Einrichten von Shunning auf einem UNIX Director

Download-Optionen

  • PDF     (344.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (160.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (347.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:19. Januar 2006
Dokument-ID:3901

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Cisco Intrusion Detection System (IDS) Director und Sensor können zur Verwaltung eines Cisco Routers verwendet werden, um diesen zu meiden. In diesem Dokument wird ein Sensor (Sensor-2) konfiguriert, um Angriffe auf den Router "House" zu erkennen und diese Informationen an den Director "dir3" weiterzuleiten. Nach der Konfiguration wird vom Router "Light" ein Angriff gestartet (ein Ping mit mehr als 1024 Byte, d. h. die Signatur 2151, und eine ICMP-Überflutung, d. h. die Signatur 2152). Der Sensor erkennt den Angriff und teilt dies dem Director mit. Eine Zugriffskontrollliste (ACL) wird auf den Router heruntergeladen, um den Datenverkehr des Angreifers zu vermeiden. Auf dem Host des Angreifers wird "unreachable" (nicht erreichbar) angezeigt, und auf dem Opfer wird die heruntergeladene ACL angezeigt.

Voraussetzungen

Anforderungen

Bevor Sie diese Konfiguration durchführen, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

  • Installieren Sie den Sensor, und stellen Sie sicher, dass er ordnungsgemäß funktioniert.

  • Stellen Sie sicher, dass sich die Sniffing-Schnittstelle auf die externe Schnittstelle des Routers erstreckt.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco IDS Director 2.2.3

  • Cisco IDS-Sensor 3.0.5

  • Cisco IOS® Router mit 12.2.6

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die in dieser Abbildung gezeigte Netzwerkeinrichtung verwendet.

shunning_director1.gif

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet.

Router-LED 
Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Router-Haus 
Current configuration : 2187 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
enable password cisco
!
!
!
ip subnet-zero
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.1 255.255.255.0

!--- After you configure shunning, IDS Sensor puts this line in.

 ip access-group IDS_FastEthernet0/0_in_1 in


duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.64.10.45 255.255.255.224
 duplex auto
 speed auto
!
!
!
interface FastEthernet4/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.33
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
ip pim bidir-enable
!
!

!--- After you configure shunning, IDS Sensor puts these lines in.

ip access-list extended IDS_FastEthernet0/0_in
deny ip host 100.100.100.2 any 
permit ip host 10.64.10.49 any
 permit ip any any

!
snmp-server manager
!
call RSVP-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
!
!
end

house#

Konfigurieren Sie den Sensor.

Führen Sie diese Schritte aus, um den Sensor zu konfigurieren.

  1. Telnet an 10.64.10.49 mit Benutzername root und Passwort attack.

  2. Geben Sie sysconfig-sensor ein.

  3. Geben Sie bei entsprechender Aufforderung die Konfigurationsinformationen ein, wie in diesem Beispiel gezeigt.

    1 - IP Address: 10.64.10.49
2 - IP Netmask: 255.255.255.224
3 - IP Host Name:  sensor-2 
4 - Default Route     10.64.10.33
5 - Network Access Control 
         64. 
         10.
6 - Communications Infrastructure
Sensor Host ID: 49
Sensor Organization ID:     900
Sensor Host Name: sensor-2
Sensor Organization Name:   cisco
Sensor IP Address:        10.64.10.49
IDS Manager Host ID: 50
IDS Manager Organization ID:   900
IDS Manager Host Name:        dir3
IDS Manager Organization Name: cisco
IDS Manager IP Address:        10.64.21.50

  4. Wenn Sie dazu aufgefordert werden, speichern Sie die Konfiguration, und erlauben Sie dem Sensor einen Neustart.

Fügt den Sensor dem Director hinzu

Führen Sie diese Schritte aus, um den Sensor zum Director hinzuzufügen.

  1. Telnet an 10.64.21.50 mit Benutzername netrange und Passwort Angriff.

  2. Geben Sie ovw& ein, um HP OpenView zu starten.

  3. Wählen Sie im Hauptmenü Security > Configure.

  4. Wählen Sie im Dienstprogramm für die Konfigurationsdateiverwaltung Datei > Host hinzufügen aus, und klicken Sie auf Weiter.

  5. Dies ist ein Beispiel dafür, wie Sie die angeforderten Informationen ausfüllen.

    shunning_directora.gif

  6. Akzeptieren Sie die Standardeinstellung für den Computertyp, und klicken Sie auf Weiter, wie in diesem Beispiel gezeigt.

    shunning_directorb.gif

  7. Ändern Sie das Protokoll, und lassen Sie die Minuten durchgehen, oder belassen Sie diese als Standardwerte bei, wenn die Werte zulässig sind. Ändern Sie den Namen der Netzwerkschnittstelle in den Namen Ihrer Sniffing-Schnittstelle.

    In diesem Beispiel ist es "iprb0". Es kann sich um "spwr0" oder irgendetwas anderes handeln, abhängig vom Sensortyp und davon, wie Sie Ihren Sensor anschließen.

    shunning_directorc.gif

  8. Klicken Sie auf Weiter, bis eine Option zum Klicken auf Fertig stellen angezeigt wird.

    Sie haben den Sensor erfolgreich zu Director hinzugefügt. Im Hauptmenü sollte sensor-2 angezeigt werden, wie in diesem Beispiel.

    shunning_directord.gif

Konfigurieren von Shunning für den Cisco IOS-Router

Führen Sie die folgenden Schritte aus, um das Verhindern für den Cisco IOS-Router zu konfigurieren.

  1. Wählen Sie im Hauptmenü Security > Configure.

  2. Markieren Sie im Dienstprogramm für die Konfigurationsdateiverwaltung sensor-2, und doppelklicken Sie darauf.

  3. Öffnen Sie die Geräteverwaltung.

  4. Klicken Sie auf Geräte > Hinzufügen, und geben Sie die in diesem Beispiel angezeigten Informationen ein. Klicken Sie auf OK, um fortzufahren.

    Das Telnet- und das Aktivierungskennwort stimmen mit dem im Router "House" überein.

    shunning_directore.gif

  5. Klicken Sie auf Schnittstellen > Hinzufügen, geben Sie diese Informationen ein, und klicken Sie auf OK, um fortzufahren.

    shunning_directorf.gif

  6. Klicken Sie auf Shunning > Add (Shunning > Hinzufügen), und wählen Sie sensor-2.cisco als Server für die Shunning-Option aus. Schließen Sie das Fenster für die Geräteverwaltung, wenn Sie fertig sind.

    shunning_directorg.gif

  7. Öffnen Sie das Fenster Intrusion Detection, und klicken Sie auf Protected Networks. Fügen Sie den Bereich 10.64.10.1 bis 10.64.10.254 zum geschützten Netzwerk hinzu, wie in diesem Beispiel gezeigt.

    shunning_directorh.gif

  8. Klicken Sie auf Profil > Manuelle Konfiguration.

  9. Wählen Sie Signaturen ändern > Großer ICMP-Datenverkehr mit der ID 2151 aus.

  10. Klicken Sie auf Ändern, ändern Sie die Aktion von Keine in Shun & Log, und klicken Sie auf OK, um fortzufahren.

    shunning_directorj.gif

  11. Wählen Sie ICMP Flood mit der ID 2152 aus, und klicken Sie auf Modify. Ändern Sie die Aktion von Keine in Shun & Log, und klicken Sie auf OK, um fortzufahren.

    shunning_directori.gif

  12. Klicken Sie auf OK, um das Fenster Intrusion Detection zu schließen.

  13. Öffnen Sie den Ordner Systemdateien, und öffnen Sie das Fenster Daemons.

    Stellen Sie sicher, dass Sie diese Daemons aktiviert haben:

    shunning_directork.gif

  14. Klicken Sie auf OK, um fortzufahren, wählen Sie die gerade geänderte Version aus, klicken Sie auf Speichern und dann auf Anwenden.

    Warten Sie, bis das System Ihnen mitteilt, dass der Sensor den Neustart der Dienste abgeschlossen hat, und schließen Sie dann alle Fenster für die Director-Konfiguration.

    shunning_directorl.gif

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.

  • show access-list: Führt die access-list-Befehlsanweisungen in der Routerkonfiguration auf. Außerdem wird eine Trefferanzahl aufgelistet, die angibt, wie oft ein Element während einer Zugriffslisten-Befehlssuche zugeordnet wurde.

  • ping - Dient zum Diagnostizieren grundlegender Netzwerkverbindungen.

Bevor ein Angriff gestartet wird

Führen Sie diese Befehle aus, bevor ein Angriff gestartet wird.

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1 
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches) 
house# 
 
light#ping 10.64.10.45 
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
light#

Starten Sie den Angriff und die Abschreckung

Starten Sie Ihren Angriff vom Router "Light" auf das Opfer "House". Wenn die ACL aktiviert wird, werden die nicht erreichbaren Elemente angezeigt.

light#ping 
Protocol [ip]: 
Target IP address: 10.64.10.45 
Repeat count [5]: 1000000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.

Sobald der Sensor den Angriff erkannt hat und die ACL heruntergeladen wird, wird diese Ausgabe auf "House" (Haus) angezeigt.

house#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_0 
  permit ip host 10.64.10.49 any 
  deny ip host 100.100.100.2 any (459 matches) 
  permit ip any any

Die nicht erreichbaren Telefone sind weiterhin auf "Light" zu sehen, wie in diesem Beispiel gezeigt.

Light#ping 10.64.10.45
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: 
U.U.U 
Success rate is 0 percent (0/5)

Fünfzehn Minuten später geht "House" wieder zur Normalität zurück, denn die Zurückweisung wurde auf 15 Minuten festgelegt.

House#show access-list 
Extended IP access list IDS_FastEthernet0/0_in_1
    permit ip host 10.64.10.49 any 
    permit ip any any (12 matches)
house#

"Licht" kann "Haus" pingen.

Light#ping 10.64.10.45 
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
05-Sep-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.