IME를 사용하여 IPS 차단 구성

다운로드 옵션

  • PDF     (810.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (798.5 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.0 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2009년 12월 17일
문서 ID:44905

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 IPS Manager Express(IME)를 사용하여 IPS(Intrusion Prevention System) 차단을 구성하는 방법에 대해 설명합니다. IME 및 IPS 센서는 차단을 위해 Cisco 라우터를 관리하는 데 사용됩니다. 이 구성을 고려할 때 다음 항목을 기억하십시오.

  • 센서를 설치하고 센서가 제대로 작동하는지 확인합니다.

  • 스니핑 인터페이스를 인터페이스 외부의 라우터로 확장합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco IPS Manager Express 7.0

  • Cisco IPS Sensor 7.0(0.88)E3

  • Cisco IOS® 라우터와 Cisco IOS 소프트웨어 릴리스 12.4

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

idsblock-01.gif

구성

이 문서에서는 이러한 구성을 사용합니다.

라우터 표시등 
Current configuration : 906 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 10.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

라우터 하우스 
Current configuration : 939 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
!
!
no ip cef
no ip domain lookup
!
ip audit notify log
ip audit po max-events 100
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
!
!
interface FastEthernet0/0
 ip address 10.66.79.210 255.255.255.224
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.100.100.1 255.255.255.0
 ip access-group IDS_FastEthernet0/1_in_0 in 

!--- After you configure blocking, !--- IDS Sensor inserts this line.

 duplex auto
 speed auto
!
interface ATM1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 10.100.100.2
no ip http server
no ip http secure-server
!
!
ip access-list extended IDS_FastEthernet0/1_in_0
 permit ip host 10.66.79.195 any
 permit ip any any

!--- After you configure blocking, !--- IDS Sensor inserts this line.

!
call rsvp-sync
!
!
mgcp profile default
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 exec-timeout 0 0
 password cisco
 login
line vty 5 15
 login
!
!
end

센서 구성 시작

센서 구성을 시작하려면 다음 단계를 완료하십시오.

  1. 센서에 처음 로그인하는 경우에는 cisco를 사용자 이름으로, cisco를 비밀번호로 입력해야 합니다.

  2. 시스템이 메시지를 표시하면 비밀번호를 변경합니다.

    참고: Cisco123은 사전 단어이며 시스템에서 허용되지 않습니다.

  3. setup 입력하고 시스템 프롬프트에 따라 센서에 대한 기본 매개변수를 설정합니다.

  4. 다음 정보를 입력합니다.

    sensor5#setup 

    --- System Configuration Dialog --- 


!--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. 

Current time: Thu Oct  22 21:19:51 2009

Setup Configuration last modified:

Enter host name[sensor]:
Enter IP interface[10.66.79.195/24,10.66.79.193]:

Modify current access list?[no]:
Current access list entries:

!--- permit the ip address of workstation or network with IME

Permit:10.66.79.0/24
Permit:
Modify system clock settings?[no]:
  Modify summer time settings?[no]:
    Use USA SummerTime Defaults?[yes]:
    Recurring, Date or Disable?[Recurring]:
    Start Month[march]:
    Start Week[second]:
    Start Day[sunday]:
    Start Time[02:00:00]:
    End Month[november]:
    End Week[first]:
    End Day[sunday]:
    End Time[02:00:00]:
    DST Zone[]: 
    Offset[60]:
  Modify system timezone?[no]:
    Timezone[UTC]:
    UTC Offset[0]:
  Use NTP?[no]: yes
    NTP Server IP Address[]: 
    Use NTP Authentication?[no]: yes
      NTP Key ID[]: 1
      NTP Key Value[]: 8675309

  5. 컨피그레이션을 저장합니다.

    센서가 컨피그레이션을 저장하는 데 몇 분 정도 걸릴 수 있습니다.

    [0] Go to the command prompt without saving this config. 
[1] Return back to the setup without saving this config. 
[2] Save this configuration and exit setup. 

Enter your selection[2]: 2

IME에 센서 추가

IME에 센서를 추가하려면 다음 단계를 완료합니다.

  1. IPS Manager Express를 설치한 Windows PC로 이동하여 IPS Manager Express를 엽니다.

  2. 홈 > 추가를 선택합니다.

  3. 이 정보를 입력하고 OK(확인)를 클릭하여 컨피그레이션을 완료합니다.

    idsblock-02.gif

  4. Devices > sensor5를 선택하여 Sensor 상태를 확인한 다음 마우스 오른쪽 버튼을 클릭하여 Status를 선택합니다.

    등록 성공적으로 열렸는지 확인합니다. 메시지.

    idsblock-03.gif

Cisco IOS 라우터에 대한 차단 구성

Cisco IOS 경로에 대한 차단을 구성하려면 다음 단계를 완료합니다.

  1. IME PC에서 웹 브라우저를 열고 https://10.66.79.195으로 이동합니다.

  2. 센서에서 다운로드한 HTTPS 인증서를 수락하려면 확인을 클릭합니다.

  3. Login(로그인) 창에서 사용자 이름에 cisco를 입력하고 비밀번호에 123cisco123을 입력합니다.

    이 IME 관리 인터페이스는 다음과 같이 나타납니다.

    idsblock-04.gif

  4. Configuration(컨피그레이션) 탭에서 Active Signatures(활성 서명)를 클릭합니다.

  5. 그런 다음 서명 마법사를 클릭합니다.

    idsblock-05.gif

    참고: 공간 제한으로 인해 이전 스크린샷이 두 부분으로 잘렸습니다.

  6. Yes(예)String TCP as Signature(시그니처 엔진으로 문자열 TCP)를 선택합니다. Next(다음)를 클릭합니다.

    idsblock-06.gif

  7. 이 정보를 Default(기본값)로 남겨두거나 고유한 서명 ID, 서명 이름 및 사용자 메모를 입력할 수 있습니다. Next(다음)를 클릭합니다.

    idsblock-07.gif

  8. Event Action(이벤트 작업)을 선택하고 Produce Alert and Request Block Host를 선택합니다. 계속하려면 다음을 클릭합니다.

    idsblock-08.gif

  9. 이 예에서 Regular Expression(정규식)을 입력합니다. 이 예에서는 testattack이고 Service Ports(서비스 포트)23을 입력하고 To Service(서비스) for the Direction(방향)을 선택한 다음 Next(다음)를 클릭하여 계속합니다.

    idsblock-09.gif

  10. 이 정보를 기본값으로 둘 수 있습니다. Next(다음)를 클릭합니다.

    idsblock-10.gif

  11. 마침을 클릭하여 마법사를 완료합니다.

    idsblock-11.gif

  12. Configuration(컨피그레이션) > sig0 > Active Signatures(활성 시그니처)를 선택하여 Sig ID 또는 Sig Name(시그니처 서명 이름)으로 새로 생성된 시그니처를 찾습니다. 서명을 보려면 Edit를 클릭합니다.

    idsblock-12.gif

  13. 확인 후 확인을 클릭하고 적용 버튼을 클릭하여 센서에 서명을 적용합니다.

  14. 구성 탭의 센서 관리에서 차단을 클릭합니다. 왼쪽 창에서 Blocking Properties(차단 속성)를 선택하고 Enable Blocking(차단 활성화)을 선택합니다.

    idsblock-13.gif

  15. 이제 왼쪽 창에서 Device Login Profile(디바이스 로그인 프로필)로 이동합니다. 새 프로필을 생성하려면 Add(추가)를 클릭합니다. 생성된 후 확인적용을 클릭하여 센서와 계속 진행합니다.

    idsblock-14.gif

  16. 다음 단계는 라우터를 차단 디바이스로 구성하는 것입니다. 왼쪽 창에서 Blocking Device(차단 디바이스)를 선택하고 Add(추가)를 클릭하여 이 정보를 추가합니다. 그런 다음 확인적용 클릭합니다.

    idsblock-15.gif

  17. 이제 왼쪽 창에서 차단 디바이스 인터페이스를 구성합니다. 정보를 추가하고 확인적용..

    idsblock-16.gif

다음을 확인합니다.

공격 및 차단 실행

공격 및 차단을 시작하려면 다음 단계를 완료하십시오.

  1. 공격을 실행하기 전에 IME로 이동하여 Event Monitoring(이벤트 모니터링) > Dropped Attacks View(삭제된 공격 보기)를 선택하고 오른쪽에 있는 센서를 선택합니다.

  2. Telnet에서 Router House로 이동하고 이러한 명령을 사용하여 서버로부터의 통신을 확인합니다.

    house#show user
 
  Line     User      Host(s)          Idle        Location
* 0 con 0             idle          00:00:00
226 vty 0             idle          00:00:17     10.66.79.195


house#show access-list
Extended IP access list IDS_FastEthernet0/1_in_0
  permit ip host 10.66.79.195 any
  permit ip any any (12 matches)
house#

  3. Router Light, Telnet-to-Router House 및 type testattack입니다.

    텔넷 세션을 재설정하려면 <space> <enter>를 누르십시오. 

    light#telnet 10.100.100.1 
    Trying 10.100.100.1 ... Open 

    User Access Verification 
    Password: 
    house>en 
    Password: 
    house#testattack 
    [Connection to 10.100.100.1 lost] 
    
!--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered.

  4. Telnet to Router House에서 show access-list 명령을 사용합니다.

    house#show access-list 
Extended IP access list IDS_FastEthernet0/1_in_0
10 permit ip host 10.66.79.195 any 
20 deny ip host 10.100.100.2 any (71 matches) 
30 permit ip any any

  5. IDS 이벤트 뷰어의 대시보드에서 공격이 시작되면 빨간색 경보가 나타납니다.

    idsblock-17.gif

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

다음 문제 해결 팁을 사용합니다.

  • 센서에서 show statistics network-access 출력을 보고 상태가 활성 상태인지 확인합니다. 콘솔 또는 SSH에서 센서로의 다음 정보가 표시됩니다. 

    sensor5#show statistics network-access 
Current Configuration
  AllowSensorShun = false
  ShunMaxEntries = 100
  NetDevice
    Type = Cisco
    IP = 10.66.79.210
    NATAddr = 0.0.0.0
    Communications = telnet
    ShunInterface
      InterfaceName = FastEthernet0/1
      InterfaceDirection = in
State
  ShunEnable = true
  NetDevice
    IP = 10.66.79.210
    AclSupport = uses Named ACLs
    State = Active
  ShunnedAddr
    Host
      IP = 10.100.100.2
      ShunMinutes = 15
      MinutesRemaining = 12
sensor5#

  • 통신 매개 변수에 텔넷 또는 3DES를 사용하는 SSH와 같은 올바른 프로토콜이 사용되었는지 확인합니다. 사용자 이름 및 비밀번호 자격 증명이 올바른지 확인하기 위해 PC의 SSH/텔넷 클라이언트에서 수동 SSH 또는 텔넷을 시도할 수 있습니다. 그런 다음 센서 자체에서 라우터에 텔넷 또는 SSH를 시도하고 라우터에 성공적으로 로그인할 수 있는지 확인합니다.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
17-Dec-2009
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품