이 문서에서는 IPS Manager Express(IME)를 사용하여 IPS(Intrusion Prevention System) 차단을 구성하는 방법에 대해 설명합니다. IME 및 IPS 센서는 차단을 위해 Cisco 라우터를 관리하는 데 사용됩니다. 이 구성을 고려할 때 다음 항목을 기억하십시오.
센서를 설치하고 센서가 제대로 작동하는지 확인합니다.
스니핑 인터페이스를 인터페이스 외부의 라우터로 확장합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco IPS Manager Express 7.0
Cisco IPS Sensor 7.0(0.88)E3
Cisco IOS® 라우터와 Cisco IOS 소프트웨어 릴리스 12.4
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
이 문서에서는 이 네트워크 설정을 사용합니다.
이 문서에서는 이러한 구성을 사용합니다.
라우터 표시등 |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
라우터 하우스 |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 ip access-group IDS_FastEthernet0/1_in_0 in !--- After you configure blocking, !--- IDS Sensor inserts this line. duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ip access-list extended IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any !--- After you configure blocking, !--- IDS Sensor inserts this line. ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
센서 구성을 시작하려면 다음 단계를 완료하십시오.
센서에 처음 로그인하는 경우에는 cisco를 사용자 이름으로, cisco를 비밀번호로 입력해야 합니다.
시스템이 메시지를 표시하면 비밀번호를 변경합니다.
참고: Cisco123은 사전 단어이며 시스템에서 허용되지 않습니다.
setup을 입력하고 시스템 프롬프트에 따라 센서에 대한 기본 매개변수를 설정합니다.
다음 정보를 입력합니다.
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current time: Thu Oct 22 21:19:51 2009 Setup Configuration last modified: Enter host name[sensor]: Enter IP interface[10.66.79.195/24,10.66.79.193]: Modify current access list?[no]: Current access list entries: !--- permit the ip address of workstation or network with IME Permit:10.66.79.0/24 Permit: Modify system clock settings?[no]: Modify summer time settings?[no]: Use USA SummerTime Defaults?[yes]: Recurring, Date or Disable?[Recurring]: Start Month[march]: Start Week[second]: Start Day[sunday]: Start Time[02:00:00]: End Month[november]: End Week[first]: End Day[sunday]: End Time[02:00:00]: DST Zone[]: Offset[60]: Modify system timezone?[no]: Timezone[UTC]: UTC Offset[0]: Use NTP?[no]: yes NTP Server IP Address[]: Use NTP Authentication?[no]: yes NTP Key ID[]: 1 NTP Key Value[]: 8675309
컨피그레이션을 저장합니다.
센서가 컨피그레이션을 저장하는 데 몇 분 정도 걸릴 수 있습니다.
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
IME에 센서를 추가하려면 다음 단계를 완료합니다.
IPS Manager Express를 설치한 Windows PC로 이동하여 IPS Manager Express를 엽니다.
홈 > 추가를 선택합니다.
이 정보를 입력하고 OK(확인)를 클릭하여 컨피그레이션을 완료합니다.
Devices > sensor5를 선택하여 Sensor 상태를 확인한 다음 마우스 오른쪽 버튼을 클릭하여 Status를 선택합니다.
등록이 성공적으로 열렸는지 확인합니다. 메시지.
Cisco IOS 경로에 대한 차단을 구성하려면 다음 단계를 완료합니다.
IME PC에서 웹 브라우저를 열고 https://10.66.79.195으로 이동합니다.
센서에서 다운로드한 HTTPS 인증서를 수락하려면 확인을 클릭합니다.
Login(로그인) 창에서 사용자 이름에 cisco를 입력하고 비밀번호에 123cisco123을 입력합니다.
이 IME 관리 인터페이스는 다음과 같이 나타납니다.
Configuration(컨피그레이션) 탭에서 Active Signatures(활성 서명)를 클릭합니다.
그런 다음 서명 마법사를 클릭합니다.
참고: 공간 제한으로 인해 이전 스크린샷이 두 부분으로 잘렸습니다.
Yes(예) 및 String TCP as Signature(시그니처 엔진으로 문자열 TCP)를 선택합니다. Next(다음)를 클릭합니다.
이 정보를 Default(기본값)로 남겨두거나 고유한 서명 ID, 서명 이름 및 사용자 메모를 입력할 수 있습니다. Next(다음)를 클릭합니다.
Event Action(이벤트 작업)을 선택하고 Produce Alert and Request Block Host를 선택합니다. 계속하려면 다음을 클릭합니다.
이 예에서 Regular Expression(정규식)을 입력합니다. 이 예에서는 testattack이고 Service Ports(서비스 포트)23을 입력하고 To Service(서비스) for the Direction(방향)을 선택한 다음 Next(다음)를 클릭하여 계속합니다.
이 정보를 기본값으로 둘 수 있습니다. Next(다음)를 클릭합니다.
마침을 클릭하여 마법사를 완료합니다.
Configuration(컨피그레이션) > sig0 > Active Signatures(활성 시그니처)를 선택하여 Sig ID 또는 Sig Name(시그니처 서명 이름)으로 새로 생성된 시그니처를 찾습니다. 서명을 보려면 Edit를 클릭합니다.
확인 후 확인을 클릭하고 적용 버튼을 클릭하여 센서에 서명을 적용합니다.
구성 탭의 센서 관리에서 차단을 클릭합니다. 왼쪽 창에서 Blocking Properties(차단 속성)를 선택하고 Enable Blocking(차단 활성화)을 선택합니다.
이제 왼쪽 창에서 Device Login Profile(디바이스 로그인 프로필)로 이동합니다. 새 프로필을 생성하려면 Add(추가)를 클릭합니다. 생성된 후 확인 및 적용을 클릭하여 센서와 계속 진행합니다.
다음 단계는 라우터를 차단 디바이스로 구성하는 것입니다. 왼쪽 창에서 Blocking Device(차단 디바이스)를 선택하고 Add(추가)를 클릭하여 이 정보를 추가합니다. 그런 다음 확인 및 적용을 클릭합니다.
이제 왼쪽 창에서 차단 디바이스 인터페이스를 구성합니다. 정보를 추가하고 확인 및 적용..
공격 및 차단을 시작하려면 다음 단계를 완료하십시오.
공격을 실행하기 전에 IME로 이동하여 Event Monitoring(이벤트 모니터링) > Dropped Attacks View(삭제된 공격 보기)를 선택하고 오른쪽에 있는 센서를 선택합니다.
Telnet에서 Router House로 이동하고 이러한 명령을 사용하여 서버로부터의 통신을 확인합니다.
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any (12 matches) house#
Router Light, Telnet-to-Router House 및 type testattack입니다.
텔넷 세션을 재설정하려면 <space> 또는 <enter>를 누르십시오.
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 lost] !--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered.
Telnet to Router House에서 show access-list 명령을 사용합니다.
house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 10 permit ip host 10.66.79.195 any 20 deny ip host 10.100.100.2 any (71 matches) 30 permit ip any any
IDS 이벤트 뷰어의 대시보드에서 공격이 시작되면 빨간색 경보가 나타납니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
다음 문제 해결 팁을 사용합니다.
센서에서 show statistics network-access 출력을 보고 상태가 활성 상태인지 확인합니다. 콘솔 또는 SSH에서 센서로의 다음 정보가 표시됩니다.
sensor5#show statistics network-access Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 10.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
통신 매개 변수에 텔넷 또는 3DES를 사용하는 SSH와 같은 올바른 프로토콜이 사용되었는지 확인합니다. 사용자 이름 및 비밀번호 자격 증명이 올바른지 확인하기 위해 PC의 SSH/텔넷 클라이언트에서 수동 SSH 또는 텔넷을 시도할 수 있습니다. 그런 다음 센서 자체에서 라우터에 텔넷 또는 SSH를 시도하고 라우터에 성공적으로 로그인할 수 있는지 확인합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
17-Dec-2009 |
최초 릴리스 |