Configurando a redefinição de IDS TCP usando VMS IDS MC

Introduction

O documento fornece uma configuração de exemplo do Cisco Intrusion Detection System (IDS) através do VPN/Security Management Solution (VMS), IDS Management Console (IDS MC). Nesse caso, o TCP Reset do IDS Sensor para um roteador Cisco é configurado.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• O sensor está instalado e configurado para detectar o tráfego necessário.

• A interface de sniffing é expandida para a interface externa do roteador.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• VMS 2.2 com IDS MC e Security Monitor 1.2.3

• Cisco IDS Sensor 4.1.3S(63)

• Roteador Cisco que executa o Software Cisco IOS® versão 12.3.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza estas configurações.

• Luz do Roteador

• Companhia do Roteador

Current configuration : 906 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Building configuration...

Current configuration : 797 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname House
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
no ip domain lookup
!
!
interface Ethernet0
 ip address 10.66.79.210 255.255.255.224
 hold-queue 100 out
!
interface Ethernet1
 ip address 100.100.100.1 255.255.255.0
 ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
no ip http secure-server
!
!
!
line con 0
 stopbits 1
line vty 0 4
 password cisco
 login
!
scheduler max-task-time 5000
end

Configuração inicial do sensor

Observação: se você já tiver executado a configuração inicial do Sensor, vá para a seção Importar o sensor para o IDS MC.

1. Use o console para se conectar ao sensor.

   Você será solicitado a inserir um nome de usuário e uma senha. Se esta é a primeira vez que você está consolando no Sensor, você deve fazer login com o nome de usuário cisco e a senha cisco.

2. Você será solicitado a alterar a senha e a digitar novamente a nova senha para confirmá-la.

3. Digite setup e insira as informações apropriadas em cada prompt para configurar parâmetros básicos para o Sensor, de acordo com este exemplo:

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   At any point you may enter a question mark '?' for help. 
   User ctrl-c to abort configuration dialog at any prompt. 
   Default settings are in square brackets '[]'. 
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname sensor5 
   telnetOption enabled 
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit 
   
   5 Save the config:   (It might take a few minutes for the sensor 
                         saving the configuration) 
   [0] Go to the command prompt without saving this config. 
   [1] Return back to the setup without saving this config. 
   [2] Save this configuration and exit setup. 
   
   Enter your selection[2]: 2 

Importar o sensor para o IDS MC

Conclua estes passos para importar o sensor para o IDS MC.

1. Navegue até o seu sensor. Nesse caso, seja http://10.66.79.250:1741 ou https://10.66.79.250:1742.

2. Faça login com o nome de usuário e a senha apropriados.

   Neste exemplo, o nome de usuário é admin e a senha é cisco.

3. Escolha VPN/Security Management Solution > Management Center e clique em IDS Sensors.

4. Clique na guia Dispositivos e escolha Grupo de sensores.

5. Realce Global e clique em Criar Subgrupo.

6. Digite o nome do grupo e verifique se Default está escolhido e clique em OK para adicionar o subgrupo ao IDS MC.

   

7. Escolha Dispositivos > Sensor, realce o subgrupo criado na etapa anterior (nesse caso, teste) e clique em Adicionar.

8. Realce o subgrupo e clique em Avançar.

   

9. Insira os detalhes conforme este exemplo e clique em Avançar para continuar.

   

10. Quando for apresentada uma mensagem que indica Configuração do sensor importada com êxito, clique em Concluir para continuar.

    

11. Seu sensor é importado para o IDS MC. Nesse caso, o Sensor5 é importado.

    

Importar o sensor para o monitor de segurança

Conclua estes passos para importar o sensor para o Security Monitor.

1. No menu do Servidor VMS, escolha VPN/Security Management Solution > Monitoring Center > Security Monitor.

2. Selecione a guia Dispositivos, clique em Importar e insira as Informações do servidor IDS MC, conforme este exemplo.

   

3. Selecione o Sensor (nesse caso, sensor5) e clique em Avançar para continuar.

   

4. Se necessário, atualize o endereço NAT do seu sensor e clique em Concluir para continuar.

   

5. Clique em OK para concluir a importação do sensor do IDS MC para o Security Monitor.

   

6. Agora você pode ver que seu sensor foi importado com êxito

   

Usar IDS MC para atualizações de assinatura

Este procedimento explica como usar o IDS MC para atualizações de assinatura.

1. Baixe as atualizações de assinatura do IDS de rede (somente clientes registrados) e salve-as no diretório C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ no seu Servidor VMS.

2. No console do servidor VMS, escolha VPN/Security Management Solution > Management Center > IDS Sensors.

3. Selecione a guia Configuração e clique em Atualizações.

4. Clique em Atualizar assinaturas de IDS de rede.

5. Selecione a assinatura que deseja atualizar no menu suspenso e clique em Apply para continuar.

   

6. Selecione o(s) sensor(es) a atualizar e clique em Avançar para continuar.

   

7. Depois de ser solicitado a aplicar a atualização ao Management Center, bem como ao Sensor, clique em Finish para continuar.

   

8. Faça Telnet ou console na interface de linha de comando do Sensor. Você vê informações semelhantes a estas:

   sensor5# 
   Broadcast message from root (Mon Dec 15 11:42:05 2003): 
   Applying update IDS-sig-4.1-3-S63.  
   This may take several minutes. 
   Please do not reboot the sensor during this update. 
   Broadcast message from root (Mon Dec 15 11:42:34 2003): 
   Update complete. 
   sensorApp is restarting 
   This may take several minutes. 
   

9. Aguarde alguns minutos para permitir que a atualização seja concluída e insira show version para verificar.

   sensor5#show version 
   Application Partition: 
   Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 
   
   Upgrade History: 
   * IDS-sig-4.1-3-S62           07:03:04 UTC Thu Dec 04 2003 
      IDS-sig-4.1-3-S63.rpm.pkg   11:42:01 UTC Mon Dec 15 2003 

Configurar a redefinição de TCP para o roteador IOS

Conclua estes passos para configurar a redefinição de TCP para o roteador IOS.

1. Escolha VPN/Security Management Solution > Management Center > IDS Sensors.

2. Selecione a guia Configuração, selecione seu sensor no Seletor de objeto e clique em Configurações.

3. Selecione Assinaturas, clique em Personalizar e clique em Adicionar para adicionar uma nova assinatura.

   

4. Insira o novo Nome da assinatura e selecione o Mecanismo (nesse caso, STRING.TCP).

5. Marque o botão de opção apropriado para personalizar os parâmetros disponíveis e clique em Editar.

   Neste exemplo, o parâmetro ServicePorts é editado para alterar seu valor para 23 (para a porta 23). O parâmetro RegexString também é editado para adicionar o valor testattack. Quando terminar, clique em OK para continuar.

   

6. Clique no nome da assinatura para editar a Gravidade da assinatura e as ações ou para Habilitar/Desabilitar a assinatura.

   

7. Nesse caso, a gravidade é alterada para Alto e a ação Log & Reset é escolhida. Clique em OK para continuar.

   

8. A assinatura completa é semelhante a esta:

   

9. Escolha Configuration > Pending, marque a configuração pendente para garantir que está correta e clique em Save.

   

10. Escolha Deployment > Generate e clique em Apply para enviar as alterações de configuração para o Sensor.

    

11. Escolha Deployment > Deploy e clique em Submit.

12. Marque a caixa de seleção ao lado de seu sensor e clique em Implantar.

13. Marque a caixa de seleção do trabalho na fila e clique em Avançar para continuar.

    

14. Insira o Nome do trabalho e agende-o como Imediato e clique em Concluir.

    

15. Escolha Deployment > Deploy > Pending.

    Aguarde alguns minutos até que todos os trabalhos pendentes tenham sido concluídos. A fila deve estar vazia.

16. Escolha Configuration > History para confirmar a implantação.

    Verifique se o status da configuração é exibido como Implantado. Isso significa que a configuração do sensor foi atualizada com êxito.

    

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Iniciar o ataque de TCP Reset (RST)

Inicie um ataque de teste e verifique os resultados para verificar se o processo de bloqueio funciona corretamente.

1. Antes de iniciar o ataque, escolha VPN/Security Management Solution > Monitoring Center > Security Monitor.

2. Escolha Monitor no menu principal e clique em Eventos.

3. Clique em Iniciar Visualizador de Eventos.

   

4. Execute telnet de um roteador para o outro e digite testattack para iniciar o ataque.

   Nesse caso, fizemos Telnet do roteador Light para o roteador House. Assim que você pressionar <space> ou <enter>, depois de digitar testattack, sua sessão Telnet deverá ser redefinida.

   light#telnet 100.100.100.1 
   Trying 100.100.100.1 ... Open 
   User Access Verification 
   Password: 
   house>en 
   Password: 
   house#testattack 
   
   
   !--- The Telnet session is reset due to the !--- signature "testattack" being triggered.
   
   
   [Connection to 100.100.100.1 lost]
   

5. No Visualizador de Eventos, clique em Consultar Banco de Dados para novos eventos agora.

   Você vê o alerta para o ataque iniciado anteriormente

   

6. No Visualizador de Eventos, realce o alarme, clique com o botão direito do mouse nele e selecione Exibir Buffer de Contexto ou Exibir NSDB para exibir informações mais detalhadas sobre o alarme.

   

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Procedimento de Troubleshooting

Complete estas etapas para resolver problemas.

1. No IDS MC, escolha Reports > Generate.

   Dependendo do tipo de problema, mais detalhes devem ser encontrados em um dos sete relatórios disponíveis.

   

2. Enquanto o bloqueio utiliza a porta de comando e controle para configurar as listas de acesso do roteador, as redefinições de TCP são enviadas da interface de sniffing do sensor. Certifique-se de que você tenha estendido a porta correta, usando o comando set span no switch, semelhante a este:

   set span 
           
            
            
              both inpkts enable 
             
           
   banana (enable) set span 2/12 3/6 both inpkts enable 
   Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
   Incoming Packets enabled. Learning enabled. Multicast enabled. 
   banana (enable) 
   banana (enable) 
   banana (enable) show span 
   
   Destination     : Port 3/6              
   
   !--- Connect to sniffing interface of the Sensor.
   
   Admin Source    : Port 2/12        
   
   !--- In this case, connect to Ethernet1 of Router House. 
   
   Oper Source     : Port 2/12 
   Direction       : transmit/receive 
   Incoming Packets: enabled 
   Learning        : enabled 
   Multicast       : enabled 

3. Se TCP Reset não estiver funcionando, faça login no Sensor e digite o comando show event.

   Inicie o ataque e verifique se o alarme é disparado ou não. Se o alarme for disparado, verifique se ele está definido para o tipo de ação TCP reset.

Informações Relacionadas

• Página de suporte do Cisco Secure Intrusion Detection
• Documentação para Cisco Secure Intrusion Detection System
• Página de Suporte da Solução de Gerenciamento de Segurança/VPN CiscoWorks
• Suporte Técnico e Documentação - Cisco Systems