CiscoIOSIDS、IPS.ppt

Cisco IOS IDS/IPS 思科12.3（路由器）的第一个版本在2003开始发布，并 且不断的在更新一些新的版本，增加了上百个特性，其 中之一便是Intrusion Prevention System 虽然从12.0（5）T开始IOS已经支持IDS了，但是当时只 支持59个signatures，并且可扩展性也很差。只能算个 摆设而已。在 12.3（11）T支持118个signatures. IOS IDS 是一个在线式（in-line）的入侵检测sensor，对于所有穿越ROUTER的包，都扫描看是否match其中的任何一个signature当发现可疑的行为，可以采取以下的行动： 1)alarm：发警告到syslog服务器或Cisco Secure IDS Director 2)Drop：丢掉该包3)Reset：reset这个tcp连接（但是还是会继续转发这个包，所以建议和drop同时使用） 当启用IOS IDS时，IOS Firewall自动就启用了，一些参数也起作用了如：? ?ip inspect max-incomplete high? ?? ?? ?? ip inspect max-incomplete low? ?? ?? ?? ip inspect one-minute hig? ?? ?? ?? ip inspect one-minute low 在思科IOS防火墙入侵检测系统，签名(特征)分为四种类型： Info Atomic信息原子 Info Compound信息复合 Attack Atomic攻击原子 Attack Compound攻击复合 信息签名检测一个信息资料收集活动，如端口扫描。 攻击签名检测受保护的网络，例如，拒绝服务的尝试或企图非法命令的执行过程中，FTP会话的攻击。 cisco ios IDS配置：1.在全局模式上初始化cisco ios IDS?1)设置通知类型??ip audit notify log? ?用系统日志格式发送消息到路由器或日志服务器??ip audit notify nr-director用邮局格式发送消息到安全监控器或探测器 2) 配置本地邮局 ip audit po local 3)设置通知队列的大小??ip audit po max-events 300 4)设置被保护的网络??ip audit protected to 54 2.配置保护，关闭或排除签名1)配置垃圾信息攻击保护ip audit smtp spam 20最大的邮件收件人数目，默认250 2)全局关闭签名ip audit signature 1004 disableip audit signature 1006 disableip audit signature 3102 disableip audit signature 3104 disable 3)根据主机和网络排除签名:access-list 10 deny host 3? ?access-list 10 deny host 55access-list 10 permit anyip audit signature 3100 list 10ip audit signature 3104 list 10由3,/24这样的地址引起的签名是不会触发3100，3104的签名的 3.建立和应用审查规则1)建立默认的审查规则：ip audit info action alarm ip audit attack action alarm drop reset2)建立和应用审查规则：ip audit name IDS1 info ip audit name IDS1 attack int f0/0ip audit IDS1 in 4.验证配置show ip audit statistics 查看IDS统计数据 show ip audit config查看IDS配置show ip audit int查看IDS接口配置show ip audit debugclear ip audit statisticsclear ip audit config 5.案例: [DynamipsGUI] R1和R2通过f0/0直连,ip分别是 , 我们在R2上做IDS,然后用R1测试. R2(config)#ip audit notify log R2(config)#ip audit po local R2(config)#ip audit po max-events 100 R2(config)#ip audit