Shun/Block op IPS voor ASA/PIX/IOS router

Inleiding

Dit document beschrijft hoe u Shunning op een Private Internet Exchange (PIX)/ASA/Cisco IOS®-router kunt configureren met behulp van Cisco IPS.

Voorwaarden

Vereisten

Voordat u ARC configureert voor blokkering of snelheidsbeperking, moet u deze taken voltooien:

• Analyseer uw netwerktopologie om te begrijpen welke apparaten kunnen worden geblokkeerd door welke sensor, en welke adressen nooit kunnen worden geblokkeerd.

• Verzamel de gebruikersnamen, de apparaatwachtwoorden, de wachtwoorden en de verbindingstypen (Telnet of SSH) die nodig zijn om in te loggen op elk apparaat.

• Ken de interfacenamen op de apparaten.

• Ken de namen van de Pre-Block ACL of VACL en de Post-Block ACL of VACL indien nodig.

• Begrijp welke interfaces wel en niet geblokkeerd kunnen worden en in welke richting (in of uit).

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco Inbraakpreventiesysteem (IPS) 5.1 en hoger.

Opmerking: standaard is ARC ingesteld voor een limiet van 250 blokvermeldingen. 

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg de Use Format Conventions voor technische tips en andere content voor meer informatie over documentconventies.

Achtergrondinformatie

ARC, de blokkerende toepassing op de sensor, start en stopt blokken op routers, Cisco 5000 RSM en Catalyst 6500 Series switches, PIX firewalls, FWSM en adaptieve security applicatie (ASA). ARC geeft een blokkering of blokkering op het beheerde apparaat uit voor het kwaadaardige IP-adres. ARC stuurt hetzelfde blok naar alle apparaten die door de sensor worden beheerd. Als een primaire blokkeringssensor is geconfigureerd, wordt het blok doorgestuurd naar en afgegeven vanaf dit apparaat. ARC bewaakt de tijd voor het blok en verwijdert het blok nadat de tijd is verlopen.

Wanneer u IPS 5.1 gebruikt, moet u bijzonder voorzichtig zijn bij het Shunning naar firewalls in meerdere contextmodus omdat er geen VLAN-informatie wordt verzonden met het shun-verzoek.

Opmerking: blokkering wordt niet ondersteund in de admin-context van een multicontext-FWSM.

Er zijn drie soorten blokken:

• Host blok-blokkeert al het verkeer vanaf een bepaald IP-adres.

• Verbinding blok-blokkeert verkeer van een bepaald bronIP adres aan een bepaalde bestemmingsIP adres en een bestemmingshaven. Meervoudige verbindingsblokken van hetzelfde IP-bronadres naar een ander IP-adres of naar een andere bestemmingshaven switches het blok automatisch van een verbindingsblok naar een hostblok.

  Opmerking: Verbindingsblokken worden niet ondersteund door security applicaties. Security applicaties ondersteunen alleen hostblokken met optionele poort- en protocolinformatie.

• Het netwerk blok-blokkeert al verkeer van een bepaald netwerk. U kunt host- en verbindingsblokken handmatig of automatisch initiëren wanneer een handtekening wordt geactiveerd. U kunt alleen netwerkblokken handmatig starten.

Voor automatische blokken, moet u kiezen Vraag Blok Host of Vraag Blok Verbinding als gebeurtenis actie voor bepaalde handtekeningen, zodat SensorApp een blokverzoek naar ARC verzendt wanneer de handtekening wordt geactiveerd. Zodra ARC de blokaanvraag van SensorApp ontvangt, werkt het de apparaatconfiguraties bij om de host of verbinding te blokkeren. 

Op Cisco-routers en Catalyst 6500 Series-switches maakt ARC blokken door ACL’s of VACL’s toe te passen. ACL’s en VACL’s passen filters toe op interfaces, waaronder richting, en VLAN’s, respectievelijk om verkeer toe te staan of te weigeren. De PIX Firewall, FWSM en ASA gebruiken geen ACL’s of VACL’s. De ingebouwde shun en geen shun commando's worden gebruikt.

Deze informatie is vereist voor de configuratie van ARC:

• Log in gebruiker-ID, als het apparaat is geconfigureerd met AAA.

• Wachtwoord voor inloggen

• Wachtwoord inschakelen. Dit is niet nodig als de gebruiker rechten heeft ingeschakeld.

• Interfaces die moeten worden beheerd, bijvoorbeeld Ethernet0, VLAN100.

• Alle bestaande ACL- of VACL-informatie die u wilt toepassen aan het begin (Pre-Block ACL of VACL) of aan het einde (Post-Block ACL of VACL) van de ACL of VACL die wordt gemaakt. Dit is niet van toepassing op een PIX-firewall, FWSM of ASA omdat deze geen ACL’s of VACL’s gebruiken om te blokkeren.

• Of u Telnet of SSH gebruikt om met het apparaat te communiceren.

• IP-adressen (host of bereik van hosts) die u nooit geblokkeerd wilt.

• Hoe lang wil je dat de blokken blijven bestaan?

Gebruik de blokkeringspagina om de basisinstellingen te configureren die nodig zijn om blokkering en snelheidsbeperking mogelijk te maken.

ARC controleert blokkerende en snelheidsbeperkende handelingen op beheerde apparaten.

Je moet je sensor afstemmen om hosts en netwerken te identificeren die nooit geblokkeerd kunnen worden. Het is mogelijk voor het verkeer van een vertrouwd apparaat om een handtekening te ontslaan. Als deze handtekening is ingesteld om de aanvaller te blokkeren, kan legitiem netwerkverkeer worden beïnvloed. Het IP-adres van het apparaat kan in de lijst Nooit blokkeren worden weergegeven om dit scenario te voorkomen.

Een netmasker gespecificeerd in een Never Block-ingang wordt toegepast op het Never Block-adres. Als er geen netmasker is opgegeven, wordt een standaard /32 masker toegepast.

Opmerking: standaard mag de sensor geen blok voor zijn eigen IP-adres uitgeven, omdat dit de communicatie tussen de sensor en het blokkeerapparaat verstoort. Maar deze optie kan door de gebruiker worden geconfigureerd.

Zodra ARC is ingesteld om een blokkerend apparaat te beheren, kan het blokkerende apparaat niet handmatig worden gewijzigd in randen en ACL’s/VACL’s die voor blokkering worden gebruikt. Dit kan een verstoring van de ARC-service veroorzaken en kan ertoe leiden dat er in de toekomst geen blokken worden uitgegeven.

Opmerking: standaard wordt alleen blokkering op Cisco IOS®-apparaten ondersteund. U kunt de blokkerende standaard negeren als u snelheidsbeperking of blokkering plus snelheidsbeperking kiest.

Om blokken te kunnen uitgeven of wijzigen, moet de IPS-gebruiker de rol van Beheerder of Beheerder hebben.

De sensor configureren om Cisco-routers te beheren

In deze sectie wordt beschreven hoe u de sensor kunt configureren om Cisco-routers te beheren. Het bevat de volgende onderwerpen:

• Gebruikersprofielen configureren

• Routers en ACL’s

• Cisco-routers configureren met CLI

Gebruikersprofielen configureren

De sensor beheert de andere apparaten met de opdracht gebruikersprofielen profiel_name om gebruikersprofielen in te stellen. De gebruikersprofielen bevatten de gebruikersnaam, het wachtwoord en de wachtwoordinformatie. Routers die allemaal dezelfde wachtwoorden en gebruikersnamen delen, kunnen bijvoorbeeld onder één gebruikersprofiel worden geplaatst.

Opmerking: u moet een gebruikersprofiel maken voordat u het blokkeerapparaat configureert.

Voltooi de volgende stappen om gebruikersprofielen in te stellen:

1. Log in op de CLI met een account met beheerdersrechten.

2. Voer de modus voor netwerktoegang in.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. De naam van het gebruikersprofiel maken.

   sensor(config-net)#user-profiles PROFILE1
   

4. Typ de gebruikersnaam voor dat gebruikersprofiel.

   sensor(config-net-use)#username username
   

5. Specificeer het wachtwoord voor de gebruiker.

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. Specificeer de optie Wachtwoord inschakelen voor de gebruiker.

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. Controleer de instellingen.

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. Sluit de submodus voor netwerktoegang af.

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. Druk op ENTER om de wijzigingen toe te passen of op no om ze te verwijderen.

Routers en ACL’s

Als ARC is geconfigureerd met een blokkerend apparaat dat ACL’s gebruikt, worden de ACL’s als volgt samengesteld:

1. Een vergunningslijn met het IP-adres van de sensor of, indien gespecificeerd, het NAT-adres (Network Address Translation) van de sensor.

   Opmerking: als u toestaat dat de sensor wordt geblokkeerd, verschijnt deze regel niet in de ACL.

2. Pre-Block ACL (indien gespecificeerd): Deze ACL moet reeds op het apparaat bestaan.

   Opmerking: ARC leest de lijnen in de vooraf ingestelde ACL en kopieert deze lijnen naar het begin van de blok ACL.

3. Alle actieve blokken.

4. Of Post-Block ACL of vergunning ip om het even welk:

   • ACL na blok (indien gespecificeerd):

     Deze ACL moet reeds op het apparaat bestaan.

     Opmerking: ARC leest de regels in de ACL en kopieert deze regels naar het einde van de ACL.

     Opmerking: Zorg ervoor dat de laatste regel in de ACL is permitteren ip any als u wilt dat alle ongeëvenaarde pakketten worden toegestaan.

   • de vergunning ip om het even welk (niet gebruikt als een Post-Blok ACL wordt gespecificeerd)

Opmerking: de ACL’s die ARC maakt, kunnen nooit door u of een ander systeem worden gewijzigd. Deze ACL’s zijn tijdelijk en er worden voortdurend nieuwe ACL’s gemaakt door de sensor. De enige wijzigingen die u kunt maken zijn aan de Pre- en Post-Block ACL's.

Als u de ACL voor of na een blok moet wijzigen, voltooit u de volgende stappen:

1. Schakel blokkering op de sensor uit.

2. Breng de wijzigingen aan in de configuratie van het apparaat.

3. Schakel de sensor uit.

Als de blokkering opnieuw is ingeschakeld, leest de sensor de nieuwe apparaatconfiguratie.

Opmerking: een enkele sensor kan meerdere apparaten beheren, maar meerdere sensoren kunnen niet één apparaat beheren. Indien blokken die door meerdere sensoren zijn afgegeven, bestemd zijn voor één enkele blokkeerinrichting, moet in het ontwerp een primaire blokkeringssensor worden opgenomen. Een primaire blokkerende sensor ontvangt blokkerende verzoeken van meerdere sensoren en geeft alle blokkerende verzoeken aan het blokkerende apparaat uit.

U maakt en slaat Pre-Block en Post-Block ACL’s op in uw routerconfiguratie. Deze ACL’s moeten uitgebreide IP-ACL’s zijn, met een naam of nummer. Zie uw routerdocumentatie voor meer informatie over hoe u ACL’s kunt maken.

Opmerking: Pre-Block en Post-Block ACLS zijn niet van toepassing op snelheidsbeperking.

ACL’s worden beoordeeld van boven naar beneden en de eerste match actie wordt ondernomen. Pre-Block ACL kan een vergunning bevatten die voorrang zou krijgen op een deny die voortkwam uit een blok.

Post-Block ACL wordt gebruikt om rekening te houden met alle omstandigheden die niet worden verwerkt door de Pre-Block ACL of blokken. Als u een bestaande ACL op de interface hebt en in de richting waarin de blokken worden uitgegeven, kan die ACL als Post-Block ACL worden gebruikt. Als u geen Post-Block ACL hebt, staan de sensorinzetstukken ip om het even welk aan het eind van nieuwe ACL toe.

Wanneer de sensor start, leest het de inhoud van de twee ACL's. Er wordt een derde ACL met deze vermeldingen gemaakt:

• Een vergunningslijn voor het sensorIP adres.

• Kopieën van alle configuratielijnen van de Pre-Block ACL.

• Een deny-lijn voor elk adres dat wordt geblokkeerd door de sensor.

• Kopieën van alle configuratielijnen van de Post-Block ACL.

De sensor past de nieuwe ACL toe op de interface en de richting die u aanwijst.

Opmerking: wanneer de nieuwe blok-ACL wordt toegepast op een interface van de router, in een bepaalde richting, vervangt deze alle bestaande ACL op die interface in die richting.

Cisco-routers configureren met CLI

Voltooi deze stappen om een sensor te vormen om een router van Cisco te beheren om het blokkeren en snelheidsbeperking uit te voeren:

1. Log in op de CLI met een account met beheerdersrechten.

2. Voer de submodus voor netwerktoegang in.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Specificeer het IP-adres voor de router die door ARC wordt bestuurd.

   sensor(config-net)#router-devices ip_address
   

4. Voer de logische apparaatnaam in die u hebt gemaakt toen u het gebruikersprofiel hebt geconfigureerd.

   sensor(config-net-rou)#profile-name user_profile_name
   

   Opmerking: ARC accepteert alles wat u invoert. Het controleert niet of het gebruikersprofiel bestaat.

5. Specificeer de methode die wordt gebruikt om toegang te krijgen tot de sensor.

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   Indien niet gespecificeerd, wordt SSH 3DES gebruikt.

   Opmerking: Als u DES of 3DES gebruikt, moet u de ssh host-key ip_address opdracht gebruiken om de SSH-toets van het apparaat te accepteren.

6. Specificeer het sensor NAT adres.

   sensor(config-net-rou)#nat-address nat_address
   

   Opmerking: Dit wijzigt het IP-adres in de eerste regel van de ACL van het adres van de sensor naar het NAT-adres. Het NAT-adres is het sensoradres, post-NAT. vertaald door een intermediair apparaat, dat zich tussen de sensor en het blokkerende apparaat bevindt.

7. Specificeer of de router blokkerend, tarief het beperken, of allebei uitvoert.

   Opmerking: de standaardinstelling is blokkerend. U moet reactiemogelijkheden niet vormen als u de router het blokkeren slechts wilt uitvoeren.

   • Alleen snelheidsbeperking

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • Zowel blokkering als snelheidsbeperking

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. Specificeer de interfacenaam en de richting.

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   Opmerking: de naam van de interface moet een afkorting zijn die de router herkent wanneer deze wordt gebruikt na de opdracht interface.

9. (Optioneel) Voeg de naam vooraf van de ACL toe (alleen blokkerend).

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. (Optioneel) Voeg de naam na ACL toe (alleen blokkerend).

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. Controleer de instellingen.

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 10.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. Sluit de submodus voor netwerktoegang af.

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. Druk op ENTER om de wijzigingen toe te passen of op no om ze te verwijderen.

De sensor configureren voor het beheren van Cisco-firewalls

Voltooi de volgende stappen om de sensor te configureren voor het beheer van Cisco-firewalls:

1. Log in op de CLI met een account met beheerdersrechten.

2. Voer de submodus voor netwerktoegang in.

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. Specificeer het IP-adres voor de firewall die door ARC wordt beheerd.

   sensor(config-net)#firewall-devices ip_address
   

4. Voer de naam in van het gebruikersprofiel dat u hebt gemaakt toen u het gebruikersprofiel hebt geconfigureerd.

   sensor(config-net-fir)#profile-name user_profile_name
   

   Opmerking: ARC accepteert alles wat je typt. Het controleert niet om te zien of bestaat het logische apparaat.

5. Specificeer de methode die wordt gebruikt om toegang te krijgen tot de sensor.

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   Indien niet gespecificeerd, wordt SSH 3DES gebruikt.

   Opmerking: Als u DES of 3DES gebruikt, moet u de opdracht ssh host-key ip_address gebruiken om de toets te accepteren of ARC kan geen verbinding maken met het apparaat.

6. Specificeer het sensor NAT adres.

   sensor(config-net-fir)#nat-address nat_address
   

   Opmerking: Dit wijzigt het IP-adres in de eerste regel van de ACL van het IP-adres van de sensor naar het NAT-adres. Het NAT-adres is het sensoradres, post-NAT, vertaald door een intermediair apparaat, tussen de sensor en het blokkerende apparaat.

7. Sluit de submodus voor netwerktoegang af.

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. Druk op ENTER om de wijzigingen toe te passen of op nee om ze te verwijderen.

Blokkeren met SHUN in PIX/ASA

Het uitgeven van de shun commando blokkeert verbindingen van een aanvallende host. Pakketten die overeenkomen met de waarden in de opdracht worden gedropt en vastgelegd totdat de blokkeringsfunctie is verwijderd. De shun wordt toegepast ongeacht of een verbinding met het gespecificeerde gastheeradres momenteel actief is.

Als u het doeladres, de bron- en de doelpoorten en het protocol opgeeft, beperkt u de shun tot verbindingen die overeenkomen met die parameters. U kunt slechts één shun opdracht voor elk bron IP adres hebben.

Omdat de opdracht Shun wordt gebruikt om aanvallen dynamisch te blokkeren, wordt deze niet weergegeven in de configuratie van het security apparaat.

Wanneer een interface wordt verwijderd, worden alle shuns die aan die interface zijn verbonden ook verwijderd.

Dit voorbeeld laat zien dat de beledigende host (10.1.1.27) een verbinding maakt met het slachtoffer (10.2.2.89) naar TCP. De aansluiting in de tabel voor de aansluiting van het security apparaat luidt als volgt:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

Om verbindingen van een aanvallende gastheer te blokkeren, gebruik het shun bevel op bevoorrechte wijze EXEC. Pas de shun opdracht met deze opties toe:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

Met deze opdracht wordt de verbinding uit de verbindingstabel van het security apparaat verwijderd en wordt ook voorkomen dat pakketten van 10.1.1.27:555 tot 10.2.2.89:666 (TCP) door het security apparaat gaan.

Gerelateerde informatie

• De sensor configureren voor het beheren van Catalyst 6500 Series Switches en Cisco 7600 Series routers
• Technische ondersteuning en documentatie – Cisco Systems