O documento fornece uma configuração de exemplo do Cisco Intrusion Detection System (IDS) através do VPN/Security Management Solution (VMS), IDS Management Console (IDS MC). Nesse caso, o TCP Reset do IDS Sensor para um roteador Cisco é configurado.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
O sensor está instalado e configurado para detectar o tráfego necessário.
A interface de sniffing é expandida para a interface externa do roteador.
As informações neste documento são baseadas nestas versões de software e hardware:
VMS 2.2 com IDS MC e Security Monitor 1.2.3
Cisco IDS Sensor 4.1.3S(63)
Roteador Cisco que executa o Software Cisco IOS® versão 12.3.5
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Este documento utiliza a seguinte configuração de rede:
Este documento utiliza estas configurações.
Luz do Roteador |
---|
Current configuration : 906 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 100.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown ! interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 100.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Companhia do Roteador |
---|
Building configuration... Current configuration : 797 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname House ! logging queue-limit 100 enable password cisco ! ip subnet-zero no ip domain lookup ! ! interface Ethernet0 ip address 10.66.79.210 255.255.255.224 hold-queue 100 out ! interface Ethernet1 ip address 100.100.100.1 255.255.255.0 ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 100.100.100.2 ip http server no ip http secure-server ! ! ! line con 0 stopbits 1 line vty 0 4 password cisco login ! scheduler max-task-time 5000 end |
Observação: se você já tiver executado a configuração inicial do Sensor, vá para a seção Importar o sensor para o IDS MC.
Use o console para se conectar ao sensor.
Você será solicitado a inserir um nome de usuário e uma senha. Se esta é a primeira vez que você está consolando no Sensor, você deve fazer login com o nome de usuário cisco e a senha cisco.
Você será solicitado a alterar a senha e a digitar novamente a nova senha para confirmá-la.
Digite setup e insira as informações apropriadas em cada prompt para configurar parâmetros básicos para o Sensor, de acordo com este exemplo:
sensor5#setup --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. User ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Current Configuration: networkParams ipAddress 10.66.79.195 netmask 255.255.255.224 defaultGateway 10.66.79.193 hostname sensor5 telnetOption enabled accessList ipAddress 10.66.79.0 netmask 255.255.255.0 exit timeParams summerTimeParams active-selection none exit exit service webServer general ports 443 exit exit 5 Save the config: (It might take a few minutes for the sensor saving the configuration) [0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
Conclua estes passos para importar o sensor para o IDS MC.
Navegue até o seu sensor. Nesse caso, seja http://10.66.79.250:1741 ou https://10.66.79.250:1742.
Faça login com o nome de usuário e a senha apropriados.
Neste exemplo, o nome de usuário é admin e a senha é cisco.
Escolha VPN/Security Management Solution > Management Center e clique em IDS Sensors.
Clique na guia Dispositivos e escolha Grupo de sensores.
Realce Global e clique em Criar Subgrupo.
Digite o nome do grupo e verifique se Default está escolhido e clique em OK para adicionar o subgrupo ao IDS MC.
Escolha Dispositivos > Sensor, realce o subgrupo criado na etapa anterior (nesse caso, teste) e clique em Adicionar.
Realce o subgrupo e clique em Avançar.
Insira os detalhes conforme este exemplo e clique em Avançar para continuar.
Quando for apresentada uma mensagem que indica Configuração do sensor importada com êxito, clique em Concluir para continuar.
Seu sensor é importado para o IDS MC. Nesse caso, o Sensor5 é importado.
Conclua estes passos para importar o sensor para o Security Monitor.
No menu do Servidor VMS, escolha VPN/Security Management Solution > Monitoring Center > Security Monitor.
Selecione a guia Dispositivos, clique em Importar e insira as Informações do servidor IDS MC, conforme este exemplo.
Selecione o Sensor (nesse caso, sensor5) e clique em Avançar para continuar.
Se necessário, atualize o endereço NAT do seu sensor e clique em Concluir para continuar.
Clique em OK para concluir a importação do sensor do IDS MC para o Security Monitor.
Agora você pode ver que seu sensor foi importado com êxito
Este procedimento explica como usar o IDS MC para atualizações de assinatura.
Baixe as atualizações de assinatura do IDS de rede (somente clientes registrados) e salve-as no diretório C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ no seu Servidor VMS.
No console do servidor VMS, escolha VPN/Security Management Solution > Management Center > IDS Sensors.
Selecione a guia Configuração e clique em Atualizações.
Clique em Atualizar assinaturas de IDS de rede.
Selecione a assinatura que deseja atualizar no menu suspenso e clique em Apply para continuar.
Selecione o(s) sensor(es) a atualizar e clique em Avançar para continuar.
Depois de ser solicitado a aplicar a atualização ao Management Center, bem como ao Sensor, clique em Finish para continuar.
Faça Telnet ou console na interface de linha de comando do Sensor. Você vê informações semelhantes a estas:
sensor5# Broadcast message from root (Mon Dec 15 11:42:05 2003): Applying update IDS-sig-4.1-3-S63. This may take several minutes. Please do not reboot the sensor during this update. Broadcast message from root (Mon Dec 15 11:42:34 2003): Update complete. sensorApp is restarting This may take several minutes.
Aguarde alguns minutos para permitir que a atualização seja concluída e insira show version para verificar.
sensor5#show version Application Partition: Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 Upgrade History: * IDS-sig-4.1-3-S62 07:03:04 UTC Thu Dec 04 2003 IDS-sig-4.1-3-S63.rpm.pkg 11:42:01 UTC Mon Dec 15 2003
Conclua estes passos para configurar a redefinição de TCP para o roteador IOS.
Escolha VPN/Security Management Solution > Management Center > IDS Sensors.
Selecione a guia Configuração, selecione seu sensor no Seletor de objeto e clique em Configurações.
Selecione Assinaturas, clique em Personalizar e clique em Adicionar para adicionar uma nova assinatura.
Insira o novo Nome da assinatura e selecione o Mecanismo (nesse caso, STRING.TCP).
Marque o botão de opção apropriado para personalizar os parâmetros disponíveis e clique em Editar.
Neste exemplo, o parâmetro ServicePorts é editado para alterar seu valor para 23 (para a porta 23). O parâmetro RegexString também é editado para adicionar o valor testattack. Quando terminar, clique em OK para continuar.
Clique no nome da assinatura para editar a Gravidade da assinatura e as ações ou para Habilitar/Desabilitar a assinatura.
Nesse caso, a gravidade é alterada para Alto e a ação Log & Reset é escolhida. Clique em OK para continuar.
A assinatura completa é semelhante a esta:
Escolha Configuration > Pending, marque a configuração pendente para garantir que está correta e clique em Save.
Escolha Deployment > Generate e clique em Apply para enviar as alterações de configuração para o Sensor.
Escolha Deployment > Deploy e clique em Submit.
Marque a caixa de seleção ao lado de seu sensor e clique em Implantar.
Marque a caixa de seleção do trabalho na fila e clique em Avançar para continuar.
Insira o Nome do trabalho e agende-o como Imediato e clique em Concluir.
Escolha Deployment > Deploy > Pending.
Aguarde alguns minutos até que todos os trabalhos pendentes tenham sido concluídos. A fila deve estar vazia.
Escolha Configuration > History para confirmar a implantação.
Verifique se o status da configuração é exibido como Implantado. Isso significa que a configuração do sensor foi atualizada com êxito.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Inicie um ataque de teste e verifique os resultados para verificar se o processo de bloqueio funciona corretamente.
Antes de iniciar o ataque, escolha VPN/Security Management Solution > Monitoring Center > Security Monitor.
Escolha Monitor no menu principal e clique em Eventos.
Clique em Iniciar Visualizador de Eventos.
Execute telnet de um roteador para o outro e digite testattack para iniciar o ataque.
Nesse caso, fizemos Telnet do roteador Light para o roteador House. Assim que você pressionar <space> ou <enter>, depois de digitar testattack, sua sessão Telnet deverá ser redefinida.
light#telnet 100.100.100.1 Trying 100.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack !--- The Telnet session is reset due to the !--- signature "testattack" being triggered. [Connection to 100.100.100.1 lost]
No Visualizador de Eventos, clique em Consultar Banco de Dados para novos eventos agora.
Você vê o alerta para o ataque iniciado anteriormente
No Visualizador de Eventos, realce o alarme, clique com o botão direito do mouse nele e selecione Exibir Buffer de Contexto ou Exibir NSDB para exibir informações mais detalhadas sobre o alarme.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Complete estas etapas para resolver problemas.
No IDS MC, escolha Reports > Generate.
Dependendo do tipo de problema, mais detalhes devem ser encontrados em um dos sete relatórios disponíveis.
Enquanto o bloqueio utiliza a porta de comando e controle para configurar as listas de acesso do roteador, as redefinições de TCP são enviadas da interface de sniffing do sensor. Certifique-se de que você tenha estendido a porta correta, usando o comando set span no switch, semelhante a este:
set spanbanana (enable) set span 2/12 3/6 both inpkts enable Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 Incoming Packets enabled. Learning enabled. Multicast enabled. banana (enable) banana (enable) banana (enable) show span Destination : Port 3/6 !--- Connect to sniffing interface of the Sensor. Admin Source : Port 2/12 !--- In this case, connect to Ethernet1 of Router House. Oper Source : Port 2/12 Direction : transmit/receive Incoming Packets: enabled Learning : enabled Multicast : enabled both inpkts enable
Se TCP Reset não estiver funcionando, faça login no Sensor e digite o comando show event.
Inicie o ataque e verifique se o alarme é disparado ou não. Se o alarme for disparado, verifique se ele está definido para o tipo de ação TCP reset.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Oct-2008 |
Versão inicial |