Este documento fornece um exemplo para a configuração do Cisco Intrusion Detection System (IDS) através do VPN/Security Management Solution (VMS), IDS Management Console (IDS MC). Nesse caso, o bloqueio do sensor IDS para um roteador Cisco é configurado.
Antes de configurar o Bloqueio, verifique se você atendeu a essas condições.
O sensor está instalado e configurado para detectar o tráfego necessário.
A interface de sniffing é expandida para a interface externa do roteador.
As informações neste documento são baseadas nestas versões de software e hardware.
VMS 2.2 com IDS MC e Security Monitor 1.2.3
Cisco IDS Sensor 4.1.3S(63)
Roteador Cisco executando o software Cisco IOS® versão 12.3.5
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).
Este documento utiliza a configuração de rede mostrada neste diagrama.
Este documento utiliza as configurações mostradas aqui.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Building configuration... Current configuration : 797 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname House ! logging queue-limit 100 enable password cisco ! ip subnet-zero no ip domain lookup ! ! interface Ethernet0 ip address 10.66.79.210 255.255.255.224 hold-queue 100 out ! interface Ethernet1 ip address 100.100.100.1 255.255.255.0 !--- After Blocking is configured, the IDS Sensor !--- adds this access-group ip access-group. IDS_Ethernet1_in_0 in ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server no ip http secure-server ! !--- After Blocking is configured, the IDS Sensor !--- adds this access list. ip access-list extended IDS_Ethernet1_in_0. permit ip host 10.66.79.195 any permit ip any any ! line con 0 stopbits 1 line vty 0 4 password cisco login ! scheduler max-task-time 5000 end |
Conclua estes passos para configurar inicialmente o Sensor.
Observação: se você tiver executado a configuração inicial do Sensor, vá para a seção Importando o sensor para o IDS MC.
Use o console para se conectar ao sensor.
Você será solicitado a inserir um nome de usuário e uma senha. Se esta é a primeira vez que você está consolando no Sensor, você deve fazer login com o nome de usuário cisco e a senha cisco.
Você será solicitado a alterar a senha e, em seguida, digitar novamente a nova senha para confirmá-la.
Digite setup e insira as informações apropriadas em cada prompt para configurar parâmetros básicos para o Sensor, de acordo com este exemplo:
sensor5#setup --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname sensor5 telnetOption enabled accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit
Pressione 2 para salvar sua configuração.
Conclua estes passos para importar o sensor para o IDS MC.
Navegue até o seu sensor.
Nesse caso, navegue até http://10.66.79.250:1741 ou https://10.66.79.250:1742.
Faça login com o nome de usuário e a senha apropriados.
Neste exemplo, o nome de usuário admin e a senha cisco foram usados.
Selecione VPN/Security Management Solution > Management Center e escolha IDS Sensors.
Clique na guia Dispositivos, selecione Grupo de sensores, realce Global e clique em Criar subgrupo.
Digite o nome do grupo e verifique se o botão de opção Default está selecionado e clique em OK para adicionar o subgrupo ao IDS MC.
Selecione Dispositivos > Sensor, realce o subgrupo criado na etapa anterior (nesse caso, teste) e clique em Adicionar.
Realce o subgrupo e clique em Avançar.
Insira os detalhes de acordo com este exemplo e clique em Avançar para continuar.
Depois que for apresentada uma mensagem que indica Configuração do sensor importada com êxito, clique em Concluir para continuar.
Seu sensor é importado para o IDS MC. Nesse caso, o sensor5 é importado.
Conclua este procedimento para importar o sensor para o monitor de segurança.
No menu do Servidor VMS, selecione VPN/Security Management Solution > Monitoring Center > Security Monitor.
Selecione a guia Dispositivos, clique em Importar e insira as Informações do servidor IDS MC, conforme este exemplo.
Selecione seu sensor (nesse caso, sensor5) e clique em Avançar para continuar.
Se necessário, atualize o endereço NAT (Network Address Translation) do seu sensor e clique em Finish (Concluir) para continuar.
Clique em OK para concluir a importação do sensor do IDS MC para o Security Monitor.
Seu sensor foi importado com êxito.
Conclua este procedimento para usar o IDS MC para atualizações de assinatura.
Baixe as atualizações de assinatura do IDS de rede (somente clientes registrados) de Downloads e salve-as em C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ directory on your VMS server.
No console do servidor VMS, selecione VPN/Security Management Solution > Management Center > Sensors.
Clique na guia Configuração, selecione Atualizações e clique em Atualizar assinaturas de IDS de rede.
Selecione a assinatura que deseja atualizar no menu suspenso e clique em Apply para continuar.
Selecione o(s) sensor(es) a atualizar e clique em Avançar para continuar.
Depois de ser solicitado a aplicar a atualização ao Management Center, bem como ao Sensor, clique em Finish para continuar.
Faça Telnet ou console na interface de linha de comando do Sensor. Informações semelhantes a esta são exibidas:
sensor5# Broadcast message from root (Mon Dec 15 11:42:05 2003): Applying update IDS-sig-4.1-3-S63. This may take several minutes. Please do not reboot the sensor during this update. Broadcast message from root (Mon Dec 15 11:42:34 2003): Update complete. sensorApp is restarting This may take several minutes.
Aguarde alguns minutos para permitir que a atualização seja concluída e insira show version para verificar.
sensor5#show version Application Partition: Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 Upgrade History: * IDS-sig-4.1-3-S62 07:03:04 UTC Thu Dec 04 2003 IDS-sig-4.1-3-S63.rpm.pkg 11:42:01 UTC Mon Dec 15 2003
Conclua este procedimento para configurar o bloqueio para o roteador IOS.
No console do servidor VMS, selecione VPN/Security Management Solution > Management Center > IDS Sensors.
Selecione a guia Configuração, selecione seu sensor no Seletor de objeto e clique em Configurações.
Selecione Assinaturas, clique em Personalizar e, em seguida, clique em Adicionar para adicionar uma nova assinatura.
Insira o novo Nome da assinatura e selecione o Mecanismo (nesse caso, STRING.TCP).
Você pode personalizar os parâmetros disponíveis marcando o botão de opção apropriado e clicando em Editar.
Neste exemplo, o parâmetro ServicePorts é editado para alterar seu valor para 23 (para a porta 23). O parâmetro RegexString também é editado para adicionar o valor testattack. Quando terminar, clique em OK para continuar.
Para editar a Gravidade de assinatura e as ações ou para Habilitar/Desabilitar a assinatura, clique no nome da assinatura.
Nesse caso, a gravidade é alterada para Alto e a ação Bloquear Host é selecionada. Clique em OK para continuar.
O Bloqueio de Host bloqueia o ataque a hosts IP ou sub-redes IP.
A Conexão de bloqueio bloqueia portas TCP ou UDP (com base no ataque a conexões TCP ou UDP).
A assinatura completa é semelhante a esta:
Para configurar o dispositivo de bloqueio, selecione Bloqueio > Dispositivos de bloqueio no Seletor de objeto (o menu no lado esquerdo da tela) e clique em Adicionar para inserir as seguintes informações:
Clique em Editar interfaces (veja a captura de tela anterior), clique em Adicionar, insira essas informações e clique em OK para continuar.
Clique em OK duas vezes para concluir a configuração do dispositivo de bloqueio.
Para configurar Propriedades de bloqueio, selecione Bloqueio > Propriedades de bloqueio.
O comprimento do bloco automático pode ser modificado. Nesse caso, ele é alterado para 15 minutos. Clique em Apply para continuar.
Selecione Configuração no menu principal, selecione Pendente, verifique a configuração pendente para garantir que ela esteja correta e clique em Salvar.
Para enviar as alterações de configuração para o sensor, gere e implante as alterações selecionando Deployment > Generate e clique em Apply.
Selecione Deployment > Deploy e clique em Submit.
Marque a caixa de seleção ao lado de seu sensor e clique em Implantar.
Marque a caixa de seleção do trabalho na fila e clique em Avançar para continuar.
Insira o Nome do trabalho e agende-o como Imediato e clique em Concluir.
Selecione Deployment > Deploy > Pending.
Aguarde alguns minutos até que todos os trabalhos pendentes tenham sido concluídos. A fila fica então vazia.
Para confirmar a implantação, selecione Configuration> History.
Verifique se o status da configuração é exibido como Implantado. Isso significa que a configuração do sensor foi atualizada com êxito.
Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.
A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.
Para verificar se o processo de bloqueio está funcionando corretamente, inicie um ataque de teste e verifique os resultados.
Antes de iniciar o ataque, selecione VPN/Security Management Solution > Monitoring Center > Security Monitor.
Escolha Monitor no menu principal, clique em Eventos e clique em Iniciar Visualizador de Eventos.
Faça Telnet com o roteador (nesse caso, faça Telnet com o roteador House) para verificar a comunicação do sensor.
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_Ethernet1_in_0 10 permit ip host 10.66.79.195 any 20 permit ip any any (20 matches) House#
Para iniciar o ataque, execute telnet de um roteador para o outro e digite testattack.
Nesse caso, usamos Telnet para conectar o roteador Light ao roteador House. Assim que você pressionar <space> ou <enter>, depois de digitar testattack, sua sessão Telnet deve ser redefinida.
light#telnet 100.100.100.1 Trying 100.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack !--- Host 100.100.100.2 has been blocked due to the !--- signature "testattack" being triggered. [Connection to 100.100.100.1 lost]
Faça Telnet para o roteador (House) e digite o comando show access-list.
house#show access-list Extended IP access list IDS_Ethernet1_in_1 10 permit ip host 10.66.79.195 any !--- You will see a temporary entry has been added to !--- the access list to block the router from which you connected via Telnet previously. 20 deny ip host 100.100.100.2 any (37 matches) 30 permit ip any any
No Visualizador de Eventos, clique em Consultar Banco de Dados para ver novos eventos agora para ver o alerta para o ataque iniciado anteriormente.
No Visualizador de Eventos, realce e clique com o botão direito do mouse no alarme e, em seguida, selecione Exibir Buffer de Contexto ou Exibir NSDB para exibir informações mais detalhadas sobre o alarme.
Observação: o NSDB também está disponível on-line na Cisco Secure Encyclopedia (somente clientes registrados) .
Use o procedimento a seguir para fins de solução de problemas.
No IDS MC, selecione Reports > Generate.
Dependendo do tipo de problema, mais detalhes devem ser encontrados em um dos sete relatórios disponíveis.
No console do sensor, insira o comando show statistics networkaccess e verifique a saída para garantir que o "estado" esteja ativo.
sensor5#show statistics networkAccess Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 100.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
Verifique se o parâmetro de comunicação mostra que o protocolo correto está sendo usado, como Telnet ou Secure Shell (SSH) com 3DES.
Você pode tentar um SSH ou Telnet manual de um cliente SSH/Telnet em um PC para verificar se as credenciais de nome de usuário e senha estão corretas. Em seguida, você pode tentar executar telnet ou SSH a partir do próprio Sensor, até o roteador, para garantir que seja possível fazer login com êxito.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
16-Jun-2008 |
Versão inicial |