簡介
本文檔介紹如何藉助Cisco IPS在專用網際網路交換(PIX)/ASA/Cisco IOS®路由器上配置迴避。
必要條件
需求
在配置ARC進行阻塞或速率限制之前,必須完成以下任務:
-
分析網路拓撲,瞭解哪些裝置會被哪個感測器阻止,哪些地址永遠不會被阻止。
-
收集登入每台裝置所需的使用者名稱、裝置密碼、啟用密碼和連線型別(Telnet或SSH)。
-
瞭解裝置上的介面名稱。
-
必要時,瞭解阻止前ACL或VACL以及阻止後ACL或VACL的名稱。
-
瞭解可以和不能阻止哪些介面以及哪個方向(輸入或輸出)。
採用元件
本檔案中的資訊是根據Cisco Intrusion Prevention System (IPS) 5.1和更新版本。
注意:預設情況下,ARC配置為限制為250個塊條目。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
慣例
有關文檔規則的詳細資訊,請參閱技術提示和其他內容使用格式規則。
背景資訊
ARC(感測器上的阻塞應用)啟動和停止路由器、Cisco 5000 RSM和Catalyst 6500系列交換機、PIX防火牆、FWSM和自適應安全裝置(ASA)上的阻塞。ARC為惡意IP地址向受管裝置發出阻止或迴避。ARC將相同的塊傳送到感測器管理的所有裝置。如果配置了主阻塞感測器,則向此裝置轉發該阻塞並從此裝置發出該阻塞。ARC會監視區塊的時間,並在時間到期後移除區塊。
使用IPS 5.1時,在多情景模式下規避到防火牆時必須特別小心,因為shun請求不會傳送任何VLAN資訊。
註:多上下文FWSM的管理上下文不支援阻止。
區塊型別有三種:
-
主機塊-阻止來自給定IP地址的所有流量。
-
連線塊-阻止從給定源IP地址到給定目標IP地址和目標埠的流量。從同一源IP地址到不同目標IP地址或目標埠的多個連線塊會自動將該塊從連線塊切換到主機塊。
註:安全裝置不支援連線塊。安全裝置僅支援具有可選埠和協定資訊的主機塊。
-
Network block -阻止來自給定網路的所有流量。您可以手動啟動主機和連線塊,也可以在簽名觸發時自動啟動主機和連線塊。您只能手動啟動網路區塊。
對於自動塊,必須選擇Request Block Host或Request Block Connection作為特定簽名的事件操作,以便SensorApp在觸發簽名時向ARC傳送塊請求。一旦ARC收到來自SensorApp的阻止請求,就會更新裝置配置以阻止主機或連線。
在Cisco路由器和Catalyst 6500系列交換機上,ARC透過應用ACL或VACL建立塊。ACL和VACL將過濾器應用於介面(包括方向)和VLAN,以便允許或拒絕流量。PIX防火牆、FWSM和ASA不使用ACL或VACL。使用內建shun和no shun命令。
配置ARC時需要以下資訊:
-
如果裝置配置了AAA,請登入使用者ID。
-
登入密碼
-
啟用密碼,如果使用者具有啟用許可權,則不需要此密碼。
-
要管理的介面,例如ethernet0、vlan100。
-
任何現有ACL或VACL資訊,您希望在建立的ACL或VACL的開頭(Pre-Block ACL或VACL)或結尾(Post-Block ACL或VACL)應用。這不適用於PIX防火牆、FWSM或ASA,因為它們不使用ACL或VACL進行阻止。
-
使用Telnet或SSH與裝置通訊。
-
永不阻止的IP地址(主機或主機範圍)。
-
你想讓這些街區持續多久。
使用Blocking頁可配置啟用阻塞和速率限制所需的基本設定。
ARC控制受管裝置上的阻塞和速率限制操作。
您必須調整感測器,以辨識永遠無法阻止的主機和網路。受信任裝置的流量可能會觸發簽名。如果此簽名配置為阻止攻擊者,合法的網路流量可能會受到影響。裝置的IP地址可以列在Never Block清單中,以防止出現此情況。
在Never Block條目中指定的網路掩碼將應用於Never Block地址。如果未指定網路遮罩,則會套用預設的/32遮罩。
註:預設情況下,不允許感測器為自己的IP地址發出阻塞,因為這樣將干擾感測器和阻塞裝置之間的通訊。但是,此選項可由使用者配置。
一旦ARC被配置為管理阻塞裝置,阻塞裝置分流和用於阻塞的ACL/VACL就不能手動改變。這會導致ARC服務中斷,並可能導致未來無法發出區塊。
注意:預設情況下,Cisco IOS®裝置僅支援阻止。如果選擇速率限制或阻止加速率限制,可以覆蓋阻止預設值。
要發出或更改塊,IPS使用者必須具有Administrator或Operator角色。
配置感測器以管理Cisco路由器
本節介紹如何配置感測器以管理Cisco路由器。它包含下列主題:
設定使用者設定檔
感測器使用user-profiles profile_name 命令管理其他裝置,以便設定使用者配置檔案。使用者設定檔包含使用者ID、密碼和啟用密碼資訊。例如,共用相同密碼和使用者名稱的路由器可以位於一個使用者配置檔案下。
注意:在配置阻止裝置之前,您必須建立使用者配置檔案。
要設定使用者配置檔案,請完成以下步驟:
-
使用具有管理員許可權的帳戶登入到CLI。
-
進入網路訪問模式。
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
建立使用者設定檔名稱。
sensor(config-net)#user-profiles PROFILE1
-
輸入該使用者設定檔的使用者名稱。
sensor(config-net-use)#username username
-
指定使用者的密碼。
sensor(config-net-use)# password
Enter password[]: ********
Re-enter password ********
-
指定使用者的啟用密碼。
sensor(config-net-use)# enable-password
Enter enable-password[]: ********
Re-enter enable-password ********
-
驗證設定。
sensor(config-net-use)#show settings
profile-name: PROFILE1
-----------------------------------------------
enable-password: <hidden>
password: <hidden>
username: jsmith default:
-----------------------------------------------
sensor(config-net-use)#
-
退出網路訪問子模式。
sensor(config-net-use)#exit
sensor(config-net)#exit
Apply Changes:?[yes]:
-
按Enter 以應用更改或輸入no 以放棄更改。
路由器和ACL
當ARC配置有使用ACL的阻塞裝置時,ACL會以下列方式構成:
-
包含感測器IP地址或感測器的網路地址轉換(NAT)地址的permit行(如果指定)。
注意:如果允許阻止感測器,ACL中不會顯示此行。
-
預阻止ACL(如果指定):此ACL必須已存在於裝置上。
注意:ARC讀取預配置ACL中的行,並將這些行複製到塊ACL的開頭。
-
任何活動塊。
-
後阻止ACL或permit ip any any:
注意:ARC所建立的ACL絕不能由您或任何其他系統修改。這些ACL是臨時的,感測器不斷建立新的ACL。您只能對預阻止和後阻止ACL進行修改。
如果需要修改預阻止或後阻止ACL,請完成以下步驟:
-
停用感測器上的阻塞。
-
對裝置的配置進行更改。
-
重新啟用感測器上的阻塞。
當重新啟用阻塞時,感測器讀取新的裝置配置。
註:一個感測器可以管理多個裝置,但是多個感測器不能管理單個裝置。如果從多個感測器發出的塊用於單個阻塞裝置,則必須將主阻塞感測器結合到設計中。主阻塞感測器接收來自多個感測器的阻塞請求,並向阻塞裝置發出所有阻塞請求。
您可在路由器配置中建立並儲存預阻止和塊後ACL。這些ACL必須是擴展IP ACL,可以是命名的,也可以是編號的。有關如何建立ACL的詳細資訊,請參閱路由器文檔。
注意:塊前和塊後ACL不適用於速率限制。
ACL會由上而下評估,並執行第一個匹配操作。Pre-Block ACL可以包含優先於由塊導致的deny的允許。
後阻止ACL用於說明前阻止ACL未處理的任何情況。如果介面上有一個現有的ACL,並且該ACL沿傳送塊的方向發出,則該ACL可用作塊後ACL。如果沒有後阻止ACL,感測器會在新ACL的末尾插入permit ip any any。
當感測器啟動時,它會讀取兩個ACL的內容。它會使用以下專案建立第三個ACL:
-
感測器IP地址的允許行。
-
預阻止ACL的所有配置行的副本。
-
感測器阻止的每個地址的拒絕行。
-
阻止後ACL的所有配置行的副本。
感測器將新ACL應用到介面和您指定的方向。
注意:當新的塊ACL應用於路由器的一個介面時,在某個特定方向上,它將替換該介面上以前存在的該方向上的ACL。
使用CLI配置思科路由器
完成以下步驟,將感測器配置為管理Cisco路由器,以執行阻塞和速率限制:
-
使用具有管理員許可權的帳戶登入到CLI。
-
進入網路訪問子模式。
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
指定由ARC控制的路由器的IP地址。
sensor(config-net)#router-devices ip_address
-
輸入您在配置使用者配置檔案時建立的邏輯裝置名稱。
sensor(config-net-rou)#profile-name user_profile_name
注意: ARC接受您輸入的任何內容。它不會檢查使用者配置檔案是否存在。
-
指定用於訪問感測器的方法。
sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
如果未指定,則使用SSH 3DES。
注意:如果使用DES或3DES,則必須使用ssh host-key ip_address命令以接受來自裝置的SSH金鑰。
-
指定感測器NAT地址。
sensor(config-net-rou)#nat-address nat_address
註:這會將ACL第一行中的IP地址從感測器地址更改為NAT地址。NAT地址是由位於感測器和阻塞裝置之間的中間裝置轉換的感測器地址(NAT後)。
-
指定路由器是執行阻塞、速率限制還是兩者。
附註:預設值為blocking。如果希望路由器僅執行阻塞,則無需配置響應功能。
-
指定介面名稱和方向。
sensor(config-net-rou)#block-interfaces interface_name {in | out}
注意:介面名稱必須是在interface命令後使用時路由器能夠辨識的縮寫。
-
(可選)增加pre-ACL名稱(僅阻止)。
sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
-
(可選)增加後ACL名稱(僅阻止)。
sensor(config-net-rou-blo)#post-acl-name post_acl_name
-
驗證設定。
sensor(config-net-rou-blo)#exit
sensor(config-net-rou)#show settings
ip-address: 10.89.127.97
-----------------------------------------------
communication: ssh-3des default: ssh-3des
nat-address: 10.89.149.219 default: 0.0.0.0
profile-name: PROFILE1
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: GigabitEthernet0/1
direction: in
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
response-capabilities: block|rate-limit default: block
-----------------------------------------------
sensor(config-net-rou)#
-
退出網路訪問子模式。
sensor(config-net-rou)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:
-
按Enter 以應用更改或輸入no 以放棄更改。
配置感測器以管理思科防火牆
完成以下步驟,將感測器配置為管理思科防火牆:
-
使用具有管理員許可權的帳戶登入到CLI。
-
進入網路訪問子模式。
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
指定由ARC控制的防火牆的IP地址。
sensor(config-net)#firewall-devices ip_address
-
輸入您在設定使用者設定檔時所建立的使用者設定檔名稱。
sensor(config-net-fir)#profile-name user_profile_name
注意: ARC接受您鍵入的任何內容。它不會檢查邏輯裝置是否存在。
-
指定用於訪問感測器的方法。
sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
如果未指定,則使用SSH 3DES。
注意:如果使用DES或3DES,則您必須使用ssh host-key ip_address命令才能接受金鑰,否則ARC無法連線到裝置。
-
指定感測器NAT地址。
sensor(config-net-fir)#nat-address nat_address
註:這會將ACL第一行中的IP地址從感測器的IP地址更改為NAT地址。NAT地址是由位於感測器和阻塞裝置之間的中間裝置轉換的感測器地址(NAT後)。
-
退出網路訪問子模式。
sensor(config-net-fir)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:
-
按Enter 以應用更改或輸入no 以放棄更改。
在PIX/ASA中使用SHUN阻止
發出shun命令會阻塞來自攻擊主機的連線。與命令中的值匹配的資料包將被丟棄並記錄,直到刪除阻止功能。無論與指定主機地址的連線當前是否處於活動狀態,都將應用shun。
如果指定目標地址、源埠和目標埠以及協定,則將shun範圍縮小到與這些引數匹配的連線。每個源IP地址只能有一個shun命令。
由於shun 命令用於動態阻止攻擊,因此不會在安全裝置配置中顯示該命令。
每當介面被刪除時,連線到該介面的所有分流器也會被刪除。
此範例顯示違規主機(10.1.1.27)將受害者(10.2.2.89)連線至TCP。安全裝置連線表中的連線如下:
TCP outside:10.1.1.27/555 inside:10.2.2.89/666
要阻止來自攻擊主機的連線,請在特權EXEC模式下使用shun命令。使用以下選項應用shun命令:
hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp
該命令從安全裝置連線表中刪除連線,並阻止從10.1.1.27:555到10.2.2.89:666 (TCP)的資料包透過安全裝置。
相關資訊
意見