Shun/Block auf IPS für ASA/PIX/IOS-Router

Einleitung

In diesem Dokument wird beschrieben, wie mithilfe von Cisco IPS das Shunning auf einem Private Internet Exchange (PIX)/ASA/Cisco IOS® Router konfiguriert wird.

Voraussetzungen

Anforderungen

Bevor Sie ARC für die Blockierung oder Ratenbegrenzung konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

• Analysieren Sie Ihre Netzwerktopologie, um zu ermitteln, welche Geräte von welchem Sensor blockiert werden können und welche Adressen niemals blockiert werden können.

• Sammeln Sie die Benutzernamen, Gerätekennwörter, Aktivierungskennwörter und Verbindungstypen (Telnet oder SSH), die für die Anmeldung bei den einzelnen Geräten erforderlich sind.

• Die Schnittstellennamen auf den Geräten kennen

• Machen Sie sich mit den Namen der Pre-Block ACL oder VACL und ggf. der Post-Block ACL oder VACL vertraut.

• Informieren Sie sich darüber, welche Schnittstellen blockiert werden können und welche nicht und in welche Richtung (ein- oder ausgehend).

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Cisco Intrusion Prevention System (IPS) 5.1 und höher.

Hinweis: ARC ist standardmäßig für maximal 250 Blockeinträge konfiguriert. 

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Verwendungsformatkonventionen für technische Tipps und andere Inhalte.

Hintergrundinformationen

ARC, die blockierende Anwendung auf dem Sensor, startet und stoppt Blöcke auf Routern, Cisco Switches der Serie 5000 RSM und Catalyst Switches der Serie 6500, PIX-Firewalls, FWSM und der Adaptive Security Appliance (ASA). Der ARC blockiert die schädliche IP-Adresse oder leitet sie zum verwalteten Gerät weiter. ARC sendet den gleichen Block an alle Geräte, die der Sensor verwaltet. Wenn ein primärer Blockierungssensor konfiguriert ist, wird der Block an dieses Gerät weitergeleitet und von diesem ausgegeben. ARC überwacht die Zeit für den Block und entfernt den Block nach Ablauf der Zeit.

Wenn Sie IPS 5.1 verwenden, müssen Sie besonders vorsichtig sein, wenn Sie Firewalls im Multiple-Context-Modus einschalten, da mit der Shun-Anforderung keine VLAN-Informationen gesendet werden.

Hinweis: Die Sperrung wird im Admin-Kontext eines FWSM mit mehreren Kontexten nicht unterstützt.

Es gibt drei Blocktypen:

• Host block (Hostblock): Blockiert den gesamten Datenverkehr von einer bestimmten IP-Adresse.

• Connection block (Verbindungsblock): Blockiert den Datenverkehr von einer bestimmten Quell-IP-Adresse zu einer bestimmten Ziel-IP-Adresse und einem bestimmten Ziel-Port. Mehrere Verbindungsblöcke von derselben Quell-IP-Adresse zu einer anderen Ziel-IP-Adresse oder einem anderen Ziel-Port schalten den Block automatisch von einem Verbindungsblock zu einem Host-Block um.

  Hinweis: Verbindungsblöcke werden von Sicherheitsanwendungen nicht unterstützt. Sicherheits-Appliances unterstützen nur Hostblöcke mit optionalen Port- und Protokollinformationen.

• Netzwerkblock: Blockiert den gesamten Datenverkehr aus einem bestimmten Netzwerk. Sie können Host- und Verbindungsblöcke manuell oder automatisch initiieren, wenn eine Signatur ausgelöst wird. Netzwerkblöcke können nur manuell initiiert werden.

Bei automatischen Blöcken müssen Sie Request Block Host oder Request Block Connection als Ereignisaktion für bestimmte Signaturen auswählen, damit SensorApp eine Blockanforderung an ARC sendet, wenn die Signatur ausgelöst wird. Sobald der ARC die Blockanforderung von SensorApp empfängt, aktualisiert er die Gerätekonfigurationen, um den Host oder die Verbindung zu blockieren. 

Auf Cisco Routern und Switches der Serie Catalyst 6500 erstellt ARC Blöcke durch Anwenden von ACLs oder VACLs. ACLs und VACLs wenden Filter auf Schnittstellen an, die die Richtung und VLANs enthalten, um Datenverkehr zuzulassen oder zu verweigern. Die PIX-Firewall, FWSM und ASA verwenden keine ACLs oder VACLs. Die integrierten Befehle shun und no shun werden verwendet.

Diese Informationen sind für die Konfiguration von ARC erforderlich:

• Melden Sie sich mit der Benutzer-ID an, wenn das Gerät mit AAA konfiguriert ist.

• Kennwort für Anmeldung

• Aktivieren Sie das Kennwort, das nicht erforderlich ist, wenn der Benutzer über Aktivierungsberechtigungen verfügt.

• Verwaltete Schnittstellen, z. B. Ethernet0, VLAN100.

• Alle vorhandenen ACL- oder VACL-Informationen, die zu Beginn (Pre-Block ACL oder VACL) oder Ende (Post-Block ACL oder VACL) der erstellten ACL oder VACL angewendet werden sollen. Dies gilt nicht für eine PIX-Firewall, FWSM oder ASA, da sie keine ACLs oder VACLs zum Blockieren verwenden.

• Unabhängig davon, ob Sie Telnet oder SSH für die Kommunikation mit dem Gerät verwenden.

• IP-Adressen (Host oder Bereich von Hosts), die nie gesperrt werden sollen.

• Wie lange die Blöcke dauern sollen.

Auf der Seite Blockieren können Sie die erforderlichen Grundeinstellungen konfigurieren, um die Blockierung und Ratenbegrenzung zu aktivieren.

ARC steuert die Blockierung und Ratenbegrenzung von Aktionen auf verwalteten Geräten.

Sie müssen Ihren Sensor anpassen, um Hosts und Netzwerke zu identifizieren, die nie blockiert werden können. Der Datenverkehr eines vertrauenswürdigen Geräts kann eine Signatur auslösen. Wenn diese Signatur so konfiguriert ist, dass sie den Angreifer blockiert, kann dies den legitimen Netzwerkverkehr beeinträchtigen. Die IP-Adresse des Geräts kann in der Liste Nie blockieren aufgeführt werden, um dieses Szenario zu verhindern.

Eine in einem Nie-Blockierungseintrag angegebene Netzmaske wird auf die Nie-Blockierungsadresse angewendet. Wenn keine Netzmaske angegeben ist, wird eine /32-Standardmaske angewendet.

Hinweis: Standardmäßig darf der Sensor keinen Block für seine eigene IP-Adresse ausgeben, da dies die Kommunikation zwischen dem Sensor und dem Sperrgerät beeinträchtigt. Diese Option kann jedoch vom Benutzer konfiguriert werden.

Nachdem ARC für die Verwaltung eines Blockierungsgeräts konfiguriert wurde, wird das Blockierungsgerät shuned, und die zum Blockieren verwendeten ACLs/VACLs können nicht manuell geändert werden. Dies kann zu einer Unterbrechung des ARC-Dienstes führen und dazu führen, dass zukünftige Blöcke nicht ausgegeben werden.

Hinweis: Standardmäßig wird nur die Blockierung auf Cisco IOS®-Geräten unterstützt. Sie können die Standardeinstellung für die Blockierung überschreiben, wenn Sie die Ratenbegrenzung oder die Blockierung plus Ratenbegrenzung wählen.

Um Blöcke auszugeben oder zu ändern, muss der IPS-Benutzer über die Rolle "Administrator" oder "Operator" verfügen.

Konfigurieren des Sensors zur Verwaltung von Cisco Routern

In diesem Abschnitt wird beschrieben, wie Sie den Sensor für die Verwaltung von Cisco Routern konfigurieren. Folgende Themen werden behandelt:

• Benutzerprofile konfigurieren

• Router und ACLs

• Konfigurieren von Cisco Routern mithilfe der CLI

Benutzerprofile konfigurieren

Der Sensor verwaltet die anderen Geräte mit dem Befehl user-profiles profile_name, um Benutzerprofile einzurichten. Die Benutzerprofile enthalten die Benutzer-ID, das Kennwort und Informationen zum Aktivieren von Kennwörtern. Router, die alle dieselben Kennwörter und Benutzernamen verwenden, können beispielsweise unter einem Benutzerprofil zusammengefasst werden.

Hinweis: Sie müssen ein Benutzerprofil erstellen, bevor Sie das Blockierungsgerät konfigurieren.

Gehen Sie wie folgt vor, um Benutzerprofile einzurichten:

1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

2. Wechseln in den Netzwerkzugriffsmodus

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Erstellen Sie den Benutzernamen.

   sensor(config-net)#user-profiles PROFILE1
   

4. Geben Sie den Benutzernamen für dieses Benutzerprofil ein.

   sensor(config-net-use)#username username
   

5. Geben Sie das Kennwort für den Benutzer an.

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. Geben Sie das Aktivierungskennwort für den Benutzer an.

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. Überprüfen Sie die Einstellungen.

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. Beenden Sie den Netzwerkzugriffs-Submodus.

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

Router und ACLs

Wenn der ARC mit einem Blockierungsgerät konfiguriert wird, das Zugriffskontrolllisten verwendet, werden die Zugriffskontrolllisten wie folgt aufgebaut:

1. Eine Genehmigungszeile mit der IP-Adresse des Sensors oder, falls angegeben, der NAT-Adresse (Network Address Translation) des Sensors.

   Hinweis: Wenn Sie die Sperrung des Sensors zulassen, wird diese Zeile nicht in der ACL angezeigt.

2. Vorblockierte ACL (falls angegeben): Diese ACL muss bereits auf dem Gerät vorhanden sein.

   Hinweis: ARC liest die Zeilen in der vorkonfigurierten ACL und kopiert diese Zeilen an den Anfang des Blocks.

3. Alle aktiven Blöcke.

4. Entweder Post-Block ACL oder permit ip any:

   • Post-Block ACL (falls angegeben):

     Diese ACL muss auf dem Gerät bereits vorhanden sein.

     Hinweis: ARC liest die Zeilen in der ACL und kopiert diese Zeilen an das Ende der ACL.

     Hinweis: Stellen Sie sicher, dass die letzte Zeile in der ACL permit ip any any lautet, wenn alle nicht übereinstimmenden Pakete zugelassen werden sollen.

   • permit ip any any (wird nicht verwendet, wenn eine Post-Block-ACL angegeben wird)

Hinweis: Die von ARC erstellten ACLs können weder von Ihnen noch von einem anderen System geändert werden. Diese Zugriffskontrolllisten sind temporär, und der Sensor erstellt ständig neue Zugriffskontrolllisten. Sie können lediglich Änderungen an den Vor- und Nachblock-ACLs vornehmen.

Führen Sie die folgenden Schritte aus, wenn Sie die Vor- oder Nachblock-ACL ändern müssen:

1. Deaktivieren Sie die Blockierung auf dem Sensor.

2. Nehmen Sie die Änderungen an der Konfiguration des Geräts vor.

3. Aktivieren Sie die Blockierung des Sensors erneut.

Wenn die Blockierung wieder aktiviert wird, liest der Sensor die neue Gerätekonfiguration.

Hinweis: Ein einzelner Sensor kann mehrere Geräte verwalten, aber nicht mehrere Sensoren ein einziges Gerät. Sollen Blöcke, die von mehreren Sensoren ausgegeben werden, für eine einzige Sperrvorrichtung verwendet werden, muss ein primärer Sperrsensor in die Konstruktion integriert werden. Ein primärer Blockierungssensor empfängt Blockierungsanforderungen von mehreren Sensoren und gibt alle Blockierungsanforderungen an das Blockierungsgerät aus.

Sie erstellen und speichern Pre-Block- und Post-Block-ACLs in Ihrer Router-Konfiguration. Bei diesen ACLs muss es sich um erweiterte IP-ACLs handeln, die entweder benannt oder nummeriert sind. Weitere Informationen zum Erstellen von ACLs finden Sie in der Router-Dokumentation.

Hinweis: ACLS vor und nach der Blockierung gelten nicht für die Ratenbeschränkung.

ACLs werden von oben nach unten ausgewertet und die Aktion für die erste Übereinstimmung ausgeführt. Die Pre-Block ACL kann eine Berechtigung enthalten, die Vorrang vor einer Ablehnung hat, die sich aus einem Block ergibt.

Die Post-Block-ACL wird verwendet, um Bedingungen zu berücksichtigen, die von der Pre-Block-ACL oder den Blöcken nicht behandelt werden. Wenn auf der Schnittstelle eine ACL in der Richtung vorhanden ist, in der die Blöcke ausgegeben werden, kann diese ACL als Post-Block-ACL verwendet werden. Wenn Sie keine Post-Block-ACL haben, lassen die Sensor-Einfügungen ip any any am Ende der neuen ACL zu.

Beim Start liest der Sensor den Inhalt der beiden ACLs. Es wird eine dritte ACL mit den folgenden Einträgen erstellt:

• Eine Genehmigungszeile für die Sensor-IP-Adresse.

• Kopien aller Konfigurationszeilen der vorblockierten ACL

• Eine Ablehnungszeile für jede Adresse, die vom Sensor blockiert wird.

• Kopien aller Konfigurationsposten der Post-Block-ACL.

Der Sensor wendet die neue ACL auf die Schnittstelle und die von Ihnen festgelegte Richtung an.

Hinweis: Wenn die neue Block-ACL auf eine Schnittstelle des Routers in einer bestimmten Richtung angewendet wird, ersetzt sie alle vorhandenen ACLs in dieser Richtung.

Konfigurieren von Cisco Routern mithilfe der CLI

Gehen Sie wie folgt vor, um einen Sensor für die Verwaltung eines Cisco Routers zu konfigurieren, um Blockierung und Ratenbegrenzung durchzuführen:

1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

2. Wechseln in den Netzwerkzugriffs-Submodus

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Geben Sie die IP-Adresse für den von ARC gesteuerten Router an.

   sensor(config-net)#router-devices ip_address
   

4. Geben Sie den logischen Gerätenamen ein, den Sie bei der Konfiguration des Benutzerprofils erstellt haben.

   sensor(config-net-rou)#profile-name user_profile_name
   

   Hinweis: ARC akzeptiert alle eingegebenen Daten. Es wird nicht überprüft, ob das Benutzerprofil vorhanden ist.

5. Geben Sie die Methode an, die für den Zugriff auf den Sensor verwendet wird.

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   Wenn nicht angegeben, wird SSH 3DES verwendet.

   Hinweis: Wenn Sie DES oder 3DES verwenden, müssen Sie den Befehl ssh host-key ip_address verwenden, um den SSH-Schlüssel vom Gerät zu akzeptieren.

6. Geben Sie die NAT-Adresse des Sensors an.

   sensor(config-net-rou)#nat-address nat_address
   

   Hinweis: Dadurch wird die IP-Adresse in der ersten Zeile der ACL von der Adresse des Sensors in die NAT-Adresse geändert. Die NAT-Adresse ist die Sensoradresse, die nach der NAT von einem zwischengeschalteten Gerät zwischen dem Sensor und der Blockierungseinrichtung umgewandelt wird.

7. Geben Sie an, ob der Router eine Blockierung, eine Ratenbegrenzung oder beides durchführt.

   Hinweis: Die Standardeinstellung ist blocking. Sie müssen keine Antwortfunktionen konfigurieren, wenn der Router nur die Blockierung durchführen soll.

   • Nur Ratenbegrenzung

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • Blockierung und Ratenbegrenzung

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. Geben Sie den Namen und die Richtung der Schnittstelle an.

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   Hinweis: Der Name der Schnittstelle muss eine Abkürzung sein, die der Router erkennt, wenn er nach dem Schnittstellenbefehl verwendet wird.

9. (Optional) Fügen Sie den Namen vor der ACL hinzu (nur Blockierung).

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. (Optional) Fügen Sie den Namen der Post-ACL hinzu (nur Blockierung).

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. Überprüfen Sie die Einstellungen.

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 10.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. Beenden Sie den Netzwerkzugriffs-Submodus.

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

Konfigurieren des Sensors für das Management der Cisco Firewalls

Führen Sie die folgenden Schritte aus, um den Sensor für die Verwaltung von Cisco Firewalls zu konfigurieren:

1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

2. Wechseln in den Netzwerkzugriffs-Submodus

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Geben Sie die IP-Adresse für die von ARC gesteuerte Firewall an.

   sensor(config-net)#firewall-devices ip_address
   

4. Geben Sie den Namen des Benutzerprofils ein, das Sie bei der Konfiguration des Benutzerprofils erstellt haben.

   sensor(config-net-fir)#profile-name user_profile_name
   

   Hinweis: ARC akzeptiert alle eingegebenen Informationen. Es wird nicht überprüft, ob das logische Gerät vorhanden ist.

5. Geben Sie die Methode an, die für den Zugriff auf den Sensor verwendet wird.

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   Wenn nicht angegeben, wird SSH 3DES verwendet.

   Hinweis: Wenn Sie DES oder 3DES verwenden, müssen Sie den Befehl ssh host-key ip_address verwenden, um den Schlüssel zu akzeptieren, oder ARC kann keine Verbindung zum Gerät herstellen.

6. Geben Sie die NAT-Adresse des Sensors an.

   sensor(config-net-fir)#nat-address nat_address
   

   Hinweis: Dadurch wird die IP-Adresse in der ersten Zeile der ACL von der IP-Adresse des Sensors in die NAT-Adresse geändert. Die NAT-Adresse ist die Sensoradresse nach der NAT, die von einem zwischengeschalteten Gerät zwischen dem Sensor und der Blockierungseinrichtung umgewandelt wird.

7. Beenden Sie den Netzwerkzugriffs-Submodus.

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

Blockierung mit SHUN in PIX/ASA

Durch Ausgeben des Befehls shun werden Verbindungen von einem angreifenden Host blockiert. Pakete, die mit den Werten im Befehl übereinstimmen, werden verworfen und protokolliert, bis die Blockierungsfunktion entfernt wird. Der Shun wird unabhängig davon angewendet, ob eine Verbindung mit der angegebenen Host-Adresse aktuell aktiv ist.

Wenn Sie die Zieladresse, die Quell- und Zielports sowie das Protokoll angeben, schränken Sie die Shun-Funktion auf Verbindungen ein, die diesen Parametern entsprechen. Sie können für jede Quell-IP-Adresse nur einen Shun-Befehl eingeben.

Da der Befehl shun verwendet wird, um Angriffe dynamisch zu blockieren, wird er in der Konfiguration der Security Appliance nicht angezeigt.

Wenn eine Schnittstelle entfernt wird, werden auch alle Nebenschlüsse entfernt, die an diese Schnittstelle angeschlossen sind.

Dieses Beispiel zeigt, dass der angreifende Host (10.1.1.27) eine Verbindung mit dem Opfer (10.2.2.89) zu TCP herstellt. Die Verbindung in der Verbindungstabelle der Sicherheits-Appliance lautet wie folgt:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

Um Verbindungen von einem angreifenden Host zu blockieren, verwenden Sie den Befehl shun im privilegierten EXEC-Modus. Wenden Sie den Befehl shun mit folgenden Optionen an:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

Der Befehl löscht die Verbindung aus der Verbindungstabelle der Sicherheits-Appliance und verhindert, dass Pakete von 10.1.1.27:555 bis 10.2.2.89:666 (TCP) die Sicherheits-Appliance durchlaufen.

Zugehörige Informationen

• Konfigurieren des Sensors für die Verwaltung von Catalyst Switches der Serie 6500 und Cisco Routern der Serie 7600
• Technischer Support und Dokumentation für Cisco Systeme