- 论坛徽章:
- 0
|
3月21日
cisco ios入侵检测系统
配置认证代理
1.设置认证代理空闲时间.
语法:ip auth-proxy inactivity-time {inactivity-timer min |absolute-timer min}
--inactivity-timer min 分钟数指定时间长度,即和相关联的动态acl用户一起,在没有活动后在
认证缓存中被管理的时间长度.默认事60min,可以输入0~2147483647的值
--absolute-timer min 指定一个时间窗口,在这个时间内认证代理打开接口上是活动的,默认0,
可以输入:1~65535
2.定义可选的认证代理标识
ip auth-proxy auth-proxy-banner {ftp|http|telnet} [banner-text]
eg:
router(config)#ip auth-proxy auth-proxy-banner telnet #Access to this network
is for authorized users only.please supply you username and password#
3.定义和应用认证代理规则
语法:ip auth-proxy name auth-proxy-name {ftp|http|telnet} [inactivity-timer
min] [absolute-timer min] [list {acl|acl_name}]
eg:
router(config)#ip auth-proxy name aprule http list 10
router(config)#access-list 10 permit 10.0.0.0 0.0.0.255
router(config)#interface ethernet 0
router(config-if)#ip auth-proxy aprule
测试和验证
1.show ip auth-proxy {cache | configuration}
2.debug ip auth-proxy {detailed | ftp | function-trace | http
|boject-creation |obicet-deletion |telnet | timers}
clear ip auth-proxy cache {* |ip_addr}
##########################################
配置Cisco IOS IDS
一.初始化 cisco ios ids路由器
1.设置通知类型
语法:(no)ip audit notify {nr-director | log}
--nr-director:用邮局格式发送消息到安全监控器或探测器
--log:用系统日志格式发送到路由器控制台或远程系统日志服务器
eg:
router(config)#ip audit notify nr-director
router(config)#ip audit notiry log
2.设置被保护的网络
语法:(no)ip audit po protected ip_addr [to ip_addr]
router(config)#ip audit po protected 10.0.0.1 to 10.0.0.254
3.通知队列的大小
指定事件通知的最大数目,这些通知放在路由器的事件队列中.默认是100 ,可以指定1~65535
语法:ip audit po max-events njmber-of-events
router(config)#ip audit po max-events 300
二.配置保护,关闭,和排除的签名
1.配置垃圾信息攻击保护
ip audit smp spam 全局配置命令指定邮件消息中接受者的数目,超过这个数目就被怀疑有垃圾邮
件事件发生,签名标识是3106.
语法:ip audit smtp spam number-of-recipients
number-of-recipients可以指定1~65535的数目,默认是250
2.全局关闭签名
ip audit signature sig-id disable
--sig-id:唯一整数,用来指定在cisco ids 网络数据库(nsdb)中定义的签名.默认有100个打开
eg:router(config)#ip audit signature 1004 disable
3.根据主机和网络排除签名
语法:ip audit signature sig-id list acl-num
--sig-id:唯一整数,用来指定在cisco ids 网络数据库(nsdb)中定义的签名.
router(config)#access-list 91 deny host 10.0.0.33
router(config)#access-list 91 deny 10.1.1.0 255.255.255.0
router(config)#access-list 91 permit any
router(config)#ip audit signature 3100 list 91
rotuer(config)#ip audit signature 3102 list 91
三.建立和应用审查规则
1.为信息签名和攻击签名设置默认行为.
ip audit info全局命令定义信息签名指定默认行为.
语法:ip audit attack {action [alarm] [drop][reset]}
action:为信息签名设置一个行为以对匹配作出响应.
alarm:发送一个警告到控制台.安全监控或者系统日志服务器.
drop:丢弃包.
reset:复位tcp会话.
2.建立ids审查
ip audit name为信息签名和攻击签名类型建立审查规则.
ip audit name audit-name {info | attack} [list list_num] [action] [alarm]
[drop] [reset]
应用:
ip audit audit-name {in |out}
eg:
router(config)#ip audit name audit2 info list 92 action alarm
router(config)#ip audit name audit2 acttack list 92 alarm drop reset
router(config)#access-list 92 deny host 10.1.1.40
router(config)#access-list 92 permit any
router(config)#interface e0
router(config-if)#ip audit audit2 in
四.验证配置
show ip audit statistics
show ip audit configuration
clear ip audit statistics
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/14201/showart_182577.html |
|
免费注册
发表于 2006-10-11 10:19