O Cisco Intrusion Detection System (IDS) Diretor e Sensor podem ser usados para gerenciar um roteador Cisco para evitar. Neste documento, um Sensor (sensor-2) é configurado para detectar ataques no roteador "House" e para comunicar essas informações ao Diretor "dir3". Uma vez configurado, um ataque é iniciado (ping com mais de 1024 bytes, que é a assinatura 2151, e uma inundação de Internet Control Message Protocol [ICMP], que é a assinatura 2152) do roteador "Light". O sensor detecta o ataque e o comunica ao diretor. Uma lista de controle de acesso (ACL) é baixada para o roteador para evitar o tráfego do invasor. No host do invasor inalcançável é mostrado, e na vítima a ACL baixada é mostrada.
Antes de você tentar esta configuração, verifique se estes requisitos são atendidos:
Instale o sensor e verifique se ele está funcionando corretamente.
Certifique-se de que a interface de farejamento se estenda até a interface externa do roteador.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco IDS Diretor 2.2.3
Cisco IDS Sensor 3.0.5
Cisco IOS® Router com 12.2.6
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).
Este documento utiliza a configuração de rede mostrada neste diagrama.
Este documento utiliza estas configurações.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Current configuration : 2187 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! enable password cisco ! ! ! ip subnet-zero ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 !--- After you configure shunning, IDS Sensor puts this line in. ip access-group IDS_FastEthernet0/0_in_1 in duplex auto speed auto ! interface FastEthernet0/1 ip address 10.64.10.45 255.255.255.224 duplex auto speed auto ! ! ! interface FastEthernet4/0 no ip address shutdown duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.33 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server ip pim bidir-enable ! ! !--- After you configure shunning, IDS Sensor puts these lines in. ip access-list extended IDS_FastEthernet0/0_in deny ip host 100.100.100.2 any permit ip host 10.64.10.49 any permit ip any any ! snmp-server manager ! call RSVP-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! ! end house# |
Conclua estas etapas para configurar o sensor.
Faça Telnet para 10.64.10.49 com o nome de usuário root e a senha ataque.
Insira sysconfig-sensor.
Quando solicitado, insira as informações de configuração, conforme mostrado neste exemplo.
1 - IP Address: 10.64.10.49 2 - IP Netmask: 255.255.255.224 3 - IP Host Name: sensor-2 4 - Default Route 10.64.10.33 5 - Network Access Control 64. 10. 6 - Communications Infrastructure Sensor Host ID: 49 Sensor Organization ID: 900 Sensor Host Name: sensor-2 Sensor Organization Name: cisco Sensor IP Address: 10.64.10.49 IDS Manager Host ID: 50 IDS Manager Organization ID: 900 IDS Manager Host Name: dir3 IDS Manager Organization Name: cisco IDS Manager IP Address: 10.64.21.50
Quando solicitado, salve a configuração e permita que o sensor seja reinicializado.
Conclua estas etapas para adicionar o sensor ao Diretor.
Faça Telnet para 10.64.21.50 com o nome de usuário netrangr e a senha ataque.
Digite ovw& para iniciar o HP OpenView.
No menu principal, selecione Security > Configure.
No Utilitário de Gerenciamento de Arquivos de Configuração, selecione Arquivo > Adicionar Host e clique em Próximo.
Este é um exemplo de como preencher as informações solicitadas.
Aceite a configuração padrão para o tipo de máquina e clique em Avançar, como mostrado neste exemplo.
Altere os minutos de log e shun ou deixe-os como o padrão se os valores forem aceitáveis. Altere o nome da interface de rede para o nome da interface de farejamento.
Neste exemplo, é "iprb0." Pode ser "spwr0" ou qualquer outra coisa, dependendo do tipo de sensor e de como você conecta o sensor.
Clique em Avançar até que haja uma opção para clicar em Concluir.
Você adicionou com êxito o sensor ao Diretor. No menu principal, você verá sensor-2, como neste exemplo.
Conclua estas etapas para configurar o shunning para o roteador Cisco IOS.
No menu principal, selecione Security > Configure.
No Utilitário de gerenciamento de arquivos de configuração, realce sensor-2 e clique duas vezes nele.
Abra o Gerenciamento de dispositivos.
Clique em Devices > Add e insira as informações como mostrado neste exemplo. Clique em OK para continuar.
As senhas Telnet e enable correspondem ao que está na "Casa" do roteador.
Clique em Interfaces > Add, insira essas informações e clique em OK para continuar.
Clique em Shunning > Add e selecione sensor-2.cisco como o servidor de shunning. Feche a janela Gerenciamento de dispositivos quando terminar.
Abra a janela Intrusion Detection e clique em Protected Networks. Adicione o intervalo 10.64.10.1 a 10.64.10.254 na rede protegida, como mostrado neste exemplo.
Clique em Profile > Manual Configuration.
Selecione Modify Signatures > Large ICMP Traffic com um ID igual a 2151.
Clique em Modificar, altere a Ação de Nenhum para Shun & Log e clique em OK para continuar.
Escolha Inundação ICMP com um ID 2152 e clique em Modificar. Altere Action de None para Shun & Log e clique em OK para continuar.
Clique em OK para fechar a janela Intrusion Detection.
Abra a pasta Arquivos do sistema e a janela Daemons.
Certifique-se de ter habilitado estes daemons:
Clique em OK para continuar, escolha a versão que acabou de ser modificada, clique em Salvar e em Aplicar.
Aguarde até que o sistema informe que o Sensor terminou de reiniciar os serviços e, em seguida, feche todas as janelas para a Configuração do Diretor.
Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
show access-list - Lista as instruções do comando access-list na configuração do roteador. Ele também lista uma contagem de ocorrências que indica o número de vezes que um elemento foi correspondido durante uma pesquisa de comando access-list.
ping - Usado para diagnosticar a conectividade básica da rede.
Antes de iniciar um ataque, emita estes comandos.
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house# light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms light#
Inicie seu ataque do roteador "Light" para a vítima "House". Quando a ACL entra em vigor, os inalcançáveis são vistos.
light#ping Protocol [ip]: Target IP address: 10.64.10.45 Repeat count [5]: 1000000 Datagram size [100]: 18000 Timeout in seconds [2]: Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.
Depois que o sensor tiver detectado o ataque, a ACL será baixada e essa saída será exibida em "House".
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_0 permit ip host 10.64.10.49 any deny ip host 100.100.100.2 any (459 matches) permit ip any any
Os inalcançáveis ainda são vistos em "Luz", como mostrado neste exemplo.
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5)
Quinze minutos mais tarde, "House" volta ao normal, porque o shunning foi ajustado para 15 minutos.
House#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house#
"Light" pode fazer ping em "House".
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
05-Sep-2001 |
Versão inicial |