Cisco入侵检测系统(IDS)导向器和传感器可以用于管理避开的一个Cisco路由器。在本文中,配置传感器(sensor-2)为了发现对路由器“议院”的攻击和为了传达此信息到导向器一次被配置的"dir3.",攻击从路由器“灯被启动(大于1024个字节,是签名2151和一次互联网控制消息协议[ICMP]溢出ping,是签名2152)”。传感器发现攻击并且传达此到导向器。访问控制表(ACL)下载到路由器避开从攻击者的数据流。在攻击者主机不可及显示,并且在受害者下载的ACL显示。
在您尝试此配置前,请保证您符合这些要求:
安装传感器并且确定适当地运作。
保证探测接口间距到路由器的外部接口。
本文档中的信息基于以下软件和硬件版本:
Cisco IDS Director 2.2.3
Cisco IDS传感器3.0.5
有12.2.6的Cisco IOS路由器
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本部分提供有关如何配置本文档所述功能的信息。
Note: 要查找本文档所用命令的其他信息,请使用命令查找工具(仅限注册用户)。
本文档使用此图所示的网络设置。
本文档使用以下配置。
路由器 House |
---|
Current configuration : 2187 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! enable password cisco ! ! ! ip subnet-zero ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 !--- After you configure shunning, IDS Sensor puts this line in. ip access-group IDS_FastEthernet0/0_in_1 in duplex auto speed auto ! interface FastEthernet0/1 ip address 10.64.10.45 255.255.255.224 duplex auto speed auto ! ! ! interface FastEthernet4/0 no ip address shutdown duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.33 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server ip pim bidir-enable ! ! !--- After you configure shunning, IDS Sensor puts these lines in. ip access-list extended IDS_FastEthernet0/0_in deny ip host 100.100.100.2 any permit ip host 10.64.10.49 any permit ip any any ! snmp-server manager ! call RSVP-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! ! end house# |
完成这些步骤配置传感器。
远程登录到与用户名根和密码攻击的10.64.10.49。
输入sysconfig-sensor。
如此示例所显示,当提示,请输入配置信息。
1 - IP Address: 10.64.10.49 2 - IP Netmask: 255.255.255.224 3 - IP Host Name: sensor-2 4 - Default Route 10.64.10.33 5 - Network Access Control 64. 10. 6 - Communications Infrastructure Sensor Host ID: 49 Sensor Organization ID: 900 Sensor Host Name: sensor-2 Sensor Organization Name: cisco Sensor IP Address: 10.64.10.49 IDS Manager Host ID: 50 IDS Manager Organization ID: 900 IDS Manager Host Name: dir3 IDS Manager Organization Name: cisco IDS Manager IP Address: 10.64.21.50
当提示,请保存配置并且允许传感器重新启动。
完成这些步骤添加传感器到导向器。
远程登录到与用户名netrangr和密码攻击的10.64.21.50。
输入ovw&启动HP OpenView。
在主菜单,请选择Security > Configure。
在配置文件管理工具中,请选择File > Add Host,并且其次点击。
这是示例如何填好被请求的信息。
如此示例所显示,接受机器的种类的默认设置,并且其次点击。
如果值是可接受的,请更改日志并且避开分钟或者留下他们作为默认值。更改网络接口名称到您的探测接口的名字。
在本例中可以是"spwr0"或别的根据传感器类型,并且的它是"iprb0."您如何连接您的传感器。
其次请点击,直到有点击完成的选项。
您成功地添加传感器到导向器。从主菜单,您应该看到sensor-2,正如在此示例。
完成这些步骤配置Cisco IOS路由器的避开。
在主菜单,请选择Security > Configure。
在配置文件管理工具中,高亮度显示sensor-2和双击它。
打开设备管理。
如此示例所显示,点击Devices > Add,并且输入信息。点击OK键继续。
Telnet和特权密码匹配什么在路由器“议院”。
点击接口>Add,输入此信息,并且点击OK键继续。
点击Shunning > Add并且选择sensor-2.cisco作为避开服务器。当你完成的时候,请关上Device Management窗口。
打开Intrusion Detection Window,并且点击受保护的网络。如此示例所显示,添加范围10.64.10.1到10.64.10.254到受保护的网络。
点击配置文件>手动配置。
选择修改签名>大ICMP数据流有ID 2151。
点击修改,从无避开&日志更改动作,并且点击OK键继续。
选择ICMP溢出有ID 2152,并且点击修改。从无避开&日志更改动作,并且点击OK键继续。
点击OK键关上Intrusion Detection Window。
打开系统文件文件夹,并且打开Daemons窗口。
保证您启用了这些守护程序:
点击OK键继续,选择刚刚被修改的版本,并且点击“Save”然后适用。
等待系统告诉您被完成的传感器重新启动服务,然后关上配置管理器的所有窗口。
本部分所提供的信息可用于确认您的配置是否正常工作。
命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。
show access-list -在路由器配置里列出access-list命令语句。它也列出指示的命中计数在access-list命令搜索期间,元素被匹配了的次数。
ping -用于诊断基本网络连接。
在攻击被发起前,请发出这些命令。
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house# light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms light#
发起您的来自路由器“灯”的攻击给受害者“议院”。当ACL采取影响时, unreachables被看到。
light#ping Protocol [ip]: Target IP address: 10.64.10.45 Repeat count [5]: 1000000 Datagram size [100]: 18000 Timeout in seconds [2]: Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.
一旦传感器发现了攻击,并且下载ACL和此输出显示在“议院”。
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_0 permit ip host 10.64.10.49 any deny ip host 100.100.100.2 any (459 matches) permit ip any any
如此示例所显示, unreachables在“灯仍然被看到”。
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5)
因为避开设置为15分钟,十五分钟后, “议院”回到正常。
House#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house#
“灯”能连接“议院”。
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
目前没有针对此配置的故障排除信息。