Afastamento de IDS PIX usando o Cisco IDS UNIX Director

Introdução

Este documento descreve como configurar o shunning em um PIX com a ajuda do Cisco IDS UNIX Diretor (anteriormente conhecido como Netranger Diretor) e Sensor. Este documento supõe que o Sensor e o Diretor estejam operacionais e que a interface de farejamento do Sensor esteja configurada para se estender até a interface externa do PIX.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware.

• Cisco IDS UNIX Diretor 2.2.3

• Cisco IDS UNIX Sensor 3.0.5

• Cisco Secure PIX com 6.1.1

  Observação: se você usar a versão 6.2.x, poderá usar o gerenciamento SSH (Secure Shell Protocol), mas não Telnet. Consulte o bug da Cisco ID CSCdx5215 (somente clientes registrados) para obter mais informações.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você verá as informações usadas para configurar os recursos descritos neste documento.

O Cisco IDS UNIX Diretor e o Sensor são usados para gerenciar um Cisco Secure PIX para evitar. Ao considerar essa configuração, lembre-se dos seguintes conceitos:

• Instale o sensor e verifique se ele está funcionando corretamente.

• Certifique-se de que a interface de farejamento se estenda à interface externa do PIX.

Observação: para encontrar informações adicionais sobre os comandos usados neste documento, consulte a Command Lookup Tool (somente clientes registrados) .

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

Configurações

Este documento utiliza estas configurações.

• Luz do Roteador

• PIX Tiger

Current configuration : 906 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

PIX Version 6.1(1)
nameif gb-ethernet0 intf2 security10
nameif gb-ethernet1 intf3 security15
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 9jNfZuG3TC5tCVH0 encrypted
hostname Tiger
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names

!--- Allows ICMP traffic and HTTP to pass through the PIX !--- to the Web Server.

access-list 101 permit icmp any host 100.100.100.100 
access-list 101 permit tcp any host 100.100.100.100 eq www 
pager lines 24
logging on    
logging buffered debugging
interface gb-ethernet0 1000auto shutdown
interface gb-ethernet1 1000auto shutdown
interface ethernet0 auto
interface ethernet1 auto
mtu intf2 1500
mtu intf3 1500
mtu outside 1500
mtu inside 1500
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address outside 100.100.100.1 255.255.255.0
ip address inside 10.66.79.203 255.255.255.224
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Static NAT for the Web Server.

static (inside,outside) 100.100.100.100 10.66.79.204 
  netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 100.100.100.2 1
route inside 10.66.0.0 255.255.0.0 10.66.79.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 
  h323 0:05:00 s0
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol tacacs+ 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat

!--- Allows Sensor Telnet to the PIX from the inside interface.

telnet 10.66.79.199 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:b4c820ba31fbb3996ca8891503ebacbc
: end         

Configure o sensor

Estas etapas descrevem como configurar o sensor.

1. Faça Telnet para 10.66.79.199 com o nome de usuário root e a senha attack.

2. Insira sysconfig-sensor.

3. Insira esta informação:

   1. Endereço IP: 10.66.79.199

   2. Máscara de rede IP: 255.255.255.224

   3. Nome do host IP: sensor-2

   4. Rota padrão: 10.66.79.193

   5. Controle de acesso à rede

      10.

   6. Infraestrutura de comunicações

      ID do host do sensor: 49

      ID da organização do sensor: 900

      Nome de host do sensor: sensor-2

      Nome da empresa do sensor: cisco

      Endereço IP do sensor: 10.66.79.199

      ID do host do IDS Manager: 50

      ID da empresa do IDS Manager: 900

      Nome do host do IDS Manager: dir3

      Nome da empresa do IDS Manager: cisco

      Endereço IP do IDS Manager: 10.66.79.201

4. Salve a configuração. O sensor é reinicializado.

Adicione o sensor ao diretor

Conclua estas etapas para adicionar o sensor ao Diretor.

1. Faça Telnet para 10.66.79.201 com o nome de usuário netrangr e a senha ataque.

2. Insira ovw& para iniciar o HP OpenView.

3. No menu principal, selecione Security > Configure.

4. No menu Configuração do Netranger, selecione File > Add Host e clique em Next.

5. Insira essas informações e clique em Avançar.

   

6. Mantenha as configurações padrão e clique em Avançar.

   

7. Altere os minutos de log e shun ou deixe-os como o padrão se os valores forem aceitáveis. Altere o nome da interface de rede para o nome da interface de farejamento. Neste exemplo, é "iprb0". Pode ser "spwr0" ou qualquer outra coisa com base no tipo de sensor e em como você conecta o sensor.

   

8. Clique em Avançar até que haja uma opção para clicar em Concluir.

   O sensor foi adicionado com êxito ao Diretor. No menu principal, sensor-2 é exibido, como mostrado neste exemplo.

   

Configurar o Shunning para PIX

Conclua estas etapas para configurar o shunning para o PIX.

1. No menu principal, selecione Security > Configure.

2. No menu Configuração do Netranger, realce sensor-2 e clique duas vezes nele.

3. Abra o Gerenciamento de dispositivos.

4. Clique em Devices > Add e insira as informações como mostrado neste exemplo. Clique em OK para continuar. O Telnet e a senha de ativação são ambos "Cisco".

   

5. Clique em Shunning > Add. Adicione o host 100.100.100.100 em "Addresses Never to Shun". Clique em OK para continuar.

   

6. Clique em Shunning > Add e selecione sensor-2.cisco como os servidores de shunning. Esta parte da configuração está concluída. Feche a janela Gerenciamento de dispositivos.

   

7. Abra a janela Intrusion Detection e clique em Protected Networks. Adicione 10.66.79.1 a 10.66.79.254 na rede protegida.

   

8. Clique em Profile e selecione Manual Configuration > Modify Signatures. Selecione Large ICMP Traffic e ID: 2151, clique em Modify e altere a ação de None para Shun e Log. Clique em OK para continuar.

   

9. Selecione Inundação ICMP e ID: 2152, clique em Modificar e altere a Ação de Nenhum para Shun e Log. Clique em OK para continuar.

   

10. Esta parte da configuração está concluída. Clique em OK para fechar a janela Intrusion Detection.

11. Abra a pasta System Files e a janela Daemons. Certifique-se de ter habilitado estes daemons:

    

12. Clique em OK para continuar e selecione a versão que acabou de modificar. Clique em Salvar > Aplicar. Aguarde até que o sistema informe que o sensor foi concluído, reinicie os Serviços e feche todas as janelas para a configuração do Netranger.

    

Verificar

Esta seção fornece informações que o ajudam a confirmar se a configuração está funcionando corretamente.

Antes de iniciar o ataque

Tiger(config)# show telnet 
10.66.79.199 255.255.255.255 inside 
Tiger(config)# who 
        0: 10.66.79.199 

Tiger(config)# show xlate 
1 in use, 1 most used 
Global 100.100.100.100 Local 10.66.79.204 static 

Light#ping 100.100.100.100 

Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 112/195/217 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open

Inicie o ataque e a prevenção

Light#ping 
Protocol [ip]: 
Target IP address: 100.100.100.100 
Repeat count [5]: 100000 
Datagram size [100]: 18000 
Timeout in seconds [2]: 
Extended commands [n]: 
Sweep range of sizes [n]: 
Type escape sequence to abort. 
Sending 100000, 18000-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!.................... 
Success rate is 4 percent (1/21), round-trip min/avg/max = 281/281/281 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... 
% Connection timed out; remote host not responding 

Tiger(config)# show shun 
Shun 100.100.100.2 0.0.0 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=ON, cnt=2604 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 
Shun 100.100.100.2 cnt=403, time=(0:01:00).0 0 0 

Quinze minutos mais tarde, volta ao normal porque o shunning está ajustado para quinze minutos.

Tiger(config)# show shun 

Tiger(config)# show shun stat 
intf2=OFF, cnt=0 
intf3=OFF, cnt=0 
outside=OFF, cnt=4437 
inside=OFF, cnt=0 
intf4=OFF, cnt=0 
intf5=OFF, cnt=0 
intf6=OFF, cnt=0 
intf7=OFF, cnt=0 
intf8=OFF, cnt=0 
intf9=OFF, cnt=0 

Light#ping 100.100.100.100
 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms 

Light#telnet 100.100.100.100 80 
Trying 100.100.100.100, 80 ... Open 

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

• Fim das vendas do Cisco IDS Diretor
• Fim da Vida Útil do Software Cisco IDS Sensor Versão 3.x
• Suporte ao produto Cisco Intrusion Prevention System
• Suporte ao software Cisco PIX Firewall
• Referências do comando Cisco Secure PIX Firewall
• Suporte Técnico e Documentação - Cisco Systems