ASA/PIX/IOS路由器的IPS上的避开或阻塞

简介

本文档介绍如何借助Cisco IPS在专用互联网交换(PIX)/ASA/Cisco IOS®路由器上配置避开功能。

先决条件

要求

在配置ARC进行阻止或速率限制之前，必须完成以下任务：

• 分析网络拓扑，了解哪些设备会被哪个传感器阻止，哪些地址永远无法阻止。

• 收集登录每台设备所需的用户名、设备密码、使能密码和连接类型（Telnet或SSH）。

• 了解设备上的接口名称。

• 如果需要，请了解预阻止ACL或VACL以及阻止后ACL或VACL的名称。

• 了解哪些接口可以而且不能被阻止，以及哪个方向（传入或传出）。

使用的组件

本文档中的信息基于思科入侵防御系统(IPS) 5.1及更高版本。

注意：默认情况下，ARC配置为限制为250个块条目。 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅技术提示和其他内容的使用格式规则。

背景信息

ARC（传感器上的阻止应用）启动和停止路由器、Cisco 5000 RSM和Catalyst 6500系列交换机、PIX防火墙、FWSM和自适应安全设备(ASA)上的阻止。ARC向受管设备发出针对恶意IP地址的阻止或回避。ARC将相同的块发送到传感器管理的所有设备。如果配置了主阻塞传感器，则会将阻塞转发到此设备，并从该设备发出阻塞。ARC监控块的时间，并在时间到期后删除块。

当您使用IPS 5.1时，在多情景模式下避开防火墙时必须特别小心，因为shun请求不会发送任何VLAN信息。

注意：多情景FWSM的管理情景中不支持阻止。

块分为三种类型：

• Host block -阻止来自给定IP地址的所有流量。

• Connection block -阻止从给定源IP地址到给定目标IP地址和目标端口的流量。从同一源IP地址到不同目标IP地址或目标端口的多个连接块会自动将该块从连接块切换到主机块。

  注意：安全设备不支持连接块。安全设备仅支持具有可选端口和协议信息的主机块。

• 网络阻止-阻止来自给定网络的所有流量。触发签名时，可以手动或自动启动主机和连接块。您只能手动启动网络阻止。

对于自动块，必须选择请求块主机或请求块连接作为特定签名的事件操作，以便SensorApp在触发签名时向ARC发送块请求。ARC收到来自SensorApp的阻止请求后，会更新设备配置以阻止主机或连接。 

在Cisco路由器和Catalyst 6500系列交换机上，ARC通过应用ACL或VACL创建块。ACL和VACL将过滤器应用于接口（分别包括方向和VLAN），以便允许或拒绝流量。PIX防火墙、FWSM和ASA不使用ACL或VACL。使用内置的shun 和no shun 命令。

配置ARC时需要以下信息：

• 如果设备配置了AAA，请登录用户ID。

• 登录密码

• 启用密码，如果用户具有启用权限，则不需要该密码。

• 要管理的接口，例如ethernet0、vlan100。

• 要在创建的ACL或VACL的开头（预阻止ACL或VACL）或结尾（阻止后ACL或VACL）应用的任何现有ACL或VACL信息。这不适用于PIX防火墙、FWSM或ASA，因为它们不使用ACL或VACL进行阻止。

• 使用Telnet还是SSH与设备通信。

• 不想被阻止的IP地址（主机或主机范围）。

• 您希望阻止持续多长时间。

使用Blocking页可配置启用阻塞和速率限制所需的基本设置。

ARC控制受管设备上的阻塞和速率限制操作。

您必须调整传感器以识别永远无法阻止的主机和网络。受信任设备的流量可能会发出签名。如果此签名配置为阻止攻击者，合法网络流量可能会受到影响。设备的IP地址可以在Never Block列表中列出，以防止出现这种情况。

在Never Block条目中指定的网络掩码将应用于Never Block地址。如果未指定网络掩码，将应用默认的/32掩码。

注意：默认情况下，不允许传感器为自己的IP地址发出阻塞，因为这会干扰传感器和阻塞设备之间的通信。但是，此选项可由用户配置。

一旦将ARC配置为管理阻塞设备，则用于阻塞的阻塞设备分流和ACL/VACL将无法手动更改。这会导致ARC服务中断，并可能导致未来无法发出数据块。

注意：默认情况下，Cisco IOS®设备仅支持阻止。如果选择速率限制或阻止加速率限制，可以覆盖阻止默认值。

要发出或修改阻止，IPS用户必须具有Administrator或Operator角色。

配置传感器以管理Cisco路由器

本节介绍如何配置传感器以管理Cisco路由器。它包含以下主题：

• 配置用户配置文件

• 路由器和ACL

• 使用CLI配置Cisco路由器

配置用户配置文件

传感器使用user-profiles profile_name命令管理其他设备，以便设置用户配置文件。用户配置文件包含用户ID、密码和启用密码信息。例如，共享相同密码和用户名的路由器可以位于一个用户配置文件下。

注意：在配置阻止设备之前，您必须创建用户配置文件。

要设置用户配置文件，请完成以下步骤：

1. 使用具有管理员权限的帐户登录 CLI。

2. 进入网络访问模式。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. 创建用户配置文件名称。

   sensor(config-net)#user-profiles PROFILE1
   

4. 键入该用户配置文件的用户名。

   sensor(config-net-use)#username username
   

5. 指定用户的密码。

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. 指定用户的启用密码。

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. 检验设置。

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. 退出网络访问子模式。

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. 按Enter 以应用更改或输入no 以放弃更改。

路由器和ACL

当ARC配置了使用ACL的阻塞设备时，ACL按以下方式组成：

1. 带有传感器IP地址或传感器网络地址转换(NAT)地址的允许行（如果指定）。

   注意：如果允许阻止传感器，则ACL中不会出现此行。

2. 预阻止ACL（如果指定）：此ACL必须已存在于设备上。

   注意：ARC会读取预配置ACL中的行，并将这些行复制到块ACL的开头。

3. 任何活动块。

4. 阻止后ACL或permit ip any any：

   • 阻止后ACL（如果指定）：

     此ACL必须已存在于设备上。

     注意：ARC读取ACL中的行并将这些行复制到ACL末尾。

     注意：如果要允许所有不匹配的数据包，请确保ACL中的最后一行是permit ip any any。

   • permit ip any any（如果指定了后阻止ACL，则不使用）

注意：ARC生成的ACL绝不能由您或任何其他系统修改。这些ACL是临时的，传感器会不断创建新的ACL。您只能对预阻止ACL和后阻止ACL进行修改。

如果需要修改预阻止ACL或阻止后ACL，请完成以下步骤：

1. 禁用传感器上的阻塞。

2. 对设备的配置进行更改。

3. 重新启用传感器上的阻塞。

重新启用阻止功能后，传感器会读取新的设备配置。

注意：一个传感器可以管理多个设备，但多个传感器无法管理单个设备。如果从多个传感器发出的块用于单个阻塞设备，则必须将主阻塞传感器合并到设计中。主阻塞传感器接收来自多个传感器的阻塞请求，并向阻塞设备发出所有阻塞请求。

在路由器配置中创建并保存预阻止ACL和阻止后ACL。这些ACL必须是扩展IP ACL，可以是命名的，也可以是数字的。有关如何创建ACL的详细信息，请参阅路由器文档。

注意：预阻止ACL和阻止后ACL不适用于速率限制。

ACL自上而下进行评估，并执行第一个匹配操作。预阻止ACL可以包含优先于阻止所导致拒绝的允许。

后阻止ACL用于说明未由前阻止ACL处理的任何情况。如果接口上现有的ACL以及阻止的发出方向，该ACL可用作阻止后ACL。如果没有后阻止ACL，传感器会在新ACL的末尾插入permit ip any any。

当传感器启动时，它将读取两个ACL的内容。它创建第三个ACL并包含下列条目：

• 传感器IP地址的允许行。

• 预阻止ACL的所有配置行的副本。

• 传感器阻止的每个地址的拒绝行。

• 阻止后ACL的所有配置行的副本。

传感器将新ACL应用于接口和您指定的方向。

注意：当新的块ACL应用于路由器的特定方向的接口时，它将替换该接口上该方向的所有现有ACL。

使用CLI配置Cisco路由器

完成以下步骤，将传感器配置为管理Cisco路由器以执行阻止和速率限制：

1. 使用具有管理员权限的帐户登录 CLI。

2. 进入网络访问子模式。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. 指定由ARC控制的路由器的IP地址。

   sensor(config-net)#router-devices ip_address
   

4. 输入您在配置用户配置文件时创建的逻辑设备名称。

   sensor(config-net-rou)#profile-name user_profile_name
   

   注意：ARC接受您输入的任何内容。它不会检查用户配置文件是否存在。

5. 指定用于访问传感器的方法。

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   如果未指定，则使用SSH 3DES。

   注意：如果使用DES或3DES，则必须使用ssh host-key ip_address命令以接受来自设备的SSH密钥。

6. 指定传感器NAT地址。

   sensor(config-net-rou)#nat-address nat_address
   

   注意：这会将ACL第一行中的IP地址从传感器地址更改为NAT地址。NAT地址是由位于传感器和阻塞设备之间的中间设备转换的传感器地址（NAT后数据）。

7. 指定路由器是执行阻塞、速率限制还是两者。

   注意：默认为阻止。如果希望路由器仅执行阻止，则无需配置响应功能。

   • 仅速率限制

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • 阻止和速率限制

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. 指定接口名称和方向。

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   注意：接口名称必须是路由器在interface命令后使用时可以识别的缩写。

9. （可选）添加前ACL名称（仅阻止）。

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. （可选）添加后ACL名称（仅阻止）。

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. 检验设置。

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 10.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. 退出网络访问子模式。

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. 按Enter 以应用更改或输入no 以放弃更改。

配置传感器以管理思科防火墙

要配置传感器以管理思科防火墙，请完成以下步骤：

1. 使用具有管理员权限的帐户登录 CLI。

2. 进入网络访问子模式。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. 指定由ARC控制的防火墙的IP地址。

   sensor(config-net)#firewall-devices ip_address
   

4. 输入您在配置用户配置文件时创建的用户配置文件名称。

   sensor(config-net-fir)#profile-name user_profile_name
   

   注意：ARC接受您键入的任何内容。它不检查逻辑设备是否存在。

5. 指定用于访问传感器的方法。

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   如果未指定，则使用SSH 3DES。

   注意：如果使用DES或3DES，则必须使用ssh host-key ip_address命令以接受密钥或ARC无法连接到设备。

6. 指定传感器NAT地址。

   sensor(config-net-fir)#nat-address nat_address
   

   注意：这会将ACL第一行中的IP地址从传感器的IP地址更改为NAT地址。NAT地址是NAT之后的传感器地址，由位于传感器和阻塞设备之间的中间设备转换。

7. 退出网络访问子模式。

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. 按 Enter 键以应用更改或输入“no”以放弃更改。

在PIX/ASA中使用SHUN阻塞

发出shun命令可阻止来自攻击主机的连接。与命令中的值匹配的数据包将被丢弃并记录，直到删除阻止功能。无论具有指定主机地址的连接当前是否处于活动状态，都将应用shun。

如果指定目标地址、源端口和目标端口以及协议，则可以将shun范围缩小到与这些参数匹配的连接。每个源IP地址只能有一个shun命令。

由于shun命令用于动态阻止攻击，因此不会在安全设备配置中显示该命令。

只要移除接口，连接到该接口的所有分流器也会被移除。

此示例显示违规主机(10.1.1.27)与受害者(10.2.2.89)建立到TCP的连接。安全设备连接表中的连接如下：

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

要阻止来自攻击主机的连接，请在特权EXEC模式下使用shun命令。使用以下选项应用shun命令：

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

该命令会删除安全设备连接表中的连接，并阻止从10.1.1.27:555到10.2.2.89:666 (TCP)的数据包通过安全设备。

相关信息

• 配置传感器以管理Catalyst 6500系列交换机和Cisco 7600系列路由器
• 技术支持和文档 - Cisco Systems