Configurando a redefinição de TCP de IPS usando IME

Introduction

Este documento discute a configuração da redefinição de TCP do sistema de prevenção de intrusão (IPS) usando o IPS Manager Express (IME). Sensores IME e IPS são usados para gerenciar um roteador Cisco para redefinição de TCP. Ao revisar esta configuração, lembre-se destes itens:

• Instale o sensor e verifique se ele funciona corretamente.

• Faça com que a interface de monitoramento se estenda até o roteador fora da interface.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco IPS Manager Express 7.0

• Cisco IPS Sensor 7.0(0.88)E3

• Roteador Cisco IOS® com Software Cisco IOS versão 12.4

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configurar

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

Configurações

Este documento utiliza as configurações mostradas aqui.

• Luz do Roteador

• Companhia do Roteador

Current configuration : 906 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 10.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Current configuration : 939 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
!
!
no ip cef
no ip domain lookup
!
ip audit notify log
ip audit po max-events 100
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
!
!
interface FastEthernet0/0
 ip address 10.66.79.210 255.255.255.224
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.100.100.1 255.255.255.0
 duplex auto
 speed auto
!
interface ATM1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 10.100.100.2
no ip http server
no ip http secure-server
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 exec-timeout 0 0
 password cisco
 login
line vty 5 15
 login
!
!
end

Inicie a configuração do sensor

Conclua estes passos para iniciar a configuração do Sensor.

1. Se esta for a primeira vez que você faz login no Sensor, você deverá digitar cisco como o nome de usuário e cisco como a senha.

2. Quando o sistema solicitar, altere a senha.

   Observação: Cisco123 é uma palavra do dicionário e não é permitido no sistema.

3. Digite setup e complete o prompt do sistema para configurar os parâmetros básicos para os sensores.

4. Insira esta informação:

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   
   !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. 
   
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname Corp-IPS 
   telnetOption enabled 
   
   !--- Permit the IP address of workstation or network with IME
   
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit

5. Salve a configuração.

   Pode levar alguns minutos para que o sensor salve a configuração.

   [0] Go to the command prompt without saving this config. 
   [1] Return back to the setup without saving this config. 
   [2] Save this configuration and exit setup. 
   
   Enter your selection[2]: 2 

Adicione o sensor ao IME

Conclua estes passos para adicionar o sensor ao IME:

1. Vá para o PC Windows, que instalou o IPS Manager Express, e abra o IPS Manager Express.

2. Escolha Início > Adicionar .

   

3. Digite essas informações e clique em OK para concluir a configuração.

4. Escolha Devices > Corp-IPS para verificar o status do sensor e clique com o botão direito do mouse para escolher Device Status (Status do dispositivo).

   Verifique se você pode ver a assinatura aberta com êxito.

   

Configure a redefinição de TCP para o Cisco IOS Router

Conclua estes passos para configurar a redefinição de TCP para o roteador Cisco IOS:

1. No PC IME, abra o navegador da Web e vá para https://10.66.79.195.

2. Clique em OK para aceitar o certificado HTTPS baixado do sensor.

3. Na janela Login, insira cisco como o nome de usuário e 123cisco123 como a senha.

   Esta interface de gerenciamento IME é exibida:

   

4. Na guia Configuração, clique em Assinaturas ativas.

5. Em seguida, clique em Assistente de assinatura.

   

6. No assistente, escolha Yes e escolha String TCP como o mecanismo Signature. Clique em Next.

   

7. Você pode deixar essas informações como padrão ou digitar seu próprio ID de assinatura, Nome da assinatura e Notas do usuário. Clique em Next.

   

8. Escolha Ação de evento e escolha Produzir alerta e Redefinir conexão TCP. Clique em OK e em Avançar para continuar.

   

9. Insira uma expressão regular e testattack será usado neste exemplo. Insira 23 para Portas de serviço, escolha Para serviço para a direção e clique em Avançar para continuar.

   

10. Você pode deixar essas informações como Padrão. Clique em Next.

    

11. Clique em Concluir para concluir o Assistente.

    

12. Escolha Configuration > sig0 > Ative Signatures para localizar a assinatura recém-criada por Sig ID ou Sig Name. Clique em Editar para visualizar a assinatura.

    

13. Clique em OK depois de confirmar e clique no botão Aplicar para aplicar a assinatura ao sensor.

Verificar

Inicie o ataque e a reinicialização do TCP

Conclua estes passos para iniciar o ataque e a reinicialização do TCP:

1. Antes de iniciar o ataque, vá para o IME, escolha Event Monitoring > Dropped Attacks View e escolha o sensor à direita.

2. Do Router Light, Telnet para o Router House e inserir um teste de ataque.

   Pressione <space> ou <enter> para redefinir sua sessão Telnet.

   light#telnet 10.100.100.1 
       Trying 10.100.100.1 ... Open 
   
       User Access Verification 
       Password: 
       house>en 
       Password: 
       house#testattack 
       [Connection to 10.100.100.1 closed by foreign host] 
       
   !--- Telnet session has been reset due to the !--- signature "String.tcp" triggered. 
   
   

3. No Painel do Visualizador de Eventos IPS, o Alarme Vermelho é exibido quando o ataque é iniciado.

   

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Dicas

Use estas dicas de solução de problemas:

• O Shunning sai da porta de comando e controle para reprogramar as listas de controle de acesso (ACLs) do roteador. As redefinições de TCP são enviadas da interface de farejamento do sensor. Quando você define span no switch, use o comando set span <src_mod/src_port><dest_mod/dest_port> com ambos os pacotes de entrada ativados, como mostrado aqui.

  banana (enable)set span 2/12 3/6 both inpkts enable 
  Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
  Incoming Packets enabled. Learning enabled. Multicast enabled. 
  banana (enable) 
  banana (enable) 
  banana (enable)show span 
  
  Destination     : Port 3/6              
  !--- connect to sniffing interface of the sensor 
  Admin Source    : Port 2/12        
  !--- connect to FastEthernet0/0 of Router House 
  Oper Source     : Port 2/12 
  Direction       : transmit/receive 
  Incoming Packets: enabled  
  Multicast       : enabled 

• Se as redefinições de TCP estiverem funcionando, verifique se o alarme é disparado para o tipo de ação TCP Reset. Se o alarme for exibido, verifique se o tipo de assinatura está definido como TCP reset.

  Faça login usando o su da conta de serviço para raiz e emita este comando. Esse comando supõe que a interface de detecção está definida como eth0.

  [root@sensor1 root]#tcpdump -i eth0 -n 

  Observação: cem reinicializações tcp são enviadas à vítima/alvo e cem são enviadas ao invasor/cliente.

  Esta é uma saída de exemplo:

  03:06:00.598777 64.104.209.205.1409 > 
   10.66.79.38.telnet: R 107:107(0) ack 72 win 0 
  03:06:00.598794 64.104.209.205.1409 > 
   10.66.79.38.telnet: R 108:108(0) ack 72 win 0 
  
  03:06:00.599360 10.66.79.38.telnet > 
   64.104.209.205.1409: R 72:72(0) ack 46 win 0 
  03:06:00.599377 10.66.79.38.telnet > 
   64.104.209.205.1409: R 73:73(0) ack 46 win 0 

Informações Relacionadas

• Página de suporte do Cisco Secure Intrusion Prevention
• Documentação do Cisco Secure Intrusion Prevention System
• Suporte Técnico e Documentação - Cisco Systems