Shun/Block en IPS para el router ASA/PIX/IOS

Introducción

Este documento describe cómo configurar el rechazo en un router Private Internet Exchange (PIX)/ASA/Cisco IOS® con la ayuda de Cisco IPS.

Prerequisites

Requirements

Antes de configurar ARC para bloqueo o limitación de velocidad, debe completar estas tareas:

• Analice la topología de la red para saber qué dispositivos pueden bloquearse mediante qué sensor y qué direcciones no pueden bloquearse nunca.

• Recopile los nombres de usuario, las contraseñas de dispositivos, las contraseñas de activación y los tipos de conexiones (Telnet o SSH) necesarios para iniciar sesión en cada dispositivo.

• Conozca los nombres de interfaz en los dispositivos.

• Conozca los nombres de la ACL Pre-Block o VACL y de la ACL Post-Block o VACL si es necesario.

• Comprender qué interfaces se pueden bloquear y cuáles no, y en qué dirección (de entrada o de salida).

Componentes Utilizados

La información de este documento se basa en Cisco Intrusion Prevention System (IPS) 5.1 y versiones posteriores.

Nota: De forma predeterminada, ARC está configurado para un límite de 250 entradas de bloque. 

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Convenciones

Refiérase a Convenciones de Formato de Uso para Consejos Técnicos y Otro Contenido para obtener más información sobre las convenciones del documento.

Antecedentes

ARC, la aplicación de bloqueo en el sensor, inicia y detiene los bloques en los routers, Cisco 5000 RSM y Catalyst 6500 Series Switches, PIX Firewalls, FWSM y Adaptive Security Appliance (ASA). ARC emite un bloqueo o rechazo al dispositivo administrado para la dirección IP maliciosa. ARC envía el mismo bloque a todos los dispositivos que gestiona el sensor. Si se configura un sensor de bloqueo primario, el bloqueo se reenvía a este dispositivo y se emite desde él. ARC monitorea el tiempo para el bloque y elimina el bloque una vez que caduca.

Cuando se utiliza IPS 5.1, se debe tener especial cuidado al rechazar firewalls en modo de contexto múltiple, ya que no se envía información de VLAN con la solicitud de rechazo.

Nota: el bloqueo no se admite en el contexto de administración de un FWSM de contexto múltiple.

Existen tres tipos de bloques:

• Bloque de host: bloquea todo el tráfico de una dirección IP determinada.

• Bloque de conexión: bloquea el tráfico de una dirección IP de origen determinada a una dirección IP de destino y un puerto de destino determinados. Varios bloques de conexión de la misma dirección IP de origen a una dirección IP de destino o un puerto de destino diferentes conmutan automáticamente el bloque de un bloque de conexión a un bloque host.

  Nota: los dispositivos de seguridad no admiten bloques de conexión. Los dispositivos de seguridad solo admiten bloques de host con información de puertos y protocolos opcionales.

• Bloqueo de red: bloquea todo el tráfico de una red determinada. Puede iniciar los bloques de conexión y host de forma manual o automática cuando se activa una firma. Sólo puede iniciar bloques de red manualmente.

Para los bloques automáticos, debe elegir Host de bloque de solicitud o Conexión de bloque de solicitud como acción de evento para firmas concretas, de modo que SensorApp envíe una solicitud de bloqueo a ARC cuando se active la firma. Una vez que ARC recibe la solicitud de bloqueo de SensorApp, actualiza las configuraciones del dispositivo para bloquear el host o la conexión. 

En los routers de Cisco y los switches Catalyst de la serie 6500, ARC crea bloques mediante la aplicación de ACL o VACL. Las ACL y las VACL aplican filtros a las interfaces, que incluyen la dirección, y las VLAN, respectivamente, para permitir o denegar el tráfico. El firewall PIX, FWSM y ASA no utilizan ACL ni VACL. Se utilizan los comandos integrados shun y no shun.

Esta información es necesaria para la configuración de ARC:

• Inicie sesión con el ID de usuario, si el dispositivo está configurado con AAA.

• Contraseña de inicio de sesión

• Habilitar contraseña, que no es necesaria si el usuario tiene privilegios de habilitación.

• Interfaces que se deben gestionar, por ejemplo, ethernet0, vlan100.

• Cualquier información de ACL o VACL existente que desee aplicar al principio (Pre-Block ACL o VACL) o al final (Post-Block ACL o VACL) de la ACL o VACL que se cree. Esto no se aplica a un firewall PIX, FWSM o ASA porque no utilizan ACL o VACL para bloquear.

• Si utiliza Telnet o SSH para comunicarse con el dispositivo.

• Direcciones IP (host o intervalo de hosts) que no desea bloquear.

• Cuánto tiempo quieres que duren los bloques.

Utilice la página Bloqueo para configurar los ajustes básicos requeridos para habilitar el bloqueo y el límite de velocidad.

ARC controla las acciones de bloqueo y limitación de velocidad en los dispositivos administrados.

Debe ajustar su sensor para identificar los hosts y las redes que nunca se pueden bloquear. Es posible que el tráfico de un dispositivo de confianza active una firma. Si esta firma se configura para bloquear al atacante, el tráfico de red legítimo puede verse afectado. La dirección IP del dispositivo se puede enumerar en la lista Nunca bloquear para evitar este escenario.

Una máscara de red especificada en una entrada Never Block se aplica a la dirección Never Block. Si no se especifica ninguna máscara de red, se aplica una máscara /32 predeterminada.

Nota: De forma predeterminada, el sensor no puede emitir un bloque para su propia dirección IP, ya que esto interfiere con la comunicación entre el sensor y el dispositivo de bloqueo. Sin embargo, el usuario puede configurar esta opción.

Una vez que ARC está configurado para administrar un dispositivo de bloqueo, el dispositivo de bloqueo rechaza y las ACL/VACL que se utilizan para el bloqueo no se pueden modificar manualmente. Esto puede causar una interrupción del servicio ARC y puede dar lugar a que no se emitan los bloques futuros.

Nota: de forma predeterminada, los dispositivos Cisco IOS® solo admiten bloqueos. Puede anular el valor predeterminado de bloqueo si elige limitación de velocidad o bloqueo más limitación de velocidad.

Para emitir o alterar bloques, el usuario IPS debe tener la función de administrador u operador.

Configuración del sensor para administrar routers de Cisco

En esta sección se describe cómo configurar el sensor para administrar routers Cisco. Contiene los siguientes temas:

• Configurar perfiles de usuario

• Routers y ACL

• Configuración de routers de Cisco mediante CLI

Configurar perfiles de usuario

El sensor administra los otros dispositivos con el comando user-profiles profile_name para configurar los perfiles de usuario. Los perfiles de usuario contienen la información de ID de usuario, contraseña y contraseña de activación. Por ejemplo, los routers que comparten las mismas contraseñas y nombres de usuario pueden estar bajo un perfil de usuario.

Nota: Debe crear un perfil de usuario antes de configurar el dispositivo de bloqueo.

Complete estos pasos para configurar los perfiles de usuario:

1. Inicie sesión en la CLI con una cuenta que tenga privilegios de administrador.

2. Entre en modo de acceso a la red.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Cree el nombre del perfil de usuario.

   sensor(config-net)#user-profiles PROFILE1
   

4. Escriba el nombre de usuario para ese perfil de usuario.

   sensor(config-net-use)#username username
   

5. Especifique la contraseña para el usuario.

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. Especifique la contraseña de activación para el usuario.

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. Compruebe los parámetros.

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. Salga del submodo de acceso a la red.

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. Presione Enter para aplicar los cambios o ingrese no para descartarlos.

Routers y ACL

Cuando ARC se configura con un dispositivo de bloqueo que utiliza ACL, las ACL se componen de esta manera:

1. Una línea de permisos con la dirección IP del sensor o, si se especifica, la dirección de traducción de direcciones de red (NAT) del sensor.

   Nota: Si permite que se bloquee el sensor, esta línea no aparecerá en la ACL.

2. ACL previa al bloqueo (si se especifica): esta ACL ya debe existir en el dispositivo.

   Nota: ARC lee las líneas en la ACL preconfigurada y copia estas líneas en el inicio de la ACL de bloque.

3. Cualquier bloque activo.

4. ACL posterior al bloqueo o permit ip any any:

   • ACL posterior al bloqueo (si se especifica):

     Esta ACL ya debe existir en el dispositivo.

     Nota: ARC lee las líneas en la ACL y copia estas líneas al final de la ACL.

     Nota: Asegúrese de que la última línea en la ACL sea permit ip any any si desea que se permitan todos los paquetes sin correspondencia.

   • permit ip any any (no se utiliza si se especifica una ACL posterior al bloqueo)

Nota: Ni usted ni ningún otro sistema pueden modificar las ACL que ARC realiza. Estas ACL son temporales y el sensor crea constantemente nuevas ACL. Las únicas modificaciones que puede realizar son las ACL anteriores y posteriores al bloqueo.

Si necesita modificar la ACL anterior o posterior al bloqueo, siga estos pasos:

1. Desactive el bloqueo en el sensor.

2. Realice los cambios en la configuración del dispositivo.

3. Vuelva a activar el bloqueo en el sensor.

Cuando se vuelve a activar el bloqueo, el sensor lee la nueva configuración del dispositivo.

Nota: un solo sensor puede gestionar varios dispositivos, pero varios sensores no pueden gestionar un único dispositivo. En el caso de que los bloques emitidos desde múltiples sensores estén destinados a un único dispositivo de bloqueo, se debe incorporar un sensor de bloqueo primario en el diseño. Un sensor de bloqueo principal recibe solicitudes de bloqueo de varios sensores y envía todas las solicitudes de bloqueo al dispositivo de bloqueo.

Puede crear y guardar ACL anteriores y posteriores al bloqueo en la configuración del router. Estas ACL deben ser ACL IP extendidas, ya sea nombradas o numeradas. Consulte la documentación del router para obtener más información sobre cómo crear ACL.

Nota: las ACL anteriores y posteriores al bloqueo no se aplican al límite de velocidad.

Las ACL se evalúan de arriba hacia abajo y se realiza la primera acción de coincidencia. La ACL Pre-Block puede contener un permiso que tendría precedencia sobre una negación que resultó de un bloqueo.

La ACL posterior al bloqueo se utiliza para tener en cuenta cualquier condición no manejada por la ACL anterior al bloqueo o los bloques. Si tiene una ACL existente en la interfaz y en la dirección en la que se emiten los bloques, esa ACL se puede utilizar como ACL Post-Block. Si no tiene una ACL posterior al bloqueo, el sensor inserta permit ip any any al final de la nueva ACL.

Cuando el sensor se pone en marcha, lee el contenido de las dos ACL. Crea una tercera ACL con estas entradas:

• Una línea de permiso para la dirección IP del sensor.

• Copias de todas las líneas de configuración de la ACL Pre-Block.

• Una línea de denegación para cada dirección bloqueada por el sensor.

• Copias de todas las líneas de configuración de la ACL posterior al bloqueo.

El sensor aplica la nueva ACL a la interfaz y a la dirección que usted designe.

Nota: Cuando la nueva ACL de bloque se aplica a una interfaz del router, en una dirección determinada, reemplaza cualquier ACL preexistente en esa interfaz en esa dirección.

Configuración de routers de Cisco mediante CLI

Complete estos pasos para configurar un sensor para administrar un router de Cisco para realizar el bloqueo y la limitación de velocidad:

1. Inicie sesión en la CLI con una cuenta que tenga privilegios de administrador.

2. Entre en el submodo de acceso a red.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Especifique la dirección IP para el router controlado por ARC.

   sensor(config-net)#router-devices ip_address
   

4. Introduzca el nombre de dispositivo lógico que creó al configurar el perfil de usuario.

   sensor(config-net-rou)#profile-name user_profile_name
   

   Nota: ARC acepta todo lo que ingrese. No comprueba si el perfil de usuario existe.

5. Especifique el método utilizado para acceder al sensor.

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   Si no se especifica, se utiliza SSH 3DES.

   Nota: Si utiliza DES o 3DES, debe utilizar el comando ssh host-key ip_address para aceptar la clave SSH del dispositivo.

6. Especifique la dirección NAT del sensor.

   sensor(config-net-rou)#nat-address nat_address
   

   Nota: Esto cambia la dirección IP en la primera línea de la ACL de la dirección del sensor a la dirección NAT. La dirección NAT es la dirección del sensor, post-NAT. traducida por un dispositivo intermediario, ubicado entre el sensor y el dispositivo de bloqueo.

7. Especifique si el router realiza el bloqueo, la limitación de velocidad o ambos.

   Nota: el valor predeterminado es bloqueo. No tiene que configurar las capacidades de respuesta si desea que el router realice el bloqueo solamente.

   • Sólo limitación de velocidad

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • Bloqueo y limitación de velocidad

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. Especifique el nombre y la dirección de la interfaz.

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   Nota: El nombre de la interfaz debe ser una abreviatura que el router reconozca cuando se utilice después del comando interface.

9. (Opcional) Agregue el nombre anterior a la ACL (solo bloqueo).

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. (Opcional) Agregue el nombre posterior a la ACL (solo bloqueo).

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. Compruebe los parámetros.

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 10.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. Salga del submodo de acceso a la red.

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. Presione Enter para aplicar los cambios o ingrese no para descartarlos.

Configuración del sensor para administrar los firewalls de Cisco

Complete estos pasos para configurar el sensor para administrar los firewalls de Cisco:

1. Inicie sesión en la CLI con una cuenta que tenga privilegios de administrador.

2. Entre en el submodo de acceso a red.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Especifique la dirección IP para el firewall controlado por ARC.

   sensor(config-net)#firewall-devices ip_address
   

4. Introduzca el nombre de perfil de usuario que creó al configurar el perfil de usuario.

   sensor(config-net-fir)#profile-name user_profile_name
   

   Nota: ARC acepta todo lo que escriba. No comprueba si el dispositivo lógico existe.

5. Especifique el método utilizado para acceder al sensor.

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   Si no se especifica, se utiliza SSH 3DES.

   Nota: Si utiliza DES o 3DES, debe utilizar el comando ssh host-key ip_address para aceptar la clave o ARC no puede conectarse al dispositivo.

6. Especifique la dirección NAT del sensor.

   sensor(config-net-fir)#nat-address nat_address
   

   Nota: Esto cambia la dirección IP en la primera línea de la ACL de la dirección IP del sensor a la dirección NAT. La dirección NAT es la dirección del sensor, posterior a la NAT, traducida por un dispositivo intermediario, situada entre el sensor y el dispositivo de bloqueo.

7. Salga del submodo de acceso a la red.

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. Presione Enter para aplicar los cambios o ingrese no para descartarlos.

Bloquear con SHUN en PIX/ASA

La ejecución del comando shun bloquea las conexiones de un host atacante. Los paquetes que coinciden con los valores del comando se descartan y se registran hasta que se elimina la función de bloqueo. El comando shun se aplica independientemente de si una conexión con la dirección de host especificada está actualmente activa.

Si especifica la dirección de destino, los puertos de origen y de destino y el protocolo, limitará el rechazo a las conexiones que coincidan con esos parámetros. Sólo puede tener un comando shun para cada dirección IP de origen.

Dado que el comando shun se utiliza para bloquear ataques dinámicamente, no se muestra en la configuración del dispositivo de seguridad.

Siempre que se elimina una interfaz, también se eliminan todas las rechazos que están conectados a esa interfaz.

Este ejemplo muestra que el host infractor (10.1.1.27) establece una conexión con la víctima (10.2.2.89) a TCP. La conexión de la tabla de conexiones del dispositivo de seguridad es la siguiente:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

Para bloquear las conexiones de un host atacante, utilice el comando shun en el modo EXEC privilegiado. Aplique el comando shun con estas opciones:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

El comando elimina la conexión de la tabla de conexión del dispositivo de seguridad y también evita que los paquetes de 10.1.1.27:555 a 10.2.2.89:666 (TCP) pasen a través del dispositivo de seguridad.

Información Relacionada

• Configuración del sensor para administrar switches Catalyst serie 6500 y routers Cisco serie 7600
• Soporte Técnico y Documentación - Cisco Systems