Cisco Intrusion Detection System (IDS) Director和Sensor可用於管理Cisco路由器,以便迴避。在本文檔中,感測器(sensor-2)配置為檢測對路由器「House」的攻擊,並將此資訊傳遞給控制器「dir3」。 配置後,從路由器「Light」發起攻擊(ping大於1024位元組,即特徵碼2151;Internet控制消息協定[ICMP]泛洪,即特徵碼2152)。 感測器檢測到攻擊,並將此情況告知指揮交換機。訪問控制清單(ACL)被下載到路由器以避開來自攻擊者的流量。在攻擊者host unreachable上顯示,在受害者上顯示下載的ACL。
在嘗試此配置之前,請確保滿足以下要求:
安裝感測器並確保其正常工作。
確保監聽介面跨越路由器的外部介面。
本文中的資訊係根據以下軟體和硬體版本:
Cisco IDS導向器2.2.3
Cisco IDS感應器3.0.5
採用12.2.6的Cisco IOS®路由器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
本節提供用於設定本文件中所述功能的資訊。
注意:要查詢有關本文檔中使用的命令的其他資訊,請使用命令查詢工具(僅限註冊客戶)。
本文檔使用下圖所示的網路設定。
本檔案會使用這些組態。
路由器燈 |
---|
Current configuration : 906 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
路由器屋 |
---|
Current configuration : 2187 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! enable password cisco ! ! ! ip subnet-zero ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 !--- After you configure shunning, IDS Sensor puts this line in. ip access-group IDS_FastEthernet0/0_in_1 in duplex auto speed auto ! interface FastEthernet0/1 ip address 10.64.10.45 255.255.255.224 duplex auto speed auto ! ! ! interface FastEthernet4/0 no ip address shutdown duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.33 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server ip pim bidir-enable ! ! !--- After you configure shunning, IDS Sensor puts these lines in. ip access-list extended IDS_FastEthernet0/0_in deny ip host 100.100.100.2 any permit ip host 10.64.10.49 any permit ip any any ! snmp-server manager ! call RSVP-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! ! end house# |
完成以下步驟以配置感測器。
使用使用者名稱root和口令attackTelnet至10.64.10.49。
輸入sysconfig-sensor。
出現提示時,輸入配置資訊,如本示例所示。
1 - IP Address: 10.64.10.49 2 - IP Netmask: 255.255.255.224 3 - IP Host Name: sensor-2 4 - Default Route 10.64.10.33 5 - Network Access Control 64. 10. 6 - Communications Infrastructure Sensor Host ID: 49 Sensor Organization ID: 900 Sensor Host Name: sensor-2 Sensor Organization Name: cisco Sensor IP Address: 10.64.10.49 IDS Manager Host ID: 50 IDS Manager Organization ID: 900 IDS Manager Host Name: dir3 IDS Manager Organization Name: cisco IDS Manager IP Address: 10.64.21.50
出現提示時,儲存配置並允許感測器重新啟動。
完成以下步驟,將感測器增加到指揮交換機中。
使用使用者名稱netrangr和口令attackTelnet至10.64.21.50。
輸入ovw&以啟動HP OpenView。
在主選單中,選擇Security > Configure。
在Configuration File Management Utility中,選擇File > Add Host,然後按一下Next。
以下是如何填寫所請求資訊的範例。
接受電腦型別的預設設定,然後按一下Next,如本示例所示。
更改日誌和shun分鐘,或者如果值可以接受,則保留為預設值。將網路介面名稱變更為監聽介面的名稱。
在本例中為「iprb0」。 視感測器的型別與連線方式而定,可以是「spwr0」或其他任何型別。
按一下Next,直到有相應的選項可供按一下Finish。
您已成功將感測器增加到Director中。從Main Menu中,您應該看到sensor-2,如本例所示。
完成以下步驟以配置Cisco IOS路由器的迴避。
在主選單中,選擇Security > Configure。
在Configuration File Management Utility中,突出顯示sensor-2並按兩下它。
打開Device Management。
按一下Devices > Add,然後輸入本示例中所示的資訊。按一下OK繼續。
Telnet口令和使能口令與路由器「House」中的口令匹配。
按一下Interfaces > Add,輸入此資訊,然後按一下OK繼續。
按一下Shunning > Add,然後選擇sensor-2.cisco作為迴避伺服器。完成後,關閉「裝置管理」窗口。
打開Intrusion Detection窗口,然後按一下Protected Networks。將範圍10.64.10.1到10.64.10.254增加到受保護的網路,如下例所示。
按一下Profile > Manual Configuration。
選擇Modify Signatures > Large ICMP Traffic(ID為2151)。
按一下Modify,將Action從None更改為Shun & Log,然後按一下OK繼續。
選擇ID為2152的ICMP Flood,然後按一下Modify。將Action從None更改為Shun & Log,然後按一下OK繼續。
按一下OK關閉Intrusion Detection窗口。
打開System Files資料夾,然後打開Daemons窗口。
確保您已啟用以下守護程式:
按一下OK繼續,選擇剛才修改的版本,然後按一下Save,再按一下Apply。
等待系統通知您感測器已完成重新啟動服務,然後關閉指揮交換機配置的所有窗口。
本節提供的資訊可用於確認組態是否正常運作。
輸出直譯器工具支援某些show命令(僅供註冊客戶使用),透過該工具可檢視對show命令輸出的分析。
show access-list -列出路由器配置中的access-list命令語句。它還列出一個命中計數,它指示在access-list命令搜尋過程中某個元素已匹配的次數。
ping -用於診斷基本網路連線。
在發動攻擊之前,請發出以下命令。
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house# light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms light#
從路由器「Light」向受害者「House」發起攻擊。 當ACL生效時,將看到不可達資訊。
light#ping Protocol [ip]: Target IP address: 10.64.10.45 Repeat count [5]: 1000000 Datagram size [100]: 18000 Timeout in seconds [2]: Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.
感測器檢測到攻擊並下載ACL後,此輸出將顯示在「House」上。
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_0 permit ip host 10.64.10.49 any deny ip host 100.100.100.2 any (459 matches) permit ip any any
「Light」上仍會顯示無法到達的專案,如本例所示。
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5)
15分鐘後,《豪斯醫師》恢復正常,因為迴避被設定為15分鐘。
House#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house#
「輕」可以ping「房子」。
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
目前尚無適用於此組態的具體疑難排解資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
05-Sep-2001 |
初始版本 |