Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Exemplo de configuração de Shunning/Blocking no IPS para ASA/PIX/IOS Router

Opções de download

  • PDF     (212.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (90.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (83.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de Setembro de 2020
ID do documento:111001
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o shunning em um PIX/ASA/Cisco IOS Router com a ajuda do Cisco IPS. O ARC, o aplicativo de bloqueio no sensor, inicia e interrompe blocos em roteadores, Cisco 5000 RSM e Catalyst 6500 Series Switches, PIX Firewalls, FWSM e ASA. O ARC emite um bloco ou um shun para o dispositivo gerenciado para o endereço IP mal-intencionado. O ARC envia o mesmo bloco para todos os dispositivos que o sensor gerencia. Se um sensor de bloqueio primário estiver configurado, o bloco será encaminhado para e emitido a partir deste dispositivo.O ARC monitora o tempo para o bloco e remove o bloco quando o tempo expira.

    Quando você usa o IPS 5.1, deve-se ter cuidado especial ao enviar para os firewalls em modo de contexto múltiplo, pois nenhuma informação de VLAN é enviada com a solicitação shun.

    Nota: O bloqueio não é suportado no contexto admin de um FWSM de contexto múltiplo.

    Há três tipos de blocos:

    • Host block—Bloqueia todo o tráfego de um determinado endereço IP.

    • Bloco de conexão—Bloqueia o tráfego de um determinado endereço IP de origem para um determinado endereço IP de destino e porta de destino. Vários blocos de conexão do mesmo endereço IP de origem para um endereço IP de destino ou uma porta de destino diferente comutam automaticamente o bloco de um bloco de conexão para um bloco de host.

      Nota: Os blocos de conexão não são suportados por dispositivos de segurança. Os dispositivos de segurança só suportam blocos de host com informações opcionais de porta e protocolo.

    • Bloco de rede—Bloqueia todo o tráfego de uma determinada rede. Você pode iniciar o host e os blocos de conexão manualmente ou automaticamente quando uma assinatura é disparada. Você só pode iniciar blocos de rede manualmente.

    Para blocos automáticos, você deve escolher Solicitar Host de Bloco ou Solicitar Conexão de Bloco como a ação de evento para determinadas assinaturas, de modo que o SensorApp envie uma solicitação de bloco ao ARC quando a assinatura é disparada. Quando o ARC recebe a solicitação de bloqueio do SensorApp, ele atualiza as configurações do dispositivo para bloquear o host ou a conexão. Consulte Atribuindo Ações a Assinaturas, página 5-22 para obter mais informações sobre o procedimento para adicionar as ações de evento Solicitar Host de Bloco ou Solicitar Conexão de Bloco à assinatura. Consulte Configuração de Sobreposições de Ação de Evento, página 7-15 para obter mais informações sobre o procedimento para a configuração de substituições que adicionam as ações de evento Solicitar Host de Bloco ou Solicitar Conexão de Bloco a alarmes de classificações de risco específicas.

    Nos roteadores Cisco e nos switches da série Catalyst 6500, o ARC cria blocos aplicando ACLs ou VACLs. As ACLs e VACLs aplicam filtros às interfaces, que incluem direção, e VLANs, respectivamente, para permitir ou negar tráfego. . O PIX Firewall, o FWSM e o ASA não usam ACLs ou VACLs. Os comandos shun interno e no shun são usados.

    Essas informações são necessárias para a configuração do ARC:

    • ID do usuário de login, se o dispositivo estiver configurado com AAA

    • Senha de login

    • Habilitar senha, que não é necessária se o usuário tiver privilégios de habilitação

    • Interfaces a serem gerenciadas, por exemplo, ethernet0, vlan100

    • Qualquer informação de ACL ou VACL existente que você deseja aplicar no início (ACL de pré-bloco ou VACL) ou final (ACL de pós-bloco ou VACL) da ACL ou da VACL criada. Isso não se aplica a um PIX Firewall, FWSM ou ASA porque eles não usam ACLs ou VACLs para bloquear.

    • Se você usa Telnet ou SSH para se comunicar com o dispositivo

    • Endereços IP (host ou intervalo de hosts) que você nunca deseja bloquear

    • Quanto tempo você quer que os blocos durem

    Prerequisites

    Requirements

    Antes de configurar o ARC para bloqueio ou limitação de taxa, você deve concluir estas tarefas:

    • Analise sua topologia de rede para entender quais dispositivos devem ser bloqueados por qual sensor e quais endereços nunca devem ser bloqueados.

    • Reúna os nomes de usuário, senhas de dispositivo, senhas de ativação e tipos de conexões (Telnet ou SSH) necessários para fazer login em cada dispositivo.

    • Conheça os nomes das interfaces nos dispositivos.

    • Conheça os nomes da ACL de pré-bloqueio ou da VACL e da ACL de pós-bloqueio ou da VACL, se necessário.

    • Entenda quais interfaces devem e não devem ser bloqueadas e em que direção (entrada ou saída).

    Componentes Utilizados

    As informações neste documento são baseadas no Cisco Intrusion Prevention System 5.1 e posterior.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

    Nota: Por padrão, o ARC é configurado para um limite de 250 entradas de bloco. Consulte Dispositivos suportados para obter mais informações sobre a lista de dispositivos de bloqueio suportados pelo ARC.

    Convenções

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Informações de Apoio

    Use a página de bloqueio para definir as configurações básicas necessárias para ativar o bloqueio e a limitação de taxa.

    O ARC controla ações de bloqueio e limitação de taxa em dispositivos gerenciados.

    Você deve ajustar seu sensor para identificar hosts e redes que nunca devem ser bloqueados. É possível que o tráfego de um dispositivo confiável dispare uma assinatura. Se essa assinatura estiver configurada para bloquear o invasor, o tráfego legítimo da rede poderá ser afetado. O endereço IP do dispositivo pode ser listado na lista Nunca Bloquear para evitar esse cenário.

    Uma máscara de rede especificada em uma entrada Nunca Bloquear é aplicada ao endereço Nunca Bloquear. Se nenhuma máscara de rede for especificada, uma máscara /32 padrão será aplicada.

    Nota: Por padrão, o sensor não tem permissão para emitir um bloco para seu próprio endereço IP, pois isso interfere na comunicação entre o sensor e o dispositivo de bloqueio. Mas essa opção é configurável pelo usuário.

    Quando o ARC é configurado para gerenciar um dispositivo de bloqueio, os shuns e ACLs/VACLs do dispositivo de bloqueio que são usados para bloqueio não devem ser alterados manualmente. Isso pode causar uma interrupção do serviço ARC e fazer com que blocos futuros não sejam emitidos.

    Nota: Por padrão, somente o bloqueio é suportado em dispositivos Cisco IOS. Você pode substituir o padrão de bloqueio se escolher limite de taxa ou limite de taxa de adição de bloqueio.

    Para emitir ou alterar blocos, o usuário do IPS deve ter a função de Administrador ou Operador.

    Configure o sensor para gerenciar os roteadores Cisco

    Esta seção descreve como configurar o sensor para gerenciar os roteadores Cisco. Ele contém estes tópicos:

    Configurar perfis de usuário

    O sensor gerencia os outros dispositivos com o comando user-profile profile_name para configurar perfis de usuário. Os perfis de usuário contêm as informações de ID de usuário, senha e senha de ativação. Por exemplo, os roteadores que compartilham as mesmas senhas e nomes de usuário podem estar em um perfil de usuário.

    Nota: Você deve criar um perfil de usuário antes de configurar o dispositivo de bloqueio.

    Conclua estes passos para configurar perfis de usuário:

    1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

    2. Entre no modo de acesso à rede.

      sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#

    3. Crie o nome do perfil de usuário.

      sensor(config-net)#user-profiles PROFILE1

    4. digite o nome de usuário desse perfil de usuário.

      sensor(config-net-use)#username username

    5. Especifique a senha para o usuário.

      sensor(config-net-use)# password
Enter password[]: ********
Re-enter password ********

    6. Especifique a senha de ativação para o usuário.

      sensor(config-net-use)# enable-password
Enter enable-password[]: ********
Re-enter enable-password ********

    7. Verifique as configurações.

      sensor(config-net-use)#show settings
   profile-name: PROFILE1
   -----------------------------------------------
      enable-password: <hidden>
      password: <hidden>
      username: jsmith default:
   -----------------------------------------------
sensor(config-net-use)#

    8. Saia do submodo de acesso à rede.

      sensor(config-net-use)#exit
sensor(config-net)#exit
Apply Changes:?[yes]:

    9. Pressione Enter para aplicar as alterações ou digite não para descartá-las.

    Roteadores e ACLs

    Quando o ARC é configurado com um dispositivo de bloqueio que usa ACLs, as ACLs são compostas desta maneira:

    1. Uma linha de permissão com o endereço IP do sensor ou, se especificado, o endereço NAT do sensor

      Nota: Se você permitir que o sensor seja bloqueado, essa linha não aparecerá na ACL.

    2. ACL de pré-bloqueio (se especificado): Essa ACL já deve existir no dispositivo.

      Nota: O ARC lê as linhas na ACL pré-configurada e copia essas linhas para o início da ACL de bloco.

    3. Qualquer bloco ativo

    4. ACL pós-bloco ou permit ip any any:

      • ACL pós-bloco (se especificado):

        Essa ACL já deve existir no dispositivo.

        Nota: O ARC lê as linhas na ACL e copia essas linhas até o final da ACL.

        Nota: Verifique se a última linha na ACL é permit ip any any se quiser que todos os pacotes não correspondentes sejam permitidos.

      • permit ip any any (não usado se uma ACL pós-bloco for especificada)

    Nota: As ACLs que o ARC faz nunca devem ser modificadas por você ou por qualquer outro sistema. Essas ACLs são temporárias e novas ACLs são criadas constantemente pelo sensor. As únicas modificações que você pode fazer são as ACLs de pré e pós-bloco.

    Se precisar modificar a ACL de pré-bloqueio ou pós-bloqueio, faça o seguinte:

    1. Desative o bloqueio no sensor.

    2. Faça as alterações na configuração do dispositivo.

    3. Reative o bloqueio no sensor.

    Quando o bloqueio é reativado, o sensor lê a configuração do novo dispositivo.

    Nota: Um único sensor pode gerenciar vários dispositivos, mas vários sensores não podem gerenciar um único dispositivo. No caso de os blocos emitidos a partir de vários sensores se destinarem a um único dispositivo de bloqueio, deve ser incorporado no projeto um sensor de bloqueio primário. Um sensor de bloqueio primário recebe solicitações de bloqueio de vários sensores e emite todas as solicitações de bloqueio para o dispositivo de bloqueio.

    Você cria e salva ACLs de pré e pós-bloqueio na configuração do roteador. Essas ACLs devem ser ACLs IP estendidas, nomeadas ou numeradas. Consulte a documentação do roteador para obter mais informações sobre como criar ACLs.

    Nota: As ACLS pré e pós-bloco não se aplicam à limitação de taxa.

    As ACLs são avaliadas de cima para baixo e a ação de primeira correspondência é executada. A ACL de pré-bloqueio pode conter uma permissão que teria precedência sobre uma negação resultante de um bloco.

    A ACL de pós-bloco é usada para considerar quaisquer condições não tratadas pela ACL de pré-bloco ou blocos. Se você tiver uma ACL existente na interface e na direção em que os blocos são emitidos, essa ACL pode ser usada como a ACL de pós-bloco. Se você não tiver uma ACL de pós-bloco, o sensor insere permit ip any any no final da nova ACL.

    Quando o sensor é iniciado, ele lê o conteúdo das duas ACLs. Ele cria uma terceira ACL com estas entradas:

    • Uma linha de permissão para o endereço IP do sensor

    • Cópias de todas as linhas de configuração da ACL de pré-bloqueio

    • Uma linha de negação para cada endereço bloqueado pelo sensor

    • Cópias de todas as linhas de configuração da ACL pós-bloqueio

    O sensor aplica a nova ACL à interface e direção designadas.

    Nota: Quando a nova ACL de bloco é aplicada a uma interface do roteador, em uma direção específica, ela substitui qualquer ACL pré-existente nessa interface nessa direção.

    Configurar roteadores Cisco usando CLI

    Conclua estes passos para configurar um sensor para gerenciar um roteador Cisco para executar bloqueio e limitação de taxa:

    1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

    2. Entre no submodo de acesso à rede.

      sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#

    3. Especifique o endereço IP do roteador controlado pelo ARC.

      sensor(config-net)#router-devices ip_address

    4. Insira o nome do dispositivo lógico que você criou ao configurar o perfil de usuário.

      sensor(config-net-rou)#profile-name user_profile_name

      Nota: O ARC aceita tudo o que você digitar. Não verifica se o perfil de usuário existe.

    5. Especifique o método usado para acessar o sensor.

      sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}

      Se não especificado, SSH 3DES é usado.

      Nota: Se você usa DES ou 3DES, deve usar o comando ssh host-key ip_address para aceitar a chave SSH do dispositivo.

    6. Especifique o endereço NAT do sensor.

      sensor(config-net-rou)#nat-address nat_address

      Nota: Isso altera o endereço IP na primeira linha da ACL do endereço do sensor para o endereço NAT. O endereço NAT é o endereço do sensor, pós-NAT, traduzido por um dispositivo intermediário, localizado entre o sensor e o dispositivo de bloqueio.

    7. Especifique se o roteador executa bloqueio, limitação de taxa ou ambos.

      Nota: O padrão é bloquear. Você não precisa configurar os recursos de resposta se quiser que o roteador execute o bloqueio apenas.

      • Limitação de taxa somente

        sensor(config-net-rou)#response-capabilities rate-limit

      • Bloqueio e limitação de taxa

        sensor(config-net-rou)#response-capabilities block|rate-limit

    8. Especifique o nome e a direção da interface.

      sensor(config-net-rou)#block-interfaces interface_name {in | out}

      Nota: O nome da interface deve ser uma abreviação que o roteador reconhece quando usado após o comando interface.

    9. (Opcional) Adicione o nome pré-ACL (somente bloqueio).

      sensor(config-net-rou-blo)#pre-acl-name pre_acl_name

    10. (Opcional) Adicione o nome pós-ACL (somente bloqueio).

      sensor(config-net-rou-blo)#post-acl-name post_acl_name

    11. Verifique as configurações.

      sensor(config-net-rou-blo)#exit

sensor(config-net-rou)#show settings

   ip-address: 10.89.127.97
   -----------------------------------------------
      communication: ssh-3des default: ssh-3des
      nat-address: 19.89.149.219 default: 0.0.0.0
      profile-name: PROFILE1
      block-interfaces (min: 0, max: 100, current: 1)
      -----------------------------------------------
         interface-name: GigabitEthernet0/1
         direction: in
         -----------------------------------------------
            pre-acl-name: <defaulted>
            post-acl-name: <defaulted>
         -----------------------------------------------
      -----------------------------------------------
      response-capabilities: block|rate-limit default: block
   -----------------------------------------------
sensor(config-net-rou)#

    12. Saia do submodo de acesso à rede.

      sensor(config-net-rou)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:

    13. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

    Configurar o sensor para gerenciar os firewalls da Cisco

    Conclua estes passos para configurar o sensor para gerenciar os firewalls da Cisco:

    1. Faça login na CLI com uma conta que tenha privilégios de Administrador.

    2. Entre no submodo de acesso à rede.

      sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#

    3. Especifique o endereço IP do firewall controlado pelo ARC.

      sensor(config-net)#firewall-devices ip_address

    4. Insira o nome do perfil de usuário que você criou ao configurar o perfil de usuário.

      sensor(config-net-fir)#profile-name user_profile_name

      Nota: O ARC aceita qualquer coisa que você digitar. Ele não verifica se o dispositivo lógico existe.

    5. Especifique o método usado para acessar o sensor.

      sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}

      Se não especificado, SSH 3DES é usado.

      Nota: Se você usa DES ou 3DES, você deve usar o comando ssh host-key ip_address para aceitar a chave ou o ARC não pode se conectar ao dispositivo.

    6. Especifique o endereço NAT do sensor.

      sensor(config-net-fir)#nat-address nat_address

      Nota: Isso altera o endereço IP na primeira linha da ACL do endereço IP do sensor para o endereço NAT. O endereço NAT é o endereço do sensor, pós-NAT, traduzido por um dispositivo intermediário, localizado entre o sensor e o dispositivo de bloqueio.

    7. Saia do submodo de acesso à rede.

      sensor(config-net-fir)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:

    8. Pressione Enter para aplicar as alterações ou digite no para descartá-las.

    Bloquear com SHUN no PIX/ASA

    A emissão do comando shun bloqueia conexões de um host de ataque. Os pacotes que correspondem aos valores no comando são descartados e registrados até que a função de bloqueio seja removida. O shun é aplicado independentemente de uma conexão com o endereço de host especificado estar atualmente ativa.

    Se você especificar o endereço de destino, as portas de origem e de destino e o protocolo, você restringirá o shun às conexões que correspondem a esses parâmetros. Você pode ter apenas um comando shun para cada endereço IP de origem.

    Como o comando shun é usado para bloquear ataques dinamicamente, ele não é exibido na configuração do Security Appliance.

    Sempre que uma interface é removida, todos os shuns conectados a essa interface também são removidos.

    Este exemplo mostra que o host ofensivo (10.1.1.27) faz uma conexão com a vítima (10.2.2.89) com o TCP. A conexão na tabela de conexão do Security Appliance diz o seguinte:

    TCP outside:10.1.1.27/555 inside:10.2.2.89/666

    Para bloquear conexões de um host de ataque, use o comando shun no modo EXEC privilegiado. Aplique o comando shun com estas opções:

    hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

    O comando exclui a conexão da tabela de conexão do Security Appliance e também impede que os pacotes de 10.1.1.27:555 a 10.2.2.89:666 (TCP) passem pelo Security Appliance.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco