Cisco IPS(5.x)配置操作详解

来源：微智科技网

2010-02-10 23:38:10 来源:www.ciscoask.com 【大中小】

文章摘要：一、IPS Initual 1.使用管理员账号登陆IPS，默认下，用户名/密码：cisco/cisco；如果你是第一次登陆该IPS，那么IPS会提示你改变默认密码； 2.使用setup命令，进入对话框配置 --- System Configur-

一、IPS Initual

1.使用管理员账号登陆IPS，默认下，用户名/密码：cisco/cisco；如果你是第一次登陆该IPS，那么IPS会提示你改变默认密码；

2.使用setup命令，进入对话框配置

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

User ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Current Configuration:

service host

network-settings

host-ip 10.1.9.201/24,10.1.9.1

host-name sensor

telnet-option disabled

ftp-timeout 300

exit

time-zone-settings

offset 0

standard-time-zone-name UTC

exit

summertime-option disabled

ntp-option disabled

exit

service web-server

port 443

exit

Current time: Wed May 5 10:25:35 2004

Continue with configuration dialog?[yes]：

输入yes或直接回车，进入配置对话框；配置完成后使用show configuration验证配置；

二、Setting UP the Sensor

2.1 Configuring Network Settings

使用Network面板来配置sensor的网络参数和通信参数；路径：Configuration > Sensor Setup > Network

l Hostname——设置sensor的名字；

l IP Address——设置sensor的IP地址，默认地址是10.1.9.201；

l Network Mask——默认掩码是255.255.255.0

l Default Route——指定默认网关；默认是10.1.9.1

l Ftp Timeout——当sensor和FTP Server通信的时候，指定FTP Client在超时之前等待时间，默认是300秒；

l Web Server Settings——设置web server安全级别和接口参数

— Enable TLS/SSL——在web server上启用TLS和SSL加密；默认下是启用的；

— Web server port——Web Server使用的TCP接口号；默认为443；

l Remote Access——启用sensor的远程接入

— Enable Telnet——启用或禁用Sensor的Telnet管理，默认为禁用；

图例:

2.2 Configuring Allowed Hosts

配置允许访问Sensor的主机地址或网段；路径：Configuration > Sensor Setup > Allowed Hosts；

l IP Address——允许访问sensor的IP地址；

l Network Mask——掩码决定是主机地址还是网段；

图例:

2.3 Configuring SSH

SSH提供安全的接入和认证，SSH加密到sensor的连接，并提供对接入用户的认证，SSH同时也提供sensor和其他设备联动时的认证和加密；

SSH使用以下的任何一种方法认证主机：

l Password；

l 用户RSA public key；

2.3.1 Defining Authorized Keys

为客户端使用RSA认证方法登陆SSH server，定义client的public keys；在client上使用RSA key产生工具产生公钥/密钥，将公钥提交给SSH server；配置路径：Configuration > Sensor Setup > SSH > Authorized Keys(这个配置是用于client 通过ssh 登录ips.并且一旦配置完毕key就不需要密码了.认证的途径叫rsa authentication)

图例:

2.3.2 Defining Known Host Keys

在该域下，定义当Sensor SSH到其他设备上的时候，其他设备的Pbulic Keys；把要登陆设备的IP地址填入之后，点Retrieve Host Key，Sensor将会自动将目标设备的Pbulic Key接收回来；配置路径：Configuration > Sensor Setup >SSH > Known Host Keys.

2.3.3 Sensor Key

IPS Sensor自身SSH key，你可以使用Generate Key按钮重新产生一个新的Sensor SSH key；路径：Configuration > Sensor Setup > SSH > Sensor Key

2.4 Configuring Certificates

2.4.1 Trusted Hosts

增加主block sensors或Sensor下载更新时的TLS和SSL服务器的证书，你可以通过写入IP地址，然后Sensor会将目标的证书接收回来；路径：Configuration > Sensor Setup > Certificate > Trusted Hosts;

2.4.2 Server Certificate

服务器自身的证书；

2.5 Configuring Users

用户有以下角色：

l Administrators——最高权限，可以察看并修改所有配置；

l Operators——可以察看配置和事件，但是只能够修改以下选项：

— Signature tuning (priority,disable or enable)

— Virtual sensor definition

— Managed routers

— Their user passwords

l Viewers——可以察看所有配置和事件，但是不能够修改任何配置，除了他们的密码外；

l Service——特殊账号，可以进入IPS内核程序；

路径：Configuration > Sensor Setup > Users

三、Configuring Interfaces

我们可以将sensing接口运行在混杂模式，也可以将接口配置为inline pairs，但是首先要将接口UP；Sensing 接口没有IP地址，因此该接口对于攻击者来说是不可见的。

混杂模式

该模式下，数据包不会穿过IPS，Sensor只会分析copy过来的流量；由于该模式下流量不通过IPS，因此IPS需要借助于其他设备来执行Block；

在线模式

该模式下的IPS运行在流量的路径当中，IPS一旦发现攻击，那么就可以直接在线将包丢弃；在线模式的IPS不但可以在3层和4层上审查流量，而且也可以对通过流量的内容进行分析；

3.1 Configuring Interfaces

配置路径：Configuration > Interface Configuration > Interfaces

3.2 Configuring Interface Pairs

如果你使用在线模式监控流量的时候，就需要使用Interface Pairs，一个Interface Pair只包含两个接口；

3.3 Configuring Bypass Mode

IPS 的Bypass模式只工作在inline mode；该模式有三个选项：on、off和automatic；

l Auto——当sensor down的时候，允许流量通过，sensor up的时候，就要对流量进行审查和分析；

l Off——禁止bypass模式，当sensor down的时候，就将流量丢弃；

l On——永远不对流量进行审查和分析；

其他选项：(配置sensor接口来检测流量.如果流量在间隔时间内发生了改变.就会发送通知)

l Missed Packets Threshold——在指定的时间间隔内，允许最多missed包的上限；

l Notification Interval——定义间隔时间；

l Interface Idle Threshold——在发送notification之前，接口空闲的最大时间；

路径：Configuration > Interface Configuration > Traffic Flow Notifications.

四、Analysis Engine

4.1 Configuring the Virtual Sensor

接口UP后，要想让Sensor分析流量，那么就必须依靠分析引擎，将接口分配给分析引擎，分析引擎从接口处获取数据包并对其进行分析，然后和以定义好的签名进行比对，然后做出指定的Action；

路径:Configuration > Analysis Engine > Virtual Sensor

4.2 Configuring Global Variables

l Maximum Open IP Log Files——目前打开IP log的最大数目；默认为20；

五、Defining Signatures

5.1 Understanding Signatures

签名是由一系列的规则组成的.Sensors 利用签名来侦查到网络攻击,这种方式就叫做signature-based.

Sensor检测网络流量,如果发现了和signature相匹配的流量,就触发了签名,并对其实施相应的行为.比如说: logging, tcp reset, alert, blocking, deny inline.

在使用签名前,必须把签名enable.默认中所有critical的签名都是enabled的.

签名有三种类型.

1. built-in signatures -- > 默认存在的.

2. tuned signatures - - > 调整之后built-in signatures

3. custom signatures -- > 自定义签名.

5.2 Configuring Signature Variables

当在不同的多个signature中使用相同的值, 就可以使用signature variables,但你修改signature variables的时候,所有使用了这个变量的signature都同时被修改了.(在使用variables 时需要使用$标记).

路径: Configuration > Signature Definition > Signature Variables.

5.3 Configuring Signatures

在这个pane 中可以排列和浏览所有的签名,还可以根据攻击的类型,操作系统的,针对签名的行为,引擎,和签名的ID,签名的名字来分类.还可以浏览MySND的信息.(签名的信息库).

还可以修改已经存在的签名的参数和值.

新建新的签名.

enable 或者 disable 存在的签名.

把签名都还原成默认的模式.

删除签名.

Activate 或者 Retire 签名.

给签名赋予相应的行为.

在这个面板中，你可以配置以下策略参数:

Select By – 可以按照不同的分类来查看选择signature.

Select Criteria – 可以按照更详细的参数来选择 signature.

Sig ID – 根据唯一的signature id来参看signature.

Name – 根据名字来确定 signature.

Enabled – signature 是否被激活.

Action – 定义签名触发时的行为.

Severity – 签名的严重程度级别.分为:高,中,低,信息.

Fidelity Rating – 签名的真实程度.

Engine – 确定用什么引擎分析和检查流量.

这里我们重点看几个参数:

Engine: 引擎的种类繁多.根据不同的协议不同的需求运用不同的引擎.

比如有 AIC FTP/HTTP, Atomic ARP, Atomic IP, Flood Host, Flood net. Meta等等.

Event Action:

分为inline 模式下的(以deny 开头, inline结尾的):

Deny attacker Inline:拒绝攻击者的ip地址.

Deny attacker Service Pair inline:以攻击者的地址和被攻击者的服务端口为拒绝对象.

Deny attacker Victim Pair inline: 以攻击者和受害者地址为拒绝对象.

Deny connection inline: 拒绝这个TCP流量的现在和将来的包.

Deny packet inline:丢弃这个数据包.

Log: (审计) -- > 会自动产生 Alert.甚至当Alert都没开的时候.

Log Attacker Packets: 记录攻击者地址.

Log Pair Packets: 记录攻击和受害者地址.

Log Victim Packets: 记录受害者地址.

Alert: (报警)

Produce Alert: 生成报警.

Produce Verbose Alert: 详细的报警.

Blocking(拦截) – blocking 都是从 command 接口发出的.

Request Block Connection: 发送ARC到相关设备来阻止这个链接.

Request Block Host: 发送ARC 到相关设备来阻止主机.

Request SNMP Trap: 发送SNMP trap到设置的管理主机.同时会自动产生Alert.

TCP Reset:

Reset TCP connection: 重置 TCP 连接.

Event Counter: 配置ids 如何来记录事件信息.默认是1.

Event Count: 设置event 发生多少次之后才触发发动一个alert.

Event Count key: Event 的储存类型.比如攻击者地址.攻击者地址和受害者地址.攻击者地址和受害者地址的目的.

Specify Alert Interval: Event Count的reset时间.

(每次签名触发了一个event.在alert interval内发生了符合Event Count key的 Event Counter数目就会生成一个Alert.)

Alert Frequency:

Summary Mode: 可以把Alert 进行汇总.Alert 的模式总共有: Fire All, Fire Once, Global Summarize, or Summarize.

Summary Interval: 汇总的间隔.

Summary Key: 汇总的key. 比如攻击者地址.攻击者地址和受害者地址.攻击者地址和受害者地址的目的.

Specify Global Summary Threshold: 进行全局汇总的时间间隔.

路径: Configuration > Signature Definition > Signature Configuration.

5.4 Configuring the Miscellaneous Panel

在这个面板中，你可以配置以下策略参数：

l 配置应用策略参数：可以配置sensor提供4-7层的审查，来阻止嵌套在web服务中的恶意流量；

l 配置IP分配重组选项——目的是为了防止对Sensor的碎片攻击；

l 配置TCP流重组——配置Sensor监控TCP的三次握手；也可以配置三次握手完成之前等待的时间，以及当TCP连接上没有流量发送的时候，清除连接的时间；这个功能目的是为了防止sensor对一个正常的还没完成握手的连接产生错误报警；

l 配置IP logging选项

配置选项：

l Application Policy

— Enable HTTP——启用对web服务的保护，开启HTTP的审查；

— Max HTTP Requests——为每个出去的HTTP连接指定最大的请求（HTTP Request）数；

— AIC Web Ports——指定要查找的端口号；

— Enable FTP——审查FTP流量；

路径Configuration > Signature Definition > Miscellaneous.

六、Creating Custom Signatures

用户可以根据自己的需求来自定义签名.用户可以利用签名的引擎或者直接自定义.

目前可以自定义的引擎有:

•Atomic IP

•Service HTTP

•Service MSRPC

•Service RPC

•State (SMTP, ...)

•String ICMP

•String TCP

•String UDP

•Sweep

或者利用 protocol:

ICMP

TCP

UDP

路径: Configuration > Signature Definition > Custom Signature Wizard.

Atomic IP Engine Parameters Field Definitions

在 IP Engine 比较重要的选项有: (定义 ip header 中的项)

Specify Layer 4 Protocol: 可以选择icmp. tcp. udp 或者other protocol id.

Specify IP Payload Length: 定义负载的长度.这个是去除 ip header 之后的长度.

Service HTTP Engine Parameters Field Definitions

重要的选项是regex.分类有: URI / Arg / Request / Header

这幅图形象的解释了这些的区别.

String ICMP Engine Parameters Field Definitions

ICMP type: 指定icmp 类型.

Regex string: 匹配字符串.

String TCP Engine Parameters Field Definitions

String UDP Engine Parameters Field Definitions

Regex String: 匹配字符串.

Service Ports: 服务的端口.

Direction: To service | From service. 是去往服务器的流还是从服务器回来的流.

七、Configuring Event Action Rules

7.1 Understanding Event Action Rules

Event 行为规则集包括:

计算risk rating: 威胁系数.

覆盖事件行为.

过滤事件行为.

执行事件行为的结果.

汇总事件行为.

维护被拒绝的攻击者列表.

Calculating the Risk Rating

RR 值的范围是 0 – 100 用来表示事件的危险系数.计算取决于:

Per-signature basis:

ASR: Attack Severity rating. 被攻击漏洞的严重程度.

SFR: Signature Fidelity Rating. 签名的真实程度.

Per-server basis:

TVR: Target Value Rating: 用来识别网络设备的重要程度.

Event Overrides

可以根据事件的RR值的范围来覆盖事件的原有行为

Event Action Filters

可以根据不同的参数来对事件原有的行为进行过滤.

7.2 Configuring Event Variables

针对不用的IP 地址段来设定变量.比如变量A = 192.168.1.0/24.

路径: Configuration > Event Action Rules > Event Variables

7.3 Configuring Target Value Ratings

TVR 可以根据不同的IP 地址来设定等级: High/medium/low etc.

路径: Configuration > Event Action Rules > Target Value Rating

7.4 Configuring Event Action Overrides

可以根据事件的RR值的范围来覆盖事件的原有行为.

路径: Configuration > Event Action Rules > Event Action Overrides.

7.5 Configuring Event Action Filters

可以根据不同的参数来对事件原有的行为进行过滤.

路径: Configuration > Event Action Rules > Event Action Filters

7.6 Configuring the General Settings

可以设定是否对alert 进行汇总.

可以设定是否对激活META event

Inline 模式下对攻击deny 多长时间.最多可以deny 多少攻击者.

block的时间.

路径: Configuration >Event Action Rules > General Settings.

八. Configuring Attack Response Controller for Blocking and Rate Limiting

8.1 Understanding Blocking

Blocking 是由 command 接口发出的由Attack Response Controller (ARC)来执行 blocking 和 rate limiting.

Blocking 可以在路由器,交换机,PIX/ASA 防火墙和防火墙模块上执行.

Blocking 不可以在multi-mode 的防火墙的admin context下执行.只可以在single mode 和 multi-mode 的客户context上执行.

Blocking 有三种类型:

1. Host Blocking: 拒绝来自特定的IP address所有的流量.

2. Connection blocking: 拒绝特定的源IP address和目的IP address,目的端口.

3. Network blocking: 拒绝来自特定网络的流量.

Host blocking 和 Connection blocking 可以是手动自己指定.或者在签名触发之后进行blocking.

Network blocking 只能是手动指定.

ARC 在路由器.交换机上面是通过应用ACL和VACLs来进行流量拒绝.

而在PIX/ASA上面是通过.shun命令来进行流量拒绝.

为了让ARC来管理设备.你必须提供以下这些信息:

² 登录的用户名.

² 登录的密码.

² enable的密码(如果用户本身有enable权限就不需要密码)

² 接口

² 是否有pre-block acl (应用在拒绝的acl 之前) 和 post-block acl(应用在拒绝的acl之后)

² 通过ssh或者telnet来和进行blocking的设备进行通讯.

² blocking 的时间.

8.2 Understanding Rate Limiting

可以进行限速的引擎 Host Flood ,Net Flood 和 TCP 半开链接攻击.

ARC 可以在IOS 12.3 以上的版本进行限速.

8.3 Configuring Blocking Properties

Blocking propertie 面板主要设置一些基本的参数.

Enable blocking: 是否激活blocking 功能.

Allow the sensor IP address to be blocked: IPS自己的ip 地址是否可以被blocking.

Log all block events and errors: 记录所有的block事件和错误信息.

Enable NVRAM write: 如果勾选了.每次在的acl就会写入NVRAM.ACL始终会存在甚至在路由器重启之后.

Enable ACL Logging: ARC会在Access-list之后加入log参数.

Maximum block entries: 最多可以block多少条目.

Maximum interface: ACR 最多可以管理多少个接口.

Maximum Rating limit Entries: 最多可以限速多少条目.

Never Block Addresses: 永不block的地址.

路径: Configuration > Blocking > Blocking Properties.

8.4 Configuring Device Login Profiles

Device Login profiles 是由登录的用户名.密码.和enable密码组成的.不同的设备如果使用相同的用户信息.就可以使用以各Device login profiles.

路径: Configuration > Blocking > Device Login Profiles.

8.5 Configuring Blocking Device

Blocking Device面板的一些设置:

添加需要blocking 的设备.

Ip Address: 被管理设备的ip 地址.

Sensor’s NAT address: IPS的NAT地址.

Device loging profiles: 使用那个profiles来登录设备.

Device type: 设备的类型.

Response Capabilities: 指示被管理设备上应用 blocking 还是 rate limiting或者两者同时应用.

Communication: 用什么协议来登录被管理的设备.

路径: Configuration > Blocking > Blocking Devices.

8.6 Configuring Router Blocking interface

Router Blocking interface 面板下面的一些设置:

Router Blocking device: 被管理的设备的profiles调用.(这里我们看出是一个层次的

调用关系)

Blocking interface: 应用在这个设备的哪个接口上.

Direction: 应用在那个方向上.

Pre-blocking Acl: 在ACL之前是否应用其他的Acl.

Post-blocking Acl: 在ACL之后是否应用其他的ACL.如果没有POST-blocking ACl IPS会自动在ACL之后添加permit ip any any.

IPS blocking acl的顺序:

1. permit 自己的 ip address.

2. copies 所有的pre-blocking acl的条目.

3. deny 需要block的 ip address.

4. copies 所有 post-blocking acl的条目.

如果在这个接口的相同方向上.已经有acl被应用了.IPS就会删除这个作用在这个接口上相同方向的ACL.

路径: Configuration > Blocking > Router Blocking Device Interfaces

8.7 Configuring Cat 6K Blocking Device Interfaces

Cat 6k和路由器的基本相同. 需要在交换机上设置VLAN 和 VACL参数.

路径: Configuration > Blocking > Cat 6K Blocking Device Interfaces.

8.8 Configuring the Master Blocking Sensor

设置主的Blocking IPS配置.包括 IP 地址.端口.用户名.

路径: Configuration > Blocking > Master Blocking Sensor

九. Configuring SNMP

SNMP是一个用来管理设备的标准协议.分为management 到 agent 的gets/sets. 和 agent 到management的traps. IPS 这里作为一个agent.

9.1 Configuring SNMP

•Enable SNMP Gets/Sets—是否准许对IPS 进行Gets/Sets指令.

•SNMP Agent Parameters— 配置SNMP agent的参数.

–Read-Only Community String—只读的字符串.

–Read-Write Community String—可读可写的字符串.

–Sensor Contact— 联系的资料.

–Sensor Location—Sensor的位置.

–Sensor Agent Port—Sensor使用的端口

–Sensor Agent Protocol—Sensor使用的协议.

路径: Configuration > SNMP > SNMP General Configuration.

9.2 Configuring SNMP Traps

SNMP Traps 可以配置发送到相关目的地址的Traps.

•Enable SNMP Traps— 是否激活snmp traps..

•选择发送events的类型发送snmp traps.

–Fatal—严重..

–Error—错误.

–Warning—警告.

•Enable detailed traps for alerts—包含traps的详细信息.

•Default Trap Community String—缺省的字符串

•Specify SNMP trap destinations—发送snmp traps给相关主机的地址.