Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cách kết hợp IDS 4210 và Router 2621XM!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cách kết hợp IDS 4210 và Router 2621XM!

    Chào các bạn,
    Hiện Quốc đang tự học về IDS, Quốc có thiết bị để test nhưng không có tài liệu hướng dẫn chi tiết về cách kết hợp này. Quốc đã tìm trên cisco.com nhưng chỉ thấy nói chung chung là có thể kết nối với nhau. Quốc nghe nói là khi nhận dạng được các cuộc tấn công thì IDS có thể điều khiển Router dựng ACL để ngăn chận các cuộc tấn công, không biết điều này được thực hiện như thế nào, cần phải cấu hình IDS và Router ra sao để có thể ngăn chận các cuộc tấn công.
    Cám ơn các bạn đã quan tâm.

    Lê Minh Quốc
    Việc học như con thuyền trôi ngược dòng nước, không tiến ắt sẽ lùi!

  • #2
    Bạn nên đọc cuốn này :

    Cisco Secure Instruction Detection System của Cisco Press.

    Hoặc theo giáo trình CCSP của Cisco cũng được. Không rỏ IDS 4210 của bạn là network sensor hay là host sensor ?
    -------------------------------------------------------
    Yamaha R6 Rider
    Tôi là Yuna_admirer.

    Comment


    • #3
      Re: Cách kết hợp IDS 4210 và Router 2621XM!

      hi all,
      IDS 4210 thi chac chan la IDS appliance roi (khong phai host sensor software !)

      Theo Reboy biết thì cơ chế IDS hoạt động cơ bản như sau:
      IDS sẽ check các packet đi qua hệ thống (đi qua đâu và phần nào thì do thiết kế). Nó sẽ so sánh với signatures database lưu trong IDS, Nếu phát hiện ra dấu hiệu tấn công (attack, scan,....) nó sẽ điều khiển thiết bị blocking để generate rule blocking, reset, hoặc alarm traffic hay sourse IP. Các action cụ thể thì người quản trị config.
      Trên router thi IDS điều khiển generate ACL
      Trên PIX thi generare shun rule.

      Thanx,
      Red..Boy

      Comment


      • #4
        Redboy nói đúng tất cả các yếu tố chính của Cisco IDS solution rồi. Bình có built một cái Frankenstein IDS nhờ download được Cisco IDS 4.0 recovery CD. Bạn chỉ cần 1 Intel-based Pentium 3, với khoảng 500+Mhz CPU, 256MB RAM, 10GB+ HD và ít nhất là 2 Network Interface Cards (NICs) là có thể build một cái Frakenstein IDS để "xài chơi" trong lab được rùi. 1 NIC (eth0) sẽ dùng làm command&control (CC) interface, còn NIC kia làm sensing interface. Có ai có account có thể upload của vnpro.org B có thể upload lên FTP đó thì nói cho B biết để B uplaod cái ISO image lên cho (khoảng chừng 400-600MB).

        Nói về blocking bằng Cisco IDS, bạn có thể configure nó manually dùng IDS Manager hoặc Command Line (CLI), nếu muốn block một IP/subnet nhất định, hay có thể configure signature action để khi có attack Sensor hoặc IDS Module (Catalyst 6500) sê gởi shun/ACLs đến các managed devices (Cisco Routers, PIX)

        Bạn cũng có thể setup một Master BLocking Sensor có nhiệm vụ gởi thông tin về 1 attack đến cái blocking sensor khác, và các blocking sensor này sẽ cùng block các attack đó ở nhưng điểm đi vào của mạng (network entry points).

        Còn rất nhiều điều khác nửa mà B không có đủ thời gian trao đổi với các bạn. Xin ghé qua CCO để tim thêm thông tin.

        Regards,

        Comment


        • #5
          Originally posted by bonzai408
          Redboy nói đúng tất cả các yếu tố chính của Cisco IDS solution rồi. Bình có built một cái Frankenstein IDS nhờ download được Cisco IDS 4.0 recovery CD. Bạn chỉ cần 1 Intel-based Pentium 3, với khoảng 500+Mhz CPU, 256MB RAM, 10GB+ HD và ít nhất là 2 Network Interface Cards (NICs) là có thể build một cái Frakenstein IDS để "xài chơi" trong lab được rùi. 1 NIC (eth0) sẽ dùng làm command&control (CC) interface, còn NIC kia làm sensing interface. Có ai có account có thể upload của vnpro.org B có thể upload lên FTP đó thì nói cho B biết để B uplaod cái ISO image lên cho (khoảng chừng 400-600MB).

          Nói về blocking bằng Cisco IDS, bạn có thể configure nó manually dùng IDS Manager hoặc Command Line (CLI), nếu muốn block một IP/subnet nhất định, hay có thể configure signature action để khi có attack Sensor hoặc IDS Module (Catalyst 6500) sê gởi shun/ACLs đến các managed devices (Cisco Routers, PIX)

          Bạn cũng có thể setup một Master BLocking Sensor có nhiệm vụ gởi thông tin về 1 attack đến cái blocking sensor khác, và các blocking sensor này sẽ cùng block các attack đó ở nhưng điểm đi vào của mạng (network entry points).

          Còn rất nhiều điều khác nửa mà B không có đủ thời gian trao đổi với các bạn. Xin ghé qua CCO để tim thêm thông tin.

          Regards,
          HI
          Tôi cũng đang nghiên cứu IDS của Cisco. Bạn có thể cho 1 mô hinh IDS rõ ràng và cấu hình đi kèm được không
          Nhất mong được chỉ giáo
          thanks

          Comment


          • #6
            RE: Cách kết hợp IDS 4210 và Router 2621XM!

            Hi quoclm,
            Cau hinh IDS aplian sensor ket hop voi Router de block cuoc tan cong rat don gian. Ban chi can lam 2 buoc:
            - Cau hinh account co quyen admin cho phep telnet den router.
            - Cau hinh tren Sensor (su dung IDS MC hoac IDM tuy), add device blocking vao (gom cac thong tin: IP, user/passwd).

            Vay la day du, IDS phat hien xam nhap, neu thuoc loai high signature se send cau lenh blocking den router, tu dong tao them 1 ACL extend de chan giao tiep.

            Cac mo hinh khac nhu config master blocking, anh Bonzai ah, o Vn chac it co mo hinh va dieu kien de minh trien khai. :D

            Chuc may man.

            Comment


            • #7
              chào mọi người mình đang nghiên cứu về IDS, các bạn có thể cho mình hỏi là IDS có thể giả lập trên GNS3 không?ai có file IOS cua IDS cho mình xin với nhe.

              Cảm ơn các bạn nhiều lắm!

              Comment


              • #8
                Chào bạn,

                Dùng IOS này và VMWARE để giả lập IDS



                Hướng dẫn sử dụng.
                Phạm Minh Tuấn

                Email : phamminhtuan@vnpro.org
                Yahoo : phamminhtuan_vnpro
                -----------------------------------------------------------------------------------------------
                Trung Tâm Tin Học VnPro
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel : (08) 35124257 (5 lines)
                Fax: (08) 35124314

                Home page: http://www.vnpro.vn
                Support Forum: http://www.vnpro.org
                - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                - Phát hành sách chuyên môn
                - Tư vấn và tuyển dụng nhân sự IT
                - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                Network channel: http://www.dancisco.com
                Blog: http://www.vnpro.org/blog

                Comment

                Working...
                X