2.3

  • Cisco IDS Sensor 3.0.5

  • Cisco IOS® Router com 12.2.6

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

shunning_director1.gif

Configurações

Este documento utiliza estas configurações.

Luz do Roteador 
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Companhia do Roteador 
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Configure o sensor

Conclua estas etapas para configurar o sensor.

  1. Faça Telnet para 10.64.10.49 com o nome de usuário root e a senha ataque.

  2. Insira sysconfig-sensor.

  3. Quando solicitado, insira as informações de configuração, conforme mostrado neste exemplo.

    1 - IP Address: 10.64.10.49
2 - IP Netmask: 255.255.255.224
3 - IP Host Name:  sensor-2 
4 - Default Route     10.64.10.33
5 - Network Access Control 
         64. 
         10.
6 - Communications Infrastructure
Sensor Host ID: 49
Sensor Organization ID:     900
Sensor Host Name: sensor-2
Sensor Organization Name:   cisco
Sensor IP Address:        10.64.10.49
IDS Manager Host ID: 50
IDS Manager Organization ID:   900
IDS Manager Host Name:        dir3
IDS Manager Organization Name: cisco
IDS Manager IP Address:        10.64.21.50

  4. Quando solicitado, salve a configuração e permita que o sensor seja reinicializado.

Adicione o sensor ao Diretor

Conclua estas etapas para adicionar o sensor ao Diretor.

  1. Faça Telnet para 10.64.21.50 com o nome de usuário netrangr e a senha ataque.

  2. Digite ovw& para iniciar o HP OpenView.

  3. No menu principal, selecione Security > Configure.

  4. No Utilitário de Gerenciamento de Arquivos de Configuração, selecione Arquivo > Adicionar Host e clique em Próximo.

  5. Este é um exemplo de como preencher as informações solicitadas.

    shunning_directora.gif

  6. Aceite a configuração padrão para o tipo de máquina e clique em Avançar, como mostrado neste exemplo.

    shunning_directorb.gif

  7. Altere os minutos de log e shun ou deixe-os como o padrão se os valores forem aceitáveis. Altere o nome da interface de rede para o nome da interface de farejamento.

    Neste exemplo, é "iprb0." Pode ser "spwr0" ou qualquer outra coisa, dependendo do tipo de sensor e de como você conecta o sensor.

    shunning_directorc.gif

  8. Clique em Avançar até que haja uma opção para clicar em Concluir.

    Você adicionou com êxito o sensor ao Diretor. No menu principal, você verá sensor-2, como neste exemplo.

    shunning_directord.gif

Configurar o Shunning para o Cisco IOS Router

Conclua estas etapas para configurar o shunning para o roteador Cisco IOS.

  1. No menu principal, selecione Security > Configure.

  2. No Utilitário de gerenciamento de arquivos de configuração, realce sensor-2 e clique duas vezes nele.

  3. Abra o Gerenciamento de dispositivos.

  4. Clique em Devices > Add e insira as informações como mostrado neste exemplo. Clique em OK para continuar.

    As senhas Telnet e enable correspondem ao que está na "Casa" do roteador.

    shunning_directore.gif

  5. Clique em Interfaces > Add, insira essas informações e clique em OK para continuar.

    shunning_directorf.gif

  6. Clique em Shunning > Add e selecione sensor-2.cisco como o servidor de shunning. Feche a janela Gerenciamento de dispositivos quando terminar.

    shunning_directorg.gif

  7. Abra a janela Intrusion Detection e clique em Protected Networks. Adicione o intervalo 10.64.10.1 a 10.64.10.254 na rede protegida, como mostrado neste exemplo.

    shunning_directorh.gif

  8. Clique em Profile > Manual Configuration.

  9. Selecione Modify Signatures > Large ICMP Traffic com um ID igual a 2151.

  10. Clique em Modificar, altere a Ação de Nenhum para Shun & Log e clique em OK para continuar.

    shunning_directorj.gif

  11. Escolha Inundação ICMP com um ID 2152 e clique em Modificar. Altere Action de None para Shun & Log e clique em OK para continuar.

    shunning_directori.gif

  12. Clique em OK para fechar a janela Intrusion Detection.

  13. Abra a pasta Arquivos do sistema e a janela Daemons.

    Certifique-se de ter habilitado estes daemons:

    shunning_directork.gif

  14. Clique em OK para continuar, escolha a versão que acabou de ser modificada, clique em Salvar e em Aplicar.

    Aguarde até que o sistema informe que o Sensor terminou de reiniciar os serviços e, em seguida, feche todas as janelas para a Configuração do Diretor.

    shunning_directorl.gif

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • show access-list - Lista as instruções do comando access-list na configuração do roteador. Ele também lista uma contagem de ocorrências que indica o número de vezes que um elemento foi correspondido durante uma pesquisa de comando access-list.

  • ping - Usado para diagnosticar a conectividade básica da rede.

Antes do início de um ataque

Antes de iniciar um ataque, emita estes comandos.

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

Inicie o ataque e a prevenção

Inicie seu ataque do roteador "Light" para a vítima "House". Quando a ACL entra em vigor, os inalcançáveis são vistos.

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

Depois que o sensor tiver detectado o ataque, a ACL será baixada e essa saída será exibida em "House".

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

Os inalcançáveis ainda são vistos em "Luz", como mostrado neste exemplo.

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

Quinze minutos mais tarde, "House" volta ao normal, porque o shunning foi ajustado para 15 minutos.

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

"Light" pode fazer ping em "House".

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
05-Sep-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos