黑子的狗窝
黑子的狗窝
黑子学习ccsp的日志,如果有其他的要发表,也行

<< 2019 十二月 >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4

Cisco IDS (3)
pix防火墙 (7)

·安装IDS设备(2005-9-21)
·(五)捕获网络数据流量(2005-9-20)
·IDS的概念(2005-9-13)
·对防火墙的总结。(2005-8-1)
·部分pix防火墙命令(2005-7-30)
·故障倒换(2005-7-26)
·pix防火墙上的access-list(2005-7-14)
·连接和转换(二)(2005-7-8)

·那是需要权限的,没有cco帐号下不来...(2005-12-18)
·我公司用的是国内产品,不过,iev可以下...(2005-12-16)
·看样子你调过cisco ids ,想请教...(2005-12-14)
·tttttt...(2005-8-29)
·对此一巧不通~~
呵呵...(2005-6-30)



访问量:43422

heizi_010101 管 理 员



  安装IDS设备  
2005-9-21 星期三(Wednesday) 多云
 
  
初始化配置任务
1,进入CLI
2,运行setup命令
 主机名称
 IP地址
 网络掩码
 默认网关
 Telnet服务器状态(默认禁用)
 Web服务器端口(默认为443)

3,配置信任主机
 #service host
 #networkParams
 #accessList ipaddress 172.21.16.0 netmask 255.255.255.0
4,手动设置系统时钟
 clock set hh:mm:ss month day year
需要配置的任务:
1,更改密码
 password(不带参数,可在web上改)
2,添加或删除用户
 username name [password password] [privilege administrator|operator|viewer|service]
3,添加已知SSH主机
 ssh host-key ip-address [key-modulus-length public-exponent public-modulus]
 
  # posted by heizi_010101 @ 2005-09-21 20:07 评论(0)  
  (五)捕获网络数据流量  
2005-9-20 星期二(Tuesday) 晴
 
  (建议这里还是看CISCO IDS的英文文档,可去www.net130.com下载相关资料)
通过配置网络基础设备实现特定数据流量的直通监控之外,还有三种机制把数据流镜象传输到传感器的监
控借口上,这三种机制分别为:
交换机端口分析;
远程交换机端口分析
VLAN访问控制列表。
SPAN
对Catalyst 2900XL/3500XL进行SPAN,需要两条命令:
port monitor [interface mod/port | vlan vlan-id]
monitor session {session} {source {interface port(s)} [rx|tx|both]}
monitor session {session} {source vlan vlan_id[rx]}
monitor session {session} {destination {interface port}}
Catalyst 4000和6500交换机
set span 后面有很多选项,用google搜索,有对每个选项进行详细说明。
RSPAN(远程交换机端口分析)
作用:捕获多个交换机(但是不是所有)上端口的数据流量。(由于我看得书是中文版,关于RSPAN我个人觉得翻译的不是很好,看得有点糊涂,
我推荐有兴趣的看:http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12113ea1/3550scg/swspan.htm#wp1081130)
You can configure any VLAN as an RSPAN VLAN as long as these conditions are met:

–No access port is configured in the RSPAN VLAN.

–The same RSPAN VLAN is used for an RSPAN session in all the switches.

–All participating switches support RSPAN
(需要对这个要好好理解,要看下具体的配置实列)
虚拟局域网访问控制列表
它管理所有经由Cztalyst6500交换机的数据包。同Cisco IOS ACL 不同,VACL不通过数据流量的流向定义(入站或出站)
(这个很关键,直接影响性能)
1,定义感兴趣的流量,有如下选择限制捕获的数据流:
 IP协议
 源IP地址或目的IP地址
 源端口或目的端口
 IP协议,IP地址和端口组合
2,在CatOS上配置虚拟局域网访问控制列表(VACL)
 s1,定义一个安全ACL
 s2,把VACL载入到内存
 s3,将VACL映射到VLAN上
 s4,设置捕获端口
 (1)定义安全访问控制列表(ACL)
 目的:捕获感兴趣的数据流量。使用set security acl ip.并要使用关键字capture
 如:set security acl ip udpacl1 permit udp 172.21.166.0 0.0.0.255 rang 1 1024 172.21.168.0 0.0.0.255 rang 60 100 capture
(2) 把VACL载入内存
 命令如下:
 commit security acl acl_name |all
(3)将VACL映射到VLAN上
 set security acl map acl_name vlan
(4)设置捕获端口
 set security acl capture-ports {mod/ports}
3,在Cisco IOS防火墙上配置VACL
 如果在MSFC上使用Cisco IOS 防火墙,可能不能直接配置VACL,为传感器捕获网络数据流量。如果在指定的VLAN接口上使用了ip
inspect Cisco IOS防火墙命令,那么你在此交换机上,就不能为相同的VLAN创建VACL。因为这两个特性不兼容。若要克服这个限制,
需要使用mls ip ids MSFC路由器命令,指定哪些数据报根据安全访问控制列表的要求将被捕获。
 S1,创建扩展ACL
 S2,将ACL应用到接口或VLAN上
 S3,分配捕获端口
 (一)配置扩展ACL
 (二)将ACL应用到接口或VLAN上
 如:interface vlan 40
 mls ip ids 150
 (三)分配捕获端口set security acl capture-ports
Notice that the Sensor’s monitoring port is a member of VLAN 1.VLAN 1 is the native VLAN
for the Sensor’s monitoring port.

 
  # posted by heizi_010101 @ 2005-09-20 21:32 评论(0)  
  IDS的概念  
2005-9-13 星期二(Tuesday) 晴
 
  一,入侵检测的概念
(一)我们可以通过检查网络数据流量,主机日志,系统调用以及其他发送网络攻击信号的地方以确定入侵活动的位置。
IDS的三要素:
IDS 触发器
IDS监控位置
入侵检测响应技术
(二)IDS触发器
三种主要的触发机制
1,异常检测:基于模型的检测。常见的三种方法:统计抽样,基于规则的方法;神经网络。
2,滥用检测:基于模式匹配,它探察与具体特征相匹配的入侵行为。
3,协议分析:基于具体协议的正常操作,分析数据流。
(三)IDS监控位置
1,基于主机的IDS:优点,拥有攻击是否成功的第一手信息。缺点,对网络的视野有限制,必须运行在网
络中所有的操作系统上。
2,基于网络的IDS:优点,对网络有全局观;不需要运行在网络中的所有操作系统上,新主机通常不需要增加
新的IDS组件就可以得到保护。缺点:带宽问题;数据分片重组问题;加密问题;
3,入侵检测响应技术,TCP重置,IP拦阻,记录,访问限制。
4,入侵检测逃避技术:泛洪,分片,加密,迷惑,TTL操作。
 
  # posted by heizi_010101 @ 2005-09-13 21:26 评论(0)  
  对防火墙的总结。  
2005-8-1 星期一(Monday) 晴
 
  
我把防火墙的功能主要分为两大模块:
一,对流量的控制:
(1)asa算法
(2)地址转换 ,(要注意dns的位置)
(3)acl (还需要归纳)
(4)3a认证
(5)应用的修正,fix up,(要注意smtp服务器所用的协议)
(6)ids功能
二,管理配置
(1)PDM
(2)版本升级
(3)密码恢复
(4)登陆验证
(5)管理授权
(6)故障倒换
 
  # posted by heizi_010101 @ 2005-08-01 09:27 评论(1)  
  部分pix防火墙命令  
2005-7-30 星期六(Saturday) 晴
 
  nameif ethernet0 outside security0
interface ethernet1 100full
ip address outside 10.0.0.1 255.255.255.0
show running-config
write terminal
write erase /*删除闪存中的配置*/
write net
name 172.16.0.2 mailserver
show names clear names
reload
show memory
show version
show ip address
show interface
show cpu usage
ping inside 192.168.21.1
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 192.168.0.20-192.168.0.254
route dmz 10.0.2.0 255.255.255.0 10.0.0.1 1
static (inside,outside) 192.168.0.1 10.0.1.1
conduit permit tcp host 192.168.0.10 eq ftp any
alias (inside) 192.168.0.11 172.16.0.2 255.255.255.255
access-list out_in line 6 permit tcp any 192.168.0.0 255.255.255.0 eq 22
配置和使用对象分组
object-group network grp_id
object-group service grp_id {tcp|udp|tcp-udp}
object-group protocol grp_id
object-group imcp-type grp_id
fixup protocol ftp 2021
ip verify reverse-path interface outside
aaa-server MYTACACS protocol tacacs+
aaa-server MYTACACS (inside) host 10.0.0.2 secretkey tomeout 10
aaa authentication include any outbound 10.0.0.42 255.255.255.255 0.0.0.0 0.0.0.0 MYTACACS
virtual telnet ip_address
virtual http_ip_address [warn]
failover ip address outside 192.168.0.7
failover mac address outside 00a0.c989.e481 00a0.c969.c7f1

nameif e2 MYFAILOVER security55 /*用于故障倒置的安全接别有特别规定吗?*/
 
  # posted by heizi_010101 @ 2005-07-30 16:27 评论(0)  
  故障倒换  
2005-7-26 星期二(Tuesday) 多云
 
  
故障倒换的工作条件:
两台防火墙必须有完全相同的型号,相同的接口数量,接口类型,相同的软件版本,相同的激活(activation)密匙类型,
相同的内存和RAM。
故障倒换分成两种类型:
标准故障倒换和基于lan的故障倒换。
出现故障倒换的情况:
1,活动PIX防火墙电源关闭
2,活动PIX防火墙重启
3,活动PIX防火墙的一条链路关闭超过两个挂帐倒换轮询周期。
4,使用no failover active命令,强制活动防火墙进行故障倒换;或者在待机防火墙上使用命令failover active,强制待

机防火墙进行故障倒换
5,在活动pix防火墙上,块内存被耗尽的状态持续超过15秒
一,故障倒换的地址:
当处于活动状态时,PIX防火墙使用系统IP地址和MAC地址,当处于待机状态时,备用PIX防火墙使用故障倒换IP地址和MAC地

址。可以配置PIX防火墙使用虚拟MAC地址,而不使用它的故障倒换MAC地址。(软件版本在6.2以上时,才支持虚拟MAC地址)
二,配置复制:
从活动防火墙到待机防火墙进行配置复制,可通过如下3种方式来完成:
1,当待机PIX防火墙完成最初的引导,活动PIX防火墙把整个配置复制到待机PIX防火墙。
2,当在活动PIX防火墙上输入命令时,这些命令通过故障倒换电缆送入待机PIX防火墙
3,在活动PIX防火墙上输入write standby命令,强制把内存中所有的配置发送到待机PIX防火墙。
三,状态故障倒换:
故障倒换有两种类型:

故障倒换:当活动防火墙出现鼓掌,待机防火墙开始工作,所有的连接都将断开,客户应用程序需要新建一个连接,才能通

过PIX防火墙继续通信
状态故障倒换:(5.0开始)当活动PIX防火墙出现故障,待机PIX防火墙开始工作,新的活动PIX防火墙能得到与老的活动PIX

防火墙一样的连接信息。(状态故障倒换功能还不支持IP安全和虚拟专用网协议。
四,故障倒换接口的测试
下面是用来判断故障倒换状态的四种不同的测试:
1,链路启动/断开:这是对NIC自身的测试。如果接口卡没有插入到运行的网络中,就认为是出现故障。
2,网络活动:这测试是接收网络活动测试PIX防火墙对接受的数据包连续进行5秒钟的记数,如果在这段时间内的任何时间收

到了数据包,就认为该接口处于工作状态,停止测试。如果没有收到数据包,就开始地址解析协议(ARP)测试。
3,arp测试:是从pix防火墙的arp缓冲区中读取最近的10条内容,pix防火墙向这些机器每次发出一个请求,模仿网络数据流

量。
4,广播ping---ping测试就是发送广播ping请求,pix防火墙在5秒钟内对收到的数据包进行记数,如果在此期间内受到了任

何数据包,就认为接口处在工作状态,测试停止。如果没有收到任何流量,再次开始arp测试

基于电缆的鼓掌倒换配置(要关闭待机防火墙,直到步骤中明确指示打开它)/*要结合例子来理解*/

1,确认备用pix防火墙电源已经关闭,选择主备两台防火墙上适合的端口,用一根网络电缆将二者连接。如果要部署状态故

障倒换,其中一个接口必须专用于此项功能。
2,把故障倒换电缆连接到主pix防火墙,确认这一端标记着primary字样。把标着secondary字样的一端,连接到备用pix防火

墙上。
3,配置主pix防火墙:
 (1)用nameif给要使用的每个接口命名,设定安全级别。如果采用故障倒换,其中一个接口必须专用此项功能。
 (2)给要使用的接口设定速率,配置中不能使用auto或1000auto,把专用的接口设成100ful或者1000sxfull。如果使用
interface命令改变设置,执行操作有,使用clear xlate。
 (3)使用ip address 命令对计划使用的接口设定ip地址。
 (4)在主pix防火墙上使用命令clock set同步两台防火墙的时间
 (5)对于状态故障倒换,确认最大传输单元等于大于1500
 (6)在主pix防火墙上使用命令failover启动故障倒换功能,使用active选项把pix防火墙设定成活动防火墙。
 (7)使用failover ip address命令为每个接口输入故障倒换ip地址。待机防火墙使用的ip地址与活动防火墙使用的ip地

址不同,但是应当在一个子网中。
 (8)如果使用的是状态故障倒换,使用命令failover link指明故障倒换专用接口的名字。
 (9)如果希望在出现故障时,更快的执行故障倒换过程,可以使用命令failover poll设定防火墙交互hello包的时间小于

15秒
 (10)使用命令write memory把设置保存到闪存中。
4,打开备用防火墙的电源。备用防火墙一启动,主防火墙马上识别到。就开始进行配置同步。

基于LAN的故障倒换配置

不需要专用的故障倒换电缆,但需要专用一个lan接口,一台交换机,集线器或者vlan ,不能使用交叉(crossover )已太

网线把两台pix防火墙直接连接起来。

 (1)在连接PIX防火墙的cisco交换机上执行如下步骤:
 <1>启动portfast
 <2>关闭中继(trunking)功能
 <3>关闭通道(channeling)功能
 <4>如果使用的是cisco 6000或者6500系列交换机,请确认多层交换特性卡(MSFC)的运行的cisco IOS软件没有缺陷
 (2)给主,备两台防火墙的每个网络接口,接好网络电缆,用作基于LAN故障倒换的接口除外。
 (3)在给主pix防火墙的故障倒换lan接口连接电缆之前,执行下列步骤:
 <1>命令clock set同步主,备两台pix防火墙。
 <2>确认在配置中没有使用auto和1000auto这样的选项
 <3>使用命令interface关闭所有不同的接口,不要连接电缆。
 对专用的基于lan的接口进行如下的配置:用nameif指定接口的名字和安全级别;使用interface启动接口,设定

 速率,使用ip address指定接口的ip地址。
 使用命令failover启动故障倒换功能。
 <4>设置轮询时间(可选)
 <5>使用failover ip address,给待机防火墙上的每个接口设定ip地址。
 <6>如果是配置状态故障倒换,使用命令failover link指定故障倒换专用接口的名字。
 <7>使用writer memory保存主pix防火墙的配置
 <8>把主pix防火墙的故障倒换接口连接到网络
 <9>使用no failover关闭故障倒换。
 <10>使用failover lan unit把这台防火墙设定为主防火墙
 <11>使用failover lan interface指定故障倒换接口的名字。
 <12>使用failover lan key创建保证故障倒换安全性而使用的共享密钥。
 <13>使用failover lan enable启动基于lan的故障倒换。
 (4)把主pix防火墙的配置保存到闪存。
 (5)打开备用pix防火墙
 (6)不连接基于lan的故障倒换接口,在备用防火墙上执行如下的步骤
 <1>用nameif指定故障接口的名字和安全级别;使用interface启动故障接口,设定速率,使用ip address指定故障

接口的ip地址。
 <2>使用failover ip address,分配故障倒换接口的故障倒换ip地址。
 <3>使用failover lan unit把这台防火墙设定为备防火墙
 <4>使用failover lan interface指定故障倒换接口的名字。
 <5>使用failover lan key创建保证故障倒换安全性而使用的共享密钥。
 <6>使用failover lan enable启动基于lan的故障倒换。
 <7>使用failover lan enable启动基于lan的故障倒换。
 <8>使用writer memory保存pix防火墙的配置
 <9>把pix防火墙的故障倒换接口连接到网络
 <10>使用reload重启pix防火墙
 
  # posted by heizi_010101 @ 2005-07-26 17:53 评论(0)  
  pix防火墙上的access-list  
2005-7-14 星期四(Thursday) 阴
 
  访问控制列表
配置PIX防火墙使它有选择的允许一些流量的配置方式有:
基于源地址或目的地址:基于服务类型;基于验证,授权和计费(AAA)需求,基于内容或目的URL。
使用access-list和access-group这两条命令
注意:与使用Cisco IOS路由器不同的是,在PIX防火墙上使用access-group 命令只能将ACL绑定到任意借口的入站流量上
不过,在PIX防火墙上仍然能控制出站流量(如,从inside到outside接口),但是必须使用access-group acl_id in interface inside 命令将ACL绑定到inside接口上,从而控制从内部主机到inside接口上的流量。
access-list和access-group命令可以代替outbound或者conduit命令,且access-list和access-group具有较高的优先级。
在6.3版本中你可以为为特定的ACL条目指定行编号,并把它放置到任意的位置。
如:
access-list out_in line 5 remark adding entry to allow ssh /*注释*/
access-list out_in line 6 permit tcp any 192.168.0.0
clear access-list 命令将从配置删除所有的access-list命令语句。如果指定了该命令中的acl_id参数,那么它仅仅删除与该参数对应的ACL。
如果一个ACL组中所有的access-list命令语句都已被删除,那么no access-list命令相当于从配置中删除相应的access-group命令。(注意:在cisco ios中access-list 命令指定的子网掩码为0.0.0.255,那么在PIX防火墙中access-list命令将指定该子网掩码为255.255.255.0
turbo acl
在线性的查找过程中,平均查找时间与acl的大小成正比。一个turbo acl查询一个任意长度的acl所需要的时间与在一个大约由12-18条目构成的acl中进行查询的时间大致相同的。因此如启动turbo acl
都是19个甚至更多条目的acl上。
用access-list compiled启动turbo acl特性。
icmp permit|deny src_addr src_mask [icmp-type] if_name
clear icmp
show icmp
对象分组
PIX防火墙的对象分组特性就是减少ACL创建和维护的复杂性,提高管理性而设计的。
例子
access-list ACLIN permit object-group my-pro object-group my-src object-group my-dec object-group my-port
常规的:
access-list ACLIN tcp 192.168.10.0 255.255.255.0 host 10.0.0.1 eq www
object-group 后面的是对象分组,对象分组有四类,如,网络,服务,协议,以及ICMP类型。
如创建一个网络对象组
#object-group network CLIENT
 #network-object host 10.0.1.11
 #network-object 10.0.0.0 255.255.255.0
(还可以嵌套使用)
 
  # posted by heizi_010101 @ 2005-07-14 17:11 评论(0)  
  连接和转换(二)  
2005-7-8 星期五(Friday) 晴
 
  PIX防火墙主要支持以下4种类型的地址转换:
1,动态内部NAT:动态内部转换用于本地主机的出站连接,从而在Internet上隐藏内部主机的地址。具体实例:
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.1-192.168.0.14 netmask 255.255.255.240
这两条命令通过1这个转换号使转换前和转换后的地址相关联。
2,静态内部NAT:让内部主机固定地使用PIX防火墙全局网络中的一个地址。(个人理解:就是能让低安全性的外部网能建立起向高安全性的内部网的连接。如dmz区的服务器能被internet访问)
对于低安全接别接口到高安全接别接口的连接,可以有两个办法实现:static ,conduit与static
,access-list命令。如:
#static (inside,outside) 192.168.0.10 10.0.0.11
#conduit permit tcp host 192.168.0.10 eq ftp any
192.168.0.10是全局地址。
3,动态外部NAT。这个过程对于出现在PIX防火墙内部接口上的地址的控制和使用重叠地址连接私有网络的情况十分有用。还可以使用dns选项去转换DNS应答。
4,静态外部转换:它主要的作用是简化了将两个具有相同地址段的网络整合在一起。
(个人意见:这四个转换中,主要的是前两个)
#nat 0 关闭地址转换。
策略NAT(不能在策略NAT中使用nat 0):这个特性使你可以基于ACL里定义的源和目的地址,将本地地址转换成不同的全局地址。
连接和转换:转换是定位在TCP/IP协议栈中的IP层,而连接是在传输层。连接是转换的子集。xlate命令允许你显示和清楚转换槽的内容。当一个会话通过PIX建立时,一个转换槽也将被建立。当你修改配置后,先前的转换槽依然存在。当你的配置中添加,修改,删除alias,conduit,golbal,nat,route或者static命令后,需使用clear xlate。
show conn(显示处于活跃的连接) ,show xlate
alias命令两种功能:1,对DNS回复进行DNS解析修正。2,对目的地址进行转换。(个人观点:这两种功能的却粉是因为他们的拓扑所决定。两种相同的拓扑地方是:DNS都在外部,客户端都在内部,不同的地方是:访问的目的服务器前种是和客户端在同一个区域,而后一个不是。在配置DNS支持之前,一定要明白两个先决条件:1,在PIX上使用了nat,2,dns服务器在外部)。在6.2版本一后,可以用nat或static 命令中的dns选项代替。
PAT
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.4 netmask 255.255.255.0或#global (outside) 1 interface
端口重定向:
#static (dmz,outside) tcp 192.168.0.9 8080 172.16.0.2 www netmask 255.255.255 0 0
 
  # posted by heizi_010101 @ 2005-07-08 09:07 评论(0)  
  Cisco PIX设备管理器  
2005-6-30 星期四(Thursday) 晴
 
   Cisco PIX设备管理器PDM,是一个基于浏览器的配置和监控工具,它可以在你不用掌握大量命令行知识的情况下,很容易地配置和管理一台PIX防火墙。
PDM是一个很强大的管理和监控工具,然而在以下几种情况下你要避免选择使用PDM作为你的管理工具:
1, 管理大量的PIX防火墙时,则应该优先选防火墙MC或者CLI,这两个工具对于管理大量的PIX防火墙更为适合。
2, 如果有大量的访问,认证,授权,计费(AAA),过滤器或转换规则的话,选择使用CLI效率更高。
3, 要使用PDM还不支持的命令,如alias命令。
4, 要创建一个远大雨100KB的配置文件。
PDM的准备工作
1,enable password ---用来登陆PDM。
2,clock set ----设置格林威治时间,产生一个可用的认证
3,ip address inside---- 为防火墙的inside接口具体指定一个ip地址和掩码
4,host name -----设置主机名
5, domain-name---为PIX防火墙指定一个域名
6, http -- -运行PDM主机的IP地址
7, http server enable---启动http服务器。
通过PDM向导能完成的任务:
1, 启动PIX防火墙的接口
2, 为接口分配ip地址
3, 分配主机名和密码
4, 配置PPPoE。
5, 配置简单的远程VPN
6, 配置自动更新
7, 配置NAT和PAT
8, 培植DHCP

 
  # posted by heizi_010101 @ 2005-06-30 10:09 评论(0)  
  基本的pix的防火墙配置+个人对命令的看法  
2005-6-28 星期二(Tuesday) 晴
 
  六条命令:
nameif
interface
ip address
nat
global
route
nameif命令是激活pix防火墙asa,其中外部网络,DMZ区,内部网络就是靠它来划定的。
interface指定了接口的流量大小,同时也有路由器no shutdown的作用。
ip address,没什么好说的,就是指定相关接口的ip地址。
nat 应该和global命令和在一起,他们的作用就是把内部的ip地址隐藏起来,不过需要注意的是,这种nat用法,应该发起连接的是内部的机子。
route 命令是为一个接口定义一条静态或缺省路由。
 
  # posted by heizi_010101 @ 2005-06-28 15:52 评论(4)  

  页码:1/-23     本站域名:http://heizi01.blog.tianya.cn/