Configurando o bloqueio de IDS usando VMS IDS MC

Introduction

Este documento fornece um exemplo para a configuração do Cisco Intrusion Detection System (IDS) através do VPN/Security Management Solution (VMS), IDS Management Console (IDS MC). Nesse caso, o bloqueio do sensor IDS para um roteador Cisco é configurado.

Prerequisites

Requirements

Antes de configurar o Bloqueio, verifique se você atendeu a essas condições.

• O sensor está instalado e configurado para detectar o tráfego necessário.

• A interface de sniffing é expandida para a interface externa do roteador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware.

• VMS 2.2 com IDS MC e Security Monitor 1.2.3

• Cisco IDS Sensor 4.1.3S(63)

• Roteador Cisco executando o software Cisco IOS® versão 12.3.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, use a ferramenta Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

Configurações

Este documento utiliza as configurações mostradas aqui.

• Luz do Roteador

• Companhia do Roteador

Current configuration : 906 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Building configuration...

Current configuration : 797 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname House
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
no ip domain lookup
!
!
interface Ethernet0
 ip address 10.66.79.210 255.255.255.224
 hold-queue 100 out
!
interface Ethernet1
 ip address 100.100.100.1 255.255.255.0

!--- After Blocking is configured, the IDS Sensor !--- adds this access-group ip access-group. 


IDS_Ethernet1_in_0 in
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
no ip http secure-server
!

!--- After Blocking is configured, the IDS Sensor !--- adds this access list.

ip access-list extended IDS_Ethernet1_in_0.
 permit ip host 10.66.79.195 any
 permit ip any any
!
line con 0
 stopbits 1
line vty 0 4
 password cisco
 login
!
scheduler max-task-time 5000
end

Configuração inicial do sensor

Conclua estes passos para configurar inicialmente o Sensor.

Observação: se você tiver executado a configuração inicial do Sensor, vá para a seção Importando o sensor para o IDS MC.

1. Use o console para se conectar ao sensor.

   Você será solicitado a inserir um nome de usuário e uma senha. Se esta é a primeira vez que você está consolando no Sensor, você deve fazer login com o nome de usuário cisco e a senha cisco.

2. Você será solicitado a alterar a senha e, em seguida, digitar novamente a nova senha para confirmá-la.

3. Digite setup e insira as informações apropriadas em cada prompt para configurar parâmetros básicos para o Sensor, de acordo com este exemplo:

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   At any point you may enter a question mark '?' for help. 
   User ctrl-c to abort configuration dialog at any prompt. 
   Default settings are in square brackets '[]'. 
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname sensor5 
   telnetOption enabled 
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit 

4. Pressione 2 para salvar sua configuração.

Importar o sensor para o IDS MC

Conclua estes passos para importar o sensor para o IDS MC.

1. Navegue até o seu sensor.

   Nesse caso, navegue até http://10.66.79.250:1741 ou https://10.66.79.250:1742.

2. Faça login com o nome de usuário e a senha apropriados.

   Neste exemplo, o nome de usuário admin e a senha cisco foram usados.

3. Selecione VPN/Security Management Solution > Management Center e escolha IDS Sensors.

4. Clique na guia Dispositivos, selecione Grupo de sensores, realce Global e clique em Criar subgrupo.

5. Digite o nome do grupo e verifique se o botão de opção Default está selecionado e clique em OK para adicionar o subgrupo ao IDS MC.

   

6. Selecione Dispositivos > Sensor, realce o subgrupo criado na etapa anterior (nesse caso, teste) e clique em Adicionar.

7. Realce o subgrupo e clique em Avançar.

   

8. Insira os detalhes de acordo com este exemplo e clique em Avançar para continuar.

   

9. Depois que for apresentada uma mensagem que indica Configuração do sensor importada com êxito, clique em Concluir para continuar.

   

10. Seu sensor é importado para o IDS MC. Nesse caso, o sensor5 é importado.

    

Importar o sensor para o monitor de segurança

Conclua este procedimento para importar o sensor para o monitor de segurança.

1. No menu do Servidor VMS, selecione VPN/Security Management Solution > Monitoring Center > Security Monitor.

2. Selecione a guia Dispositivos, clique em Importar e insira as Informações do servidor IDS MC, conforme este exemplo.

   

3. Selecione seu sensor (nesse caso, sensor5) e clique em Avançar para continuar.

   

4. Se necessário, atualize o endereço NAT (Network Address Translation) do seu sensor e clique em Finish (Concluir) para continuar.

   

5. Clique em OK para concluir a importação do sensor do IDS MC para o Security Monitor.

   

6. Seu sensor foi importado com êxito.

   

Usar IDS MC para atualizações de assinatura

Conclua este procedimento para usar o IDS MC para atualizações de assinatura.

1. Baixe as atualizações de assinatura do IDS de rede (somente clientes registrados) de Downloads e salve-as em C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ directory on your VMS server.

2. No console do servidor VMS, selecione VPN/Security Management Solution > Management Center > Sensors.

3. Clique na guia Configuração, selecione Atualizações e clique em Atualizar assinaturas de IDS de rede.

4. Selecione a assinatura que deseja atualizar no menu suspenso e clique em Apply para continuar.

   

5. Selecione o(s) sensor(es) a atualizar e clique em Avançar para continuar.

   

6. Depois de ser solicitado a aplicar a atualização ao Management Center, bem como ao Sensor, clique em Finish para continuar.

   

7. Faça Telnet ou console na interface de linha de comando do Sensor. Informações semelhantes a esta são exibidas:

   sensor5# 
   Broadcast message from root (Mon Dec 15 11:42:05 2003): 
   Applying update IDS-sig-4.1-3-S63.  
   This may take several minutes. 
   Please do not reboot the sensor during this update. 
   Broadcast message from root (Mon Dec 15 11:42:34 2003): 
   Update complete. 
   sensorApp is restarting 
   This may take several minutes. 
   

8. Aguarde alguns minutos para permitir que a atualização seja concluída e insira show version para verificar.

   sensor5#show version 
   Application Partition: 
   Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 
   
   Upgrade History: 
   * IDS-sig-4.1-3-S62           07:03:04 UTC Thu Dec 04 2003 
      IDS-sig-4.1-3-S63.rpm.pkg   11:42:01 UTC Mon Dec 15 2003 

Configurar o bloqueio para o roteador IOS

Conclua este procedimento para configurar o bloqueio para o roteador IOS.

1. No console do servidor VMS, selecione VPN/Security Management Solution > Management Center > IDS Sensors.

2. Selecione a guia Configuração, selecione seu sensor no Seletor de objeto e clique em Configurações.

3. Selecione Assinaturas, clique em Personalizar e, em seguida, clique em Adicionar para adicionar uma nova assinatura.

   

4. Insira o novo Nome da assinatura e selecione o Mecanismo (nesse caso, STRING.TCP).

5. Você pode personalizar os parâmetros disponíveis marcando o botão de opção apropriado e clicando em Editar.

   Neste exemplo, o parâmetro ServicePorts é editado para alterar seu valor para 23 (para a porta 23). O parâmetro RegexString também é editado para adicionar o valor testattack. Quando terminar, clique em OK para continuar.

   

6. Para editar a Gravidade de assinatura e as ações ou para Habilitar/Desabilitar a assinatura, clique no nome da assinatura.

   

7. Nesse caso, a gravidade é alterada para Alto e a ação Bloquear Host é selecionada. Clique em OK para continuar.

   • O Bloqueio de Host bloqueia o ataque a hosts IP ou sub-redes IP.

   • A Conexão de bloqueio bloqueia portas TCP ou UDP (com base no ataque a conexões TCP ou UDP).

   

8. A assinatura completa é semelhante a esta:

   

9. Para configurar o dispositivo de bloqueio, selecione Bloqueio > Dispositivos de bloqueio no Seletor de objeto (o menu no lado esquerdo da tela) e clique em Adicionar para inserir as seguintes informações:

   

10. Clique em Editar interfaces (veja a captura de tela anterior), clique em Adicionar, insira essas informações e clique em OK para continuar.

    

11. Clique em OK duas vezes para concluir a configuração do dispositivo de bloqueio.

    

12. Para configurar Propriedades de bloqueio, selecione Bloqueio > Propriedades de bloqueio.

    O comprimento do bloco automático pode ser modificado. Nesse caso, ele é alterado para 15 minutos. Clique em Apply para continuar.

    

13. Selecione Configuração no menu principal, selecione Pendente, verifique a configuração pendente para garantir que ela esteja correta e clique em Salvar.

    

14. Para enviar as alterações de configuração para o sensor, gere e implante as alterações selecionando Deployment > Generate e clique em Apply.

    

15. Selecione Deployment > Deploy e clique em Submit.

16. Marque a caixa de seleção ao lado de seu sensor e clique em Implantar.

17. Marque a caixa de seleção do trabalho na fila e clique em Avançar para continuar.

    

18. Insira o Nome do trabalho e agende-o como Imediato e clique em Concluir.

    

19. Selecione Deployment > Deploy > Pending.

    Aguarde alguns minutos até que todos os trabalhos pendentes tenham sido concluídos. A fila fica então vazia.

20. Para confirmar a implantação, selecione Configuration> History.

    Verifique se o status da configuração é exibido como Implantado. Isso significa que a configuração do sensor foi atualizada com êxito.

    

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

Iniciar o ataque e o bloqueio

Para verificar se o processo de bloqueio está funcionando corretamente, inicie um ataque de teste e verifique os resultados.

1. Antes de iniciar o ataque, selecione VPN/Security Management Solution > Monitoring Center > Security Monitor.

2. Escolha Monitor no menu principal, clique em Eventos e clique em Iniciar Visualizador de Eventos.

   

3. Faça Telnet com o roteador (nesse caso, faça Telnet com o roteador House) para verificar a comunicação do sensor.

   house#show user 
       Line       User       Host(s)              Idle       Location 
   *  0 con 0                idle                 00:00:00 
    226 vty 0                idle                 00:00:17 10.66.79.195 
   house#show access-list 
   Extended IP access list IDS_Ethernet1_in_0 
       10 permit ip host 10.66.79.195 any 
       20 permit ip any any (20 matches) 
   House# 

4. Para iniciar o ataque, execute telnet de um roteador para o outro e digite testattack.

   Nesse caso, usamos Telnet para conectar o roteador Light ao roteador House. Assim que você pressionar <space> ou <enter>, depois de digitar testattack, sua sessão Telnet deve ser redefinida.

   light#telnet 100.100.100.1 
   Trying 100.100.100.1 ... Open 
   User Access Verification 
   Password: 
   house>en 
   Password: 
   house#testattack 
   
   !--- Host 100.100.100.2 has been blocked due to the !--- signature "testattack" being triggered.
   
   [Connection to 100.100.100.1 lost]
   

5. Faça Telnet para o roteador (House) e digite o comando show access-list.

   house#show access-list 
   Extended IP access list IDS_Ethernet1_in_1 
   10 permit ip host 10.66.79.195 any
   
   !--- You will see a temporary entry has been added to !--- the access list to block the router from which you connected via Telnet previously.
   
   20 deny ip host 100.100.100.2 any (37 matches) 
   30 permit ip any any 

6. No Visualizador de Eventos, clique em Consultar Banco de Dados para ver novos eventos agora para ver o alerta para o ataque iniciado anteriormente.

   

7. No Visualizador de Eventos, realce e clique com o botão direito do mouse no alarme e, em seguida, selecione Exibir Buffer de Contexto ou Exibir NSDB para exibir informações mais detalhadas sobre o alarme.

   Observação: o NSDB também está disponível on-line na Cisco Secure Encyclopedia (somente clientes registrados) .

   

Troubleshoot

Procedimento de Troubleshooting

Use o procedimento a seguir para fins de solução de problemas.

1. No IDS MC, selecione Reports > Generate.

   Dependendo do tipo de problema, mais detalhes devem ser encontrados em um dos sete relatórios disponíveis.

   

2. No console do sensor, insira o comando show statistics networkaccess e verifique a saída para garantir que o "estado" esteja ativo.

   sensor5#show statistics networkAccess 
   Current Configuration 
      AllowSensorShun = false 
      ShunMaxEntries = 100 
      NetDevice 
         Type = Cisco 
         IP = 10.66.79.210 
         NATAddr = 0.0.0.0 
         Communications = telnet 
         ShunInterface 
            InterfaceName = FastEthernet0/1 
            InterfaceDirection = in 
   State 
      ShunEnable = true 
      NetDevice 
         IP = 10.66.79.210 
         AclSupport = uses Named ACLs 
         State = Active 
      ShunnedAddr 
         Host 
            IP = 100.100.100.2 
            ShunMinutes = 15 
            MinutesRemaining = 12 
   sensor5# 

3. Verifique se o parâmetro de comunicação mostra que o protocolo correto está sendo usado, como Telnet ou Secure Shell (SSH) com 3DES.

   Você pode tentar um SSH ou Telnet manual de um cliente SSH/Telnet em um PC para verificar se as credenciais de nome de usuário e senha estão corretas. Em seguida, você pode tentar executar telnet ou SSH a partir do próprio Sensor, até o roteador, para garantir que seja possível fazer login com êxito.

Informações Relacionadas

• Página de suporte do Cisco Secure Intrusion Detection
• Suporte à solução CiscoWorks VPN/Security Management
• Suporte Técnico e Documentação - Cisco Systems