在UNIX Director上設定迴避

下載選項

  • PDF     (471.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (157.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (343.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2006 年 1 月 19 日
文件 ID:3901

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

Cisco Intrusion Detection System (IDS) Director和Sensor可用於管理Cisco路由器,以便迴避。在本文檔中,感測器(sensor-2)配置為檢測對路由器「House」的攻擊,並將此資訊傳遞給控制器「dir3」。 配置後,從路由器「Light」發起攻擊(ping大於1024位元組,即特徵碼2151;Internet控制消息協定[ICMP]泛洪,即特徵碼2152)。 感測器檢測到攻擊,並將此情況告知指揮交換機。訪問控制清單(ACL)被下載到路由器以避開來自攻擊者的流量。在攻擊者host unreachable上顯示,在受害者上顯示下載的ACL。

必要條件

需求

在嘗試此配置之前,請確保滿足以下要求:

  • 安裝感測器並確保其正常工作。

  • 確保監聽介面跨越路由器的外部介面。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • Cisco IDS導向器2.2.3

  • Cisco IDS感應器3.0.5

  • 採用12.2.6的Cisco IOS®路由器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例

設定

本節提供用於設定本文件中所述功能的資訊。

注意:要查詢有關本文檔中使用的命令的其他資訊,請使用命令查詢工具(僅限註冊客戶)。

網路圖表

本文檔使用下圖所示的網路設定。

shunning_director1.gif

組態

本檔案會使用這些組態。

路由器燈 
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

路由器屋 
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

配置感測器

完成以下步驟以配置感測器。

  1. 使用使用者名稱root和口令attackTelnet至10.64.10.49

  2. 輸入sysconfig-sensor

  3. 出現提示時,輸入配置資訊,如本示例所示。

    1 - IP Address: 10.64.10.49
2 - IP Netmask: 255.255.255.224
3 - IP Host Name:  sensor-2 
4 - Default Route     10.64.10.33
5 - Network Access Control 
         64. 
         10.
6 - Communications Infrastructure
Sensor Host ID: 49
Sensor Organization ID:     900
Sensor Host Name: sensor-2
Sensor Organization Name:   cisco
Sensor IP Address:        10.64.10.49
IDS Manager Host ID: 50
IDS Manager Organization ID:   900
IDS Manager Host Name:        dir3
IDS Manager Organization Name: cisco
IDS Manager IP Address:        10.64.21.50

  4. 出現提示時,儲存配置並允許感測器重新啟動。

將感測器增加到指揮交換機

完成以下步驟,將感測器增加到指揮交換機中。

  1. 使用使用者名稱netrangr和口令attackTelnet至10.64.21.50

  2. 輸入ovw&以啟動HP OpenView。

  3. 在主選單中,選擇Security > Configure

  4. 在Configuration File Management Utility中,選擇File > Add Host,然後按一下Next

  5. 以下是如何填寫所請求資訊的範例。

    shunning_directora.gif

  6. 接受電腦型別的預設設定,然後按一下Next,如本示例所示。

    shunning_directorb.gif

  7. 更改日誌和shun分鐘,或者如果值可以接受,則保留為預設值。將網路介面名稱變更為監聽介面的名稱。

    在本例中為「iprb0」。 視感測器的型別與連線方式而定,可以是「spwr0」或其他任何型別。

    shunning_directorc.gif

  8. 按一下Next,直到有相應的選項可供按一下Finish

    您已成功將感測器增加到Director中。從Main Menu中,您應該看到sensor-2,如本例所示。

    shunning_directord.gif

配置Cisco IOS路由器的迴避

完成以下步驟以配置Cisco IOS路由器的迴避。

  1. 在主選單中,選擇Security > Configure

  2. 在Configuration File Management Utility中,突出顯示sensor-2並按兩下它。

  3. 打開Device Management

  4. 按一下Devices > Add,然後輸入本示例中所示的資訊。按一下OK繼續。

    Telnet口令和使能口令與路由器「House」中的口令匹配。

    shunning_directore.gif

  5. 按一下Interfaces > Add,輸入此資訊,然後按一下OK繼續。

    shunning_directorf.gif

  6. 按一下Shunning > Add,然後選擇sensor-2.cisco作為迴避伺服器。完成後,關閉「裝置管理」窗口。

    shunning_directorg.gif

  7. 打開Intrusion Detection窗口,然後按一下Protected Networks。將範圍10.64.10.110.64.10.254增加到受保護的網路,如下例所示。

    shunning_directorh.gif

  8. 按一下Profile > Manual Configuration

  9. 選擇Modify Signatures > Large ICMP Traffic(ID為2151)。

  10. 按一下Modify,將Action從None更改為Shun & Log,然後按一下OK繼續。

    shunning_directorj.gif

  11. 選擇ID為2152ICMP Flood,然後按一下Modify。將Action從None更改為Shun & Log,然後按一下OK繼續。

    shunning_directori.gif

  12. 按一下OK關閉Intrusion Detection窗口。

  13. 打開System Files資料夾,然後打開Daemons窗口。

    確保您已啟用以下守護程式:

    shunning_directork.gif

  14. 按一下OK繼續,選擇剛才修改的版本,然後按一下Save,再按一下Apply

    等待系統通知您感測器已完成重新啟動服務,然後關閉指揮交換機配置的所有窗口。

    shunning_directorl.gif

驗證

本節提供的資訊可用於確認組態是否正常運作。

輸出直譯器工具支援某些show命令(僅供註冊客戶使用),透過該工具可檢視對show命令輸出的分析。

  • show access-list -列出路由器配置中的access-list命令語句。它還列出一個命中計數,它指示在access-list命令搜尋過程中某個元素已匹配的次數。

  • ping -用於診斷基本網路連線。

攻擊發起前

在發動攻擊之前,請發出以下命令。

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

發起攻擊和迴避

從路由器「Light」向受害者「House」發起攻擊。 當ACL生效時,將看到不可達資訊。

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

感測器檢測到攻擊並下載ACL後,此輸出將顯示在「House」上。

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

「Light」上仍會顯示無法到達的專案,如本例所示。

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

15分鐘後,《豪斯醫師》恢復正常,因為迴避被設定為15分鐘。

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

「輕」可以ping「房子」。

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
05-Sep-2001
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品