Este documento discute a configuração da redefinição de TCP do sistema de prevenção de intrusão (IPS) usando o IPS Manager Express (IME). Sensores IME e IPS são usados para gerenciar um roteador Cisco para redefinição de TCP. Ao revisar esta configuração, lembre-se destes itens:
Instale o sensor e verifique se ele funciona corretamente.
Faça com que a interface de monitoramento se estenda até o roteador fora da interface.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco IPS Manager Express 7.0
Cisco IPS Sensor 7.0(0.88)E3
Roteador Cisco IOS® com Software Cisco IOS versão 12.4
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Este documento utiliza a configuração de rede mostrada neste diagrama.
Este documento utiliza as configurações mostradas aqui.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ! ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
Conclua estes passos para iniciar a configuração do Sensor.
Se esta for a primeira vez que você faz login no Sensor, você deverá digitar cisco como o nome de usuário e cisco como a senha.
Quando o sistema solicitar, altere a senha.
Observação: Cisco123 é uma palavra do dicionário e não é permitido no sistema.
Digite setup e complete o prompt do sistema para configurar os parâmetros básicos para os sensores.
Insira esta informação:
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname Corp-IPS telnetOption enabled !--- Permit the IP address of workstation or network with IME accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit
Salve a configuração.
Pode levar alguns minutos para que o sensor salve a configuração.
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Conclua estes passos para adicionar o sensor ao IME:
Vá para o PC Windows, que instalou o IPS Manager Express, e abra o IPS Manager Express.
Escolha Início > Adicionar .
Digite essas informações e clique em OK para concluir a configuração.
Escolha Devices > Corp-IPS para verificar o status do sensor e clique com o botão direito do mouse para escolher Device Status (Status do dispositivo).
Verifique se você pode ver a assinatura aberta com êxito.
Conclua estes passos para configurar a redefinição de TCP para o roteador Cisco IOS:
No PC IME, abra o navegador da Web e vá para https://10.66.79.195.
Clique em OK para aceitar o certificado HTTPS baixado do sensor.
Na janela Login, insira cisco como o nome de usuário e 123cisco123 como a senha.
Esta interface de gerenciamento IME é exibida:
Na guia Configuração, clique em Assinaturas ativas.
Em seguida, clique em Assistente de assinatura.
No assistente, escolha Yes e escolha String TCP como o mecanismo Signature. Clique em Next.
Você pode deixar essas informações como padrão ou digitar seu próprio ID de assinatura, Nome da assinatura e Notas do usuário. Clique em Next.
Escolha Ação de evento e escolha Produzir alerta e Redefinir conexão TCP. Clique em OK e em Avançar para continuar.
Insira uma expressão regular e testattack será usado neste exemplo. Insira 23 para Portas de serviço, escolha Para serviço para a direção e clique em Avançar para continuar.
Você pode deixar essas informações como Padrão. Clique em Next.
Clique em Concluir para concluir o Assistente.
Escolha Configuration > sig0 > Ative Signatures para localizar a assinatura recém-criada por Sig ID ou Sig Name. Clique em Editar para visualizar a assinatura.
Clique em OK depois de confirmar e clique no botão Aplicar para aplicar a assinatura ao sensor.
Conclua estes passos para iniciar o ataque e a reinicialização do TCP:
Antes de iniciar o ataque, vá para o IME, escolha Event Monitoring > Dropped Attacks View e escolha o sensor à direita.
Do Router Light, Telnet para o Router House e inserir um teste de ataque.
Pressione <space> ou <enter> para redefinir sua sessão Telnet.
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 closed by foreign host] !--- Telnet session has been reset due to the !--- signature "String.tcp" triggered.
No Painel do Visualizador de Eventos IPS, o Alarme Vermelho é exibido quando o ataque é iniciado.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Use estas dicas de solução de problemas:
O Shunning sai da porta de comando e controle para reprogramar as listas de controle de acesso (ACLs) do roteador. As redefinições de TCP são enviadas da interface de farejamento do sensor. Quando você define span no switch, use o comando set span <src_mod/src_port><dest_mod/dest_port> com ambos os pacotes de entrada ativados, como mostrado aqui.
banana (enable)set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable)show span Destination : Port 3/6 !--- connect to sniffing interface of the sensor Admin Source : Port 2/12 !--- connect to FastEthernet0/0 of Router House Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Multicast : enabled
Se as redefinições de TCP estiverem funcionando, verifique se o alarme é disparado para o tipo de ação TCP Reset. Se o alarme for exibido, verifique se o tipo de assinatura está definido como TCP reset.
Faça login usando o su da conta de serviço para raiz e emita este comando. Esse comando supõe que a interface de detecção está definida como eth0.
[root@sensor1 root]#tcpdump -i eth0 -n
Observação: cem reinicializações tcp são enviadas à vítima/alvo e cem são enviadas ao invasor/cliente.
Esta é uma saída de exemplo:
03:06:00.598777 64.104.209.205.1409 > 10.66.79.38.telnet: R 107:107(0) ack 72 win 0 03:06:00.598794 64.104.209.205.1409 > 10.66.79.38.telnet: R 108:108(0) ack 72 win 0 03:06:00.599360 10.66.79.38.telnet > 64.104.209.205.1409: R 72:72(0) ack 46 win 0 03:06:00.599377 10.66.79.38.telnet > 64.104.209.205.1409: R 73:73(0) ack 46 win 0
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
08-Dec-2009 |
Versão inicial |