黑子的狗窝
黑子的狗窝
黑子学习ccsp的日志,如果有其他的要发表,也行

<< 2020 一月 >>
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1

Cisco IDS (3)
pix防火墙 (7)

·安装IDS设备(2005-9-21)
·(五)捕获网络数据流量(2005-9-20)
·IDS的概念(2005-9-13)
·对防火墙的总结。(2005-8-1)
·部分pix防火墙命令(2005-7-30)
·故障倒换(2005-7-26)
·pix防火墙上的access-list(2005-7-14)
·连接和转换(二)(2005-7-8)

·那是需要权限的,没有cco帐号下不来...(2005-12-18)
·我公司用的是国内产品,不过,iev可以下...(2005-12-16)
·看样子你调过cisco ids ,想请教...(2005-12-14)
·tttttt...(2005-8-29)
·对此一巧不通~~
呵呵...(2005-6-30)



访问量:43473

heizi_010101 管 理 员



  安装IDS设备  
2005-9-21 星期三(Wednesday) 多云
 
  
初始化配置任务
1,进入CLI
2,运行setup命令
 主机名称
 IP地址
 网络掩码
 默认网关
 Telnet服务器状态(默认禁用)
 Web服务器端口(默认为443)

3,配置信任主机
 #service host
 #networkParams
 #accessList ipaddress 172.21.16.0 netmask 255.255.255.0
4,手动设置系统时钟
 clock set hh:mm:ss month day year
需要配置的任务:
1,更改密码
 password(不带参数,可在web上改)
2,添加或删除用户
 username name [password password] [privilege administrator|operator|viewer|service]
3,添加已知SSH主机
 ssh host-key ip-address [key-modulus-length public-exponent public-modulus]
 
  # posted by heizi_010101 @ 2005-09-21 20:07 评论(0)  
  (五)捕获网络数据流量  
2005-9-20 星期二(Tuesday) 晴
 
  (建议这里还是看CISCO IDS的英文文档,可去www.net130.com下载相关资料)
通过配置网络基础设备实现特定数据流量的直通监控之外,还有三种机制把数据流镜象传输到传感器的监
控借口上,这三种机制分别为:
交换机端口分析;
远程交换机端口分析
VLAN访问控制列表。
SPAN
对Catalyst 2900XL/3500XL进行SPAN,需要两条命令:
port monitor [interface mod/port | vlan vlan-id]
monitor session {session} {source {interface port(s)} [rx|tx|both]}
monitor session {session} {source vlan vlan_id[rx]}
monitor session {session} {destination {interface port}}
Catalyst 4000和6500交换机
set span 后面有很多选项,用google搜索,有对每个选项进行详细说明。
RSPAN(远程交换机端口分析)
作用:捕获多个交换机(但是不是所有)上端口的数据流量。(由于我看得书是中文版,关于RSPAN我个人觉得翻译的不是很好,看得有点糊涂,
我推荐有兴趣的看:http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12113ea1/3550scg/swspan.htm#wp1081130)
You can configure any VLAN as an RSPAN VLAN as long as these conditions are met:

–No access port is configured in the RSPAN VLAN.

–The same RSPAN VLAN is used for an RSPAN session in all the switches.

–All participating switches support RSPAN
(需要对这个要好好理解,要看下具体的配置实列)
虚拟局域网访问控制列表
它管理所有经由Cztalyst6500交换机的数据包。同Cisco IOS ACL 不同,VACL不通过数据流量的流向定义(入站或出站)
(这个很关键,直接影响性能)
1,定义感兴趣的流量,有如下选择限制捕获的数据流:
 IP协议
 源IP地址或目的IP地址
 源端口或目的端口
 IP协议,IP地址和端口组合
2,在CatOS上配置虚拟局域网访问控制列表(VACL)
 s1,定义一个安全ACL
 s2,把VACL载入到内存
 s3,将VACL映射到VLAN上
 s4,设置捕获端口
 (1)定义安全访问控制列表(ACL)
 目的:捕获感兴趣的数据流量。使用set security acl ip.并要使用关键字capture
 如:set security acl ip udpacl1 permit udp 172.21.166.0 0.0.0.255 rang 1 1024 172.21.168.0 0.0.0.255 rang 60 100 capture
(2) 把VACL载入内存
 命令如下:
 commit security acl acl_name |all
(3)将VACL映射到VLAN上
 set security acl map acl_name vlan
(4)设置捕获端口
 set security acl capture-ports {mod/ports}
3,在Cisco IOS防火墙上配置VACL
 如果在MSFC上使用Cisco IOS 防火墙,可能不能直接配置VACL,为传感器捕获网络数据流量。如果在指定的VLAN接口上使用了ip
inspect Cisco IOS防火墙命令,那么你在此交换机上,就不能为相同的VLAN创建VACL。因为这两个特性不兼容。若要克服这个限制,
需要使用mls ip ids MSFC路由器命令,指定哪些数据报根据安全访问控制列表的要求将被捕获。
 S1,创建扩展ACL
 S2,将ACL应用到接口或VLAN上
 S3,分配捕获端口
 (一)配置扩展ACL
 (二)将ACL应用到接口或VLAN上
 如:interface vlan 40
 mls ip ids 150
 (三)分配捕获端口set security acl capture-ports
Notice that the Sensor’s monitoring port is a member of VLAN 1.VLAN 1 is the native VLAN
for the Sensor’s monitoring port.

 
  # posted by heizi_010101 @ 2005-09-20 21:32 评论(0)  
  IDS的概念  
2005-9-13 星期二(Tuesday) 晴
 
  一,入侵检测的概念
(一)我们可以通过检查网络数据流量,主机日志,系统调用以及其他发送网络攻击信号的地方以确定入侵活动的位置。
IDS的三要素:
IDS 触发器
IDS监控位置
入侵检测响应技术
(二)IDS触发器
三种主要的触发机制
1,异常检测:基于模型的检测。常见的三种方法:统计抽样,基于规则的方法;神经网络。
2,滥用检测:基于模式匹配,它探察与具体特征相匹配的入侵行为。
3,协议分析:基于具体协议的正常操作,分析数据流。
(三)IDS监控位置
1,基于主机的IDS:优点,拥有攻击是否成功的第一手信息。缺点,对网络的视野有限制,必须运行在网
络中所有的操作系统上。
2,基于网络的IDS:优点,对网络有全局观;不需要运行在网络中的所有操作系统上,新主机通常不需要增加
新的IDS组件就可以得到保护。缺点:带宽问题;数据分片重组问题;加密问题;
3,入侵检测响应技术,TCP重置,IP拦阻,记录,访问限制。
4,入侵检测逃避技术:泛洪,分片,加密,迷惑,TTL操作。
 
  # posted by heizi_010101 @ 2005-09-13 21:26 评论(0)  

  页码:1/1  [1]   本站域名:http://heizi01.blog.tianya.cn/