Cisco Intrusion Detection System (IDS) Director und Sensor können zur Verwaltung eines Cisco Routers verwendet werden, um diesen zu meiden. In diesem Dokument wird ein Sensor (Sensor-2) konfiguriert, um Angriffe auf den Router "House" zu erkennen und diese Informationen an den Director "dir3" weiterzuleiten. Nach der Konfiguration wird vom Router "Light" ein Angriff gestartet (ein Ping mit mehr als 1024 Byte, d. h. die Signatur 2151, und eine ICMP-Überflutung, d. h. die Signatur 2152). Der Sensor erkennt den Angriff und teilt dies dem Director mit. Eine Zugriffskontrollliste (ACL) wird auf den Router heruntergeladen, um den Datenverkehr des Angreifers zu vermeiden. Auf dem Host des Angreifers wird "unreachable" (nicht erreichbar) angezeigt, und auf dem Opfer wird die heruntergeladene ACL angezeigt.
Bevor Sie diese Konfiguration durchführen, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:
Installieren Sie den Sensor, und stellen Sie sicher, dass er ordnungsgemäß funktioniert.
Stellen Sie sicher, dass sich die Sniffing-Schnittstelle auf die externe Schnittstelle des Routers erstreckt.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco IDS Director 2.2.3
Cisco IDS-Sensor 3.0.5
Cisco IOS® Router mit 12.2.6
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument wird die in dieser Abbildung gezeigte Netzwerkeinrichtung verwendet.
In diesem Dokument werden folgende Konfigurationen verwendet.
Router-LED |
---|
Current configuration : 906 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Router-Haus |
---|
Current configuration : 2187 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! enable password cisco ! ! ! ip subnet-zero ! ! fax interface-type modem mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 100.100.100.1 255.255.255.0 !--- After you configure shunning, IDS Sensor puts this line in. ip access-group IDS_FastEthernet0/0_in_1 in duplex auto speed auto ! interface FastEthernet0/1 ip address 10.64.10.45 255.255.255.224 duplex auto speed auto ! ! ! interface FastEthernet4/0 no ip address shutdown duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.33 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server ip pim bidir-enable ! ! !--- After you configure shunning, IDS Sensor puts these lines in. ip access-list extended IDS_FastEthernet0/0_in deny ip host 100.100.100.2 any permit ip host 10.64.10.49 any permit ip any any ! snmp-server manager ! call RSVP-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco login ! ! end house# |
Führen Sie diese Schritte aus, um den Sensor zu konfigurieren.
Telnet an 10.64.10.49 mit Benutzername root und Passwort attack.
Geben Sie sysconfig-sensor ein.
Geben Sie bei entsprechender Aufforderung die Konfigurationsinformationen ein, wie in diesem Beispiel gezeigt.
1 - IP Address: 10.64.10.49 2 - IP Netmask: 255.255.255.224 3 - IP Host Name: sensor-2 4 - Default Route 10.64.10.33 5 - Network Access Control 64. 10. 6 - Communications Infrastructure Sensor Host ID: 49 Sensor Organization ID: 900 Sensor Host Name: sensor-2 Sensor Organization Name: cisco Sensor IP Address: 10.64.10.49 IDS Manager Host ID: 50 IDS Manager Organization ID: 900 IDS Manager Host Name: dir3 IDS Manager Organization Name: cisco IDS Manager IP Address: 10.64.21.50
Wenn Sie dazu aufgefordert werden, speichern Sie die Konfiguration, und erlauben Sie dem Sensor einen Neustart.
Führen Sie diese Schritte aus, um den Sensor zum Director hinzuzufügen.
Telnet an 10.64.21.50 mit Benutzername netrange und Passwort Angriff.
Geben Sie ovw& ein, um HP OpenView zu starten.
Wählen Sie im Hauptmenü Security > Configure.
Wählen Sie im Dienstprogramm für die Konfigurationsdateiverwaltung Datei > Host hinzufügen aus, und klicken Sie auf Weiter.
Dies ist ein Beispiel dafür, wie Sie die angeforderten Informationen ausfüllen.
Akzeptieren Sie die Standardeinstellung für den Computertyp, und klicken Sie auf Weiter, wie in diesem Beispiel gezeigt.
Ändern Sie das Protokoll, und lassen Sie die Minuten durchgehen, oder belassen Sie diese als Standardwerte bei, wenn die Werte zulässig sind. Ändern Sie den Namen der Netzwerkschnittstelle in den Namen Ihrer Sniffing-Schnittstelle.
In diesem Beispiel ist es "iprb0". Es kann sich um "spwr0" oder irgendetwas anderes handeln, abhängig vom Sensortyp und davon, wie Sie Ihren Sensor anschließen.
Klicken Sie auf Weiter, bis eine Option zum Klicken auf Fertig stellen angezeigt wird.
Sie haben den Sensor erfolgreich zu Director hinzugefügt. Im Hauptmenü sollte sensor-2 angezeigt werden, wie in diesem Beispiel.
Führen Sie die folgenden Schritte aus, um das Verhindern für den Cisco IOS-Router zu konfigurieren.
Wählen Sie im Hauptmenü Security > Configure.
Markieren Sie im Dienstprogramm für die Konfigurationsdateiverwaltung sensor-2, und doppelklicken Sie darauf.
Öffnen Sie die Geräteverwaltung.
Klicken Sie auf Geräte > Hinzufügen, und geben Sie die in diesem Beispiel angezeigten Informationen ein. Klicken Sie auf OK, um fortzufahren.
Das Telnet- und das Aktivierungskennwort stimmen mit dem im Router "House" überein.
Klicken Sie auf Schnittstellen > Hinzufügen, geben Sie diese Informationen ein, und klicken Sie auf OK, um fortzufahren.
Klicken Sie auf Shunning > Add (Shunning > Hinzufügen), und wählen Sie sensor-2.cisco als Server für die Shunning-Option aus. Schließen Sie das Fenster für die Geräteverwaltung, wenn Sie fertig sind.
Öffnen Sie das Fenster Intrusion Detection, und klicken Sie auf Protected Networks. Fügen Sie den Bereich 10.64.10.1 bis 10.64.10.254 zum geschützten Netzwerk hinzu, wie in diesem Beispiel gezeigt.
Klicken Sie auf Profil > Manuelle Konfiguration.
Wählen Sie Signaturen ändern > Großer ICMP-Datenverkehr mit der ID 2151 aus.
Klicken Sie auf Ändern, ändern Sie die Aktion von Keine in Shun & Log, und klicken Sie auf OK, um fortzufahren.
Wählen Sie ICMP Flood mit der ID 2152 aus, und klicken Sie auf Modify. Ändern Sie die Aktion von Keine in Shun & Log, und klicken Sie auf OK, um fortzufahren.
Klicken Sie auf OK, um das Fenster Intrusion Detection zu schließen.
Öffnen Sie den Ordner Systemdateien, und öffnen Sie das Fenster Daemons.
Stellen Sie sicher, dass Sie diese Daemons aktiviert haben:
Klicken Sie auf OK, um fortzufahren, wählen Sie die gerade geänderte Version aus, klicken Sie auf Speichern und dann auf Anwenden.
Warten Sie, bis das System Ihnen mitteilt, dass der Sensor den Neustart der Dienste abgeschlossen hat, und schließen Sie dann alle Fenster für die Director-Konfiguration.
Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Einige Befehle des Typs show werden vom Tool Output Interpreter unterstützt (nur für registrierte Kunden), mit dem sich Analysen der Ausgabe von Befehlen des Typs show abrufen lassen.
show access-list: Führt die access-list-Befehlsanweisungen in der Routerkonfiguration auf. Außerdem wird eine Trefferanzahl aufgelistet, die angibt, wie oft ein Element während einer Zugriffslisten-Befehlssuche zugeordnet wurde.
ping - Dient zum Diagnostizieren grundlegender Netzwerkverbindungen.
Führen Sie diese Befehle aus, bevor ein Angriff gestartet wird.
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house# light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms light#
Starten Sie Ihren Angriff vom Router "Light" auf das Opfer "House". Wenn die ACL aktiviert wird, werden die nicht erreichbaren Elemente angezeigt.
light#ping Protocol [ip]: Target IP address: 10.64.10.45 Repeat count [5]: 1000000 Datagram size [100]: 18000 Timeout in seconds [2]: Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 1000000, 18000-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.U.
Sobald der Sensor den Angriff erkannt hat und die ACL heruntergeladen wird, wird diese Ausgabe auf "House" (Haus) angezeigt.
house#show access-list Extended IP access list IDS_FastEthernet0/0_in_0 permit ip host 10.64.10.49 any deny ip host 100.100.100.2 any (459 matches) permit ip any any
Die nicht erreichbaren Telefone sind weiterhin auf "Light" zu sehen, wie in diesem Beispiel gezeigt.
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5)
Fünfzehn Minuten später geht "House" wieder zur Normalität zurück, denn die Zurückweisung wurde auf 15 Minuten festgelegt.
House#show access-list Extended IP access list IDS_FastEthernet0/0_in_1 permit ip host 10.64.10.49 any permit ip any any (12 matches) house#
"Licht" kann "Haus" pingen.
Light#ping 10.64.10.45 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.64.10.45, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
05-Sep-2001 |
Erstveröffentlichung |