{"id":84,"date":"2006-06-25T03:03:09","date_gmt":"2006-06-25T02:03:09","guid":{"rendered":"http:\/\/security-planet.de\/?p=61"},"modified":"2006-06-25T03:03:09","modified_gmt":"2006-06-25T02:03:09","slug":"cisco-ips4210-sensor-inline-betreiben","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2006\/06\/25\/cisco-ips4210-sensor-inline-betreiben\/","title":{"rendered":"Cisco IPS4210-Sensor inline betreiben"},"content":{"rendered":"

Da der IPS4210-Sensor nur zwei Interfaces (einmal Command und Control, einmal Monitoring) hat, habe ich diesen Sensor nach dem Update auf die IPS-Software 5.0 schon abgeschrieben, da er mit nur einem Monitoring-Interface nicht den doch recht interessanten Inline-Mode beherrschte.In der Software-Version 5.1 ist jetzt aber die M\u00f6glichkeit dazu gekommen, auch mit einem Interface mit Hilfe von VLAN-Pairs den Inline-Mode zu konfigurieren. F\u00fcr dieses Beispiel wird folgender physikalischer Aufbau verwendet:<\/p>\n\n\n\"\"
\n <\/tr>\n<\/td>\n<\/table>\n

In den \u00e4lteren Software-Versionen war hier der 4210 nur im Promiscuous-Mode zu verwenden, indem mit Hilfe eines SPAN-Ports der Server-Traffic zum Sensor gespiegelt wird.<\/p>\n

Life of an ICMP-Packet – Wie funktioniert der Inline-VLAN-Pair-Betrieb<\/strong><\/p>\n

Obwohl sich die zwei kommunizierenden PCs in einem gemeinsamen IP-Subnetz befinden, m\u00fcssen sie denoch in zwei unterschiedliche VLANs konfiguriert werden. Der Sensor wird mit einem Trunk angeschlossen.<\/p>\n

1)<\/span> Der ICMP Echo-Request kommt im VLAN101 am Switch an und wird \u00fcber den Trunk mit einer VLAN-ID von 101 zum Sensor gesendet.
\n\"\"<\/p>\n

2)<\/span> Der Sensor empf\u00e4ngt das Paket, untersucht es, und schickt es \u00fcber den Trunk zur\u00fcck sofern es nicht aufgrund einer Inline-Deny-Aktion verworfen wird. Dabei schreibt der Sensor den 802.1q-Header um und ersetzt die VLAN-ID 101 mit der 102 (die VLANs sind nat\u00fcrlich konfiguriert). Damit verl\u00e4sst der Echo-Request den Sensor \u00fcber den selben Trunk und wird dem Ziel-PC zugesendet.<\/p>\n

\"Capture2\"<\/p>\n

3)<\/span> Der Ziel-PC antwortet mit einem Echo-Reply der auf dem Trunk zum Sensor mit einer VLAN-ID von 102 zu sehen ist.<\/p>\n

\"Capture3\"<\/p>\n

4)<\/span> Der Sensor schreibt den Header wieder um und sendet das Paket mit einer VLAN-ID von 101 \u00fcber den Trunk zur\u00fcck.<\/p>\n

\"Capture4\"<\/p>\n

Vorgehensweise und Konfiguration
\n<\/strong><\/p>\n

1)<\/strong> Sensor auf Version 5.1 updaten<\/strong><\/p>\n

Der Sensor mu\u00df nat\u00fcrlich die Version 5.1 ausf\u00fchren, weil erst in dieser Version die VLAN-Paare dazugekommen sind.<\/p>\n

2) Interfaces auf dem Switch konfigurieren<\/strong><\/p>\n

Im Promiscous-Betrieb war der PC auf dem Interface Fa0\/1 und der Server auf Fa0\/2 in einem VLAN da sie sich direkt erreichen m\u00fcssen. Der Port Fa0\/3 war der Zielport einer SPAN-Sitzung.<\/p>\n

Die Switch-Konfiguration f\u00fcr den Inline-Betrieb ist recht \u00fcbersichtlich. Der PC und der Server m\u00fcssen in unterschiedliche VLANs konfiguriert werden, da der Traffic jetzt nicht mehr direkt flie\u00dfen darf, sondern immer den Umweg \u00fcber den Sensor nehmen muss. Auf dem Trunk ist es nicht absolut n\u00f6tig die “allowed VLANs” zu konfigurieren, ich halte dies aber f\u00fcr eine “Standard-Konfig” auf einem Trunk.<\/p>\n

vlan 101-102\n!\ninterface FastEthernet0\/1\n switchport access vlan 101\n switchport mode access\n!\ninterface FastEthernet0\/2\n switchport access vlan 102\n switchport mode access\n!\ninterface FastEthernet0\/3\n switchport trunk allowed vlan 101,102\n switchport mode trunk<\/code><\/pre>\n
Damit dieser Inline-Mode funktioniert muss der Switch mehrere CAM-Tabellen unterst\u00fctzt, das macht z.B. der Cisco Catalyst 3750 mit einer neueren IOS-Version.<\/p>\n
3) Interfaces und VLANs auf dem Sensor konfigurieren<\/strong><\/p>\n
Die Konfiguration des Sonsors geschieht an zwei Stellen: Zum einen mu\u00df unter “Interface Configuration” das Monitoring-Interface f\u00fcr den Inline-Mode konfiguriert werden, zum anderen die “Analysis Engine” angepa\u00dft werden.<\/p>\n
3.1)<\/strong> Unter “Interface Configuration -> Summary” ist zu sehen, da\u00df das Monitoring-Interface noch keinem virtuellem Sensor zugeordnet wurde.<\/p>\n
\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

3.2)<\/strong> Es ist noch kein VLAN-Pair vorhanden,<\/p>\n

\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

3.3)<\/strong> \u00fcber “Add” wird ein neues angelegt. In diesem Fall werden \u00fcber das Subinterface 100 die VLANs 101 und 102 im Inline-Mode verbunden.<\/p>\n

\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n
\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

3.4)<\/strong> Stanardm\u00e4\u00dfig ist dieses keinem virtuellen Sensor zugeordnet.<\/p>\n

\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

3.5)<\/strong> \u00dcber “Edit” wird die Zuordnung vorgenommen<\/p>\n

\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n
\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

3.6)<\/strong> Weiterhin mu\u00df das Interface eingeschaltet werden<\/p>\n

\n
\n\n\"Inline-Betrieb
\n <\/tr>\n<\/td>\n<\/table>\n

Zus\u00e4tzlich wurde f\u00fcr eine FTP-Signatur eine Inline-Deny-Aktion konfiguriert. Aufgrund der doch sehr tr\u00e4gen Oberfl\u00e4che auf dem 4210 habe ich das auf dem CLI gemacht wobei folgende Konfig rausgekommen ist:<\/p>\n

\nsignatures 6250 0\n engine string-tcp\n  event-action deny-attacker-inline\n  exit\n<\/code><\/pre>\n
\u00dcberpr\u00fcfung<\/strong><\/p>\n
Ein “Angriff” wird gestartet:<\/p>\n
C:Documents and SettingsAdministrator>ftp 172.26.26.50\nConnected to 172.26.26.50.\n220 ca Microsoft FTP Service (Version 5.0).\nUser (172.26.26.50:(none)): sdfdsa\n331 Password required for sdfdsa.\nPassword:\n530 User sdfdsa cannot log in.\nLogin failed.\nftp> user dfdsf\n331 Password required for dfdsf.\nPassword:\n530 User dfdsf cannot log in.\nLogin failed.\nftp> user dfdsf\n331 Password required for dfdsf.\nPassword:\n530 User dfdsf cannot log in.\nLogin failed.\nftp><\/code><\/pre>\n
“show events” zeigt, da\u00df die konfigurierte Inline-Aktion ausgef\u00fchrt wird:<\/p>\n
evStatus: eventId=1150240014237161088 vendor=Cisco\noriginator:\nhostId: sensor\nappName: sensorApp\nappInstanceId: 328\ntime: 2006\/06\/16 15:14:12 2006\/06\/16 15:14:12 UTC\ndenyAttackerStarted:\ndescription: denyAttackerStarted for address: 172.26.26.170\naddress: 172.26.26.170<\/code><\/pre>\n
Der Angreifer ist als “denied” im Sensor eingetragen:<\/p>\n
sensor# sh statistics denied-attackers\nDenied Attackers and hit count for each.\n172.26.26.170 = 18\nStatistics for Virtual Sensor vs0\nDenied Attackers with percent denied and hit count for each.\nAttacker Address   Victim Address   Port   Protocol   Requested Percentage\n172.26.26.170                                                   100\n\nActual Percentage   Hit Count\n100                       18\n\nsensor#<\/code><\/pre>\n
Weitere Konfigurationen<\/strong><\/p>\n
Erst nachdem das Monitoring-Interface auf 10MBit\/s und Fullduplex konfiguriert wurde hat der Betrieb problemlos funktioniert. Wenn das Interface auf 100MBit\/s steht wird der 4210-Sensor anscheinend so schnell \u00fcberlastet, da\u00df selbst im Testbetrieb etliche Sessions abgebrochen sind, die normal h\u00e4tten durchlaufen sollen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Da der IPS4210-Sensor nur zwei Interfaces (einmal Command und Control, einmal Monitoring) hat, habe ich diesen Sensor nach dem Update auf die IPS-Software 5.0 schon abgeschrieben, da er mit nur einem Monitoring-Interface nicht den doch recht interessanten Inline-Mode beherrschte.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5,7],"tags":[316,358],"class_list":["post-84","post","type-post","status-publish","format-standard","hentry","category-cisco","category-cisco-security","tag-ips","tag-konfiguration"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/84","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=84"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/84\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=84"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=84"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=84"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n