Este documento discute a configuração do bloqueio do Sistema de Prevenção de Invasão (IPS) com o uso do IPS Manager Express (IME). Sensores IME e IPS são usados para gerenciar um roteador Cisco para bloqueio. Lembre-se destes itens ao considerar esta configuração:
Instale o sensor e verifique se ele funciona corretamente.
Faça com que a interface de monitoramento se estenda até o roteador fora da interface.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco IPS Manager Express 7.0
Cisco IPS Sensor 7.0(0.88)E3
Roteador Cisco IOS® com Cisco IOS Software Release 12.4
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Este documento utiliza a seguinte configuração de rede.
Este documento utiliza estas configurações.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 ip access-group IDS_FastEthernet0/1_in_0 in !--- After you configure blocking, !--- IDS Sensor inserts this line. duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ip access-list extended IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any !--- After you configure blocking, !--- IDS Sensor inserts this line. ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
Conclua estes passos para iniciar a configuração do Sensor.
Se essa for a primeira vez que você efetua logon no Sensor, digite cisco como o nome de usuário e cisco como a senha.
Quando o sistema solicitar, altere a senha.
Observação: Cisco123 é uma palavra do dicionário e não é permitido no sistema.
Digite setup e siga o prompt do sistema para configurar os parâmetros básicos para os sensores.
Insira esta informação:
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current time: Thu Oct 22 21:19:51 2009 Setup Configuration last modified: Enter host name[sensor]: Enter IP interface[10.66.79.195/24,10.66.79.193]: Modify current access list?[no]: Current access list entries: !--- permit the ip address of workstation or network with IME Permit:10.66.79.0/24 Permit: Modify system clock settings?[no]: Modify summer time settings?[no]: Use USA SummerTime Defaults?[yes]: Recurring, Date or Disable?[Recurring]: Start Month[march]: Start Week[second]: Start Day[sunday]: Start Time[02:00:00]: End Month[november]: End Week[first]: End Day[sunday]: End Time[02:00:00]: DST Zone[]: Offset[60]: Modify system timezone?[no]: Timezone[UTC]: UTC Offset[0]: Use NTP?[no]: yes NTP Server IP Address[]: Use NTP Authentication?[no]: yes NTP Key ID[]: 1 NTP Key Value[]: 8675309
Salve a configuração.
Pode levar alguns minutos para o Sensor salvar a configuração.
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Conclua estes passos para adicionar o sensor ao IME.
Vá para o PC Windows, que instalou o IPS Manager Express e abra o IPS Manager Express.
Escolha Home > Add.
Digite essas informações e clique em OK para concluir a configuração.
Escolha Dispositivos > sensor5 para verificar o status do sensor e clique com o botão direito do mouse para escolher Status.
Verifique se você pode ver a assinatura aberta com êxito. mensagem.
Conclua estes passos para configurar o bloqueio para a rota do Cisco IOS:.
No PC IME, abra o navegador da Web e vá para https://10.66.79.195.
Clique em OK para aceitar o certificado HTTPS baixado do sensor.
Na janela Login, insira cisco como o nome de usuário e 123cisco123 como a senha.
Esta interface de gerenciamento IME é exibida:
Na guia Configuração, clique em Assinaturas ativas.
Em seguida, clique em Assistente de assinatura.
Observação: a captura de tela anterior foi cortada em duas partes devido à limitação de espaço.
Escolha Sim e String TCP como mecanismo de assinatura. Clique em Next.
Você pode deixar essas informações como padrão ou digitar seu próprio ID de assinatura, Nome da assinatura e Notas do usuário. Clique em Next.
Escolha Ação de evento e escolha Produzir host de alerta e bloco de solicitação. Clique em Next para continuar.
Insira uma expressão regular , que neste exemplo é testattack, insira 23 para Portas de serviço, escolha To Service for the Direction e clique em Next para continuar.
Você pode deixar essas informações como Padrão. Clique em Next.
Clique em Concluir para concluir o Assistente.
Escolha Configuration > sig0 > Ative Signatures para localizar a assinatura recém-criada por Sig ID ou Sig Name. Clique em Editar para exibir a assinatura.
Clique em OK depois de confirmar e clique no botão Aplicar para aplicar a assinatura ao sensor.
Na guia Configuração, em Gerenciamento de sensor, clique em Bloqueio. No painel esquerdo, escolha Blocking Properties e marque Enable Blocking.
Agora, no painel esquerdo, vá para Device Login Profile. Para criar um novo perfil, clique em Adicionar. Depois de criar, clique em OK e Apply para sensor e continuar.
A próxima etapa é configurar o Roteador como um dispositivo de bloqueio. No painel esquerdo, escolha Blocking Device, clique em Add para adicionar essas informações. Em seguida, clique em OK e Aplicar.
Agora, no painel esquerdo, configure as interfaces do dispositivo de bloqueio. Adicione as informações, clique em OK e Aplicar...
Conclua estes passos para iniciar o ataque e o bloqueio:
Antes de iniciar o ataque, vá para o IME, escolha Event Monitoring > Dropped Attacks View (Monitoramento de eventos > Exibição de ataques descartados) e escolha o sensor à direita.
Faça Telnet para a Router House e verifique a comunicação do servidor com esses comandos.
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any (12 matches) house#
No Router Light, estabeleça uma conexão Telnet com o Router House e digite testattack.
Pressione <space> ou <enter> para redefinir sua sessão Telnet.
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 lost] !--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered.
Faça Telnet para o Router House e use o comando show access-list como mostrado aqui.
house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 10 permit ip host 10.66.79.195 any 20 deny ip host 10.100.100.2 any (71 matches) 30 permit ip any any
No painel do Visualizador de Eventos IDS, o Alarme Vermelho é exibido quando o ataque é iniciado.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Use estas dicas de solução de problemas:
No Sensor, examine a saída show statistics network-access e verifique se o estado"está ativo. Do console ou SSH ao sensor, essas informações são exibidas:
sensor5#show statistics network-access Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 10.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
Verifique se o parâmetro de comunicação mostra que o protocolo correto é usado, como Telnet ou SSH com 3DES. Você pode tentar um SSH ou Telnet manual de um cliente SSH/Telnet em um PC para verificar se as credenciais de nome de usuário e senha estão corretas. Em seguida, tente executar telnet ou SSH do próprio sensor para o roteador e veja se você pode fazer login com êxito no roteador.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Dec-2009 |
Versão inicial |