Cisco IDS Easy Configuration Guidecfs3.tistory.com/upload_control/download.blog?fhandle... ·...

“ Cisco IDS Easy Configuration“

“ Cisco IDSM Easy Cisco IDSM Easy ConfigConfig “

목차I. IDS의기본적인이해

II. 기본구조와구성

III. IDM을통한 IDS 구성방법

IV. IEV를활용한모니터링

V. Trouble Shooting






V. Trouble Shooting

I. IPS/IDS 기본적인이해 – I.I IPS/IDS 기술적분류

“ 올바른 IDS 이해 “

SignatureSignature

AnomalyAnomaly

PolicyPolicy

PassivePassive

ActiveActive

HostHost

NetworkNetwork

IDS 기술적 구분IDS 기술적 구분

Audit 대상Audit 대상

탐지 방법탐지 방법

탐지 대응 방법탐지 대응 방법

I. IPS/IDS 기본적인이해I.I 탐지방법에의한분류

A. Signature Based IDS 정의

Signature DB Match !!!

String Match: http://.../cmd.exe...

String Match: http get …./cmd.exe…. 를통한유해 Traffic 유입

Signature (Misused) Based IDS

Capture 된 Packet과 알려진 Attack, Worm, Virus, 취약점등으로이미정의된 Signature DB와비교하여유해트래픽을검출하는방식

가장대표적인방식으로현재 IDS 방식의대부분이이방식을기본으로하고있음.


A. Signature Based IDS –오탐의의미와 Signature IDS의장점

Signature Based IDS 오탐의의미Signature Based IDS 오탐의의미

1. False Positive(긍정적오탐) : 침입이아닌 Packet을 침입으로판단하여 Event 발생

• Signature 질적저하

• 복잡한 Rule 구성

2. False Negative(부정적오탐)

• Signature Update 가제대로이뤄지지않은경우

• IDS 우회를통한 Attack이 가해지는경우

• Packet을제대로 Capture 하지못한경우 – Packet Loss

Signature Based IDS 장점Signature Based IDS 장점

1. False Positive 비율을최소화할수있다.

• Tuning을통한 False Positive 최소화

• Vendor에서제공하는 Quality가뛰어난 Signature 제공 – Signature가많은것이좋은것은아니다.

2. Customize 와확장이용이하다.


A. Signature Based IDS –단점과한계점

Signature Based IDS 단점Signature Based IDS 단점

1. 알려지지않은 Attack에대한탐지방법이없다.

• 이미알려진 Attack에대해서만방어가가능하다.

2. 지속적인 Signature Update가 필요하다. –정기적, 비정기적

3. Signature가 제대로정의되어있지않을경우, IDS 우회가능성이높다.

4. Signature의 질적인문제

• Signature 의숫자가 IDS의 Quality 를결정짓는것은아니다.

• Market을 Lead하는 IDS Vendor들의 IDS Signature 수는 그렇게많지않다.


B. Policy Based IDS –정책기반의 IDS 정의

Alarm!!!

우리망에서는 IP만사용함…

내부에서사용되지않는 IPX Traffic 내부유입또는외부로유출

Policy Based IDS

Capture 된 Packet과 이미정의된 Policy 규칙에따라, 이에어긋난 Packet 발견시 Alarm,Evnet발생

IDS Tuning 사항에해당됨…


B. Policy Based IDS –정책기반의 IDS 장점과단점

Policy Based IDS 장점Policy Based IDS 장점

1. 신뢰성높은 Detection

• Signature Based 에비해서특정정책에따라 Config를구성하므로, False Positive 에신경을쓰지않아도된다.

2. Very Focused

• 특정기간또는특정유형에따라정책이설정되므로 , 이에해당하는유형만집중적으로관찰이가능하다.

3. Signature를 Tuning 해서, Policy Based IDS와 함께효율적으로사용이가능하다.

Policy Based IDS 단점Policy Based IDS 단점

1. 구성전에 Network의정확한분석과기간이필요하다.

• 관리자가내부망에대한정확한이해와 Focus 할 Attack 유형, 범위(Ex.DMZ Zone)등을결정해야한다.


C. Anomaly Based IDS – Anomaly IDS 정의

예상치 않은 과다 UDP Packet 유입

정의 되지 않은 IP Packet 유입

과다한 UDP Flooding, Impossible Ip packet 발생….

Anomaly Based IDS

Statistical vs non-Statistical : 정상적인 Traffic에 대한상황과비정상적인상황에대한능동적인대처가능

정의되지않은공격유형에대한능동적탐지수행


C. Anomaly Based IDS – Anomaly IDS 장점과단점

Anomaly Based IDS 장점Anomaly Based IDS 장점

1. 알려지지않은공격에대해서도방어가가능

• Signature 기반의공격의대한단점을대폭보강할수있음.

2. 완전한침입탐지의기능을수행할수있음

Anomaly Based IDS 단점Anomaly Based IDS 단점

1. 사전정보수집요망

• 관리자가내부망에대한정확한이해와 Focus 할 Attack 유형, 범위(Ex.DMZ Zone)등을결정해야한다.

2. 탐지는가능하나, 애매한 Reporting 가능성이높다. –구체성부족

I. IPS/IDS 기본적인이해I.II 탐지대응방법에의한분류

A. Passive IDS –수동적 IDS 정의

Passive IDSPassive IDS

Event 발생

-보고서출력및 Alarm 발생

Event 보고서

00.1.1 발생종류-x

…..

Passive IDS

Event 발생시 Managerment Server를 통해보고서출력 , 또는알람발생

능동적이지못하다는단점이있음

빠른대응이없을경우, Log, Report 가많아짐…


B. Active IDS –능동적 IDS 정의

Active IDSActive IDS

Event 발생

-보고서출력및 Alarm 발생

Event 보고서

00.1.1 발생종류-x

…..

Active IDS

Event 발생시 Managerment Server를 통해보고서출력 , 또는알람발생및능동적자체방어

능동적이므로 , 유해트래픽대응에효과적이다.

오탐에대한방어발생시, 정상적 Traffic 차단이라는최악의상황발생우려…


C. Passive IDS vs Active IDS – IDS vs IPS

IDS/IPS 기술적 양분화IDS/IPS 기술적 양분화

Passive IDS - IDSPassive IDS - IDS Active IDS - IPSActive IDS - IPS

IPS ASIC IDS Engine

1. Connection Reset은가능하다

• TCP FIN flag

2. UDP,ICMP 방어 방법이없음.

3. 타방화벽과의연동을통한수동적 IP Blocking을구현할수밖에없다.

1. TCP/UDP/ICPM등다양한공격에능동적방어

2. 고속의처리를견뎌야하는 H/W 적인부담으로가격고가

3. 진정한 IPS라기 보다는 Active IDS라는표현이솔직하다.

I. IPS/IDS 기본적인이해I.III 감사대상에의한분류 – Network IDS, Host IDS

감사 대상에 의한 분류감사 대상에 의한 분류

Network IDSNetwork IDS Host IDS/IPSHost IDS/IPS

NIDS

Network 기반 Traffic Capture를 통한Raw Data 분석 및 조치

HIDS/HIPS

호스트 기반 Agent 탑재를 통한 분석 or 호스트 커널과 Application SC 분석을통한 지능형 방어






V. Trouble Shooting

II. IPS/IDS 기본구조와구성II.I 기본구조

A. 기본구조소개

실시간 침입 탐지 감시폭넓은 침입 탐지 인식 및 감시확장된 침입 탐지 유형다중 VLAN 탐지 기능32Gb bus/ Fabric 과의 연동 구조Switch 성능 저하 없는 monitoringPassive MonitoringTransparent OperationIDSM 관리를 위한 SSL기반의 IDM 지원Event 분석을 위한 IEV 지원라우터,스위치,방화벽 제품 군과의 연동Cat OS 7.5(1)/IOS 12.1(19)E 이상 지원

Switch IPS – IDSM2

600Mbps 높은 성능5000 cps(초당 TCP 처리 수)HTTP Transaction 5000 TPS동시 접속 수 최대 500,000 개

강력한 성능

Cisco IPS – IDSM II

II. IPS/IDS 기본구조와구성II.I 기본구조

B. Interface 구성소개

Reset Interface

TCP Rest 기능수행

720G Switching

Fabric

2G bps

1G bps

1G bps

1

2

7

8

Command Control port

IDSM 관리를위한통신Interface

Sensing Interface

Packet Capture 를수행하는 Interface

II. IPS/IDS 기본구조와구성II.II 기본구성

1. IDSM Vlan 설정

2. IDSM 접속후 Setup IP 설정, ACL 설정을통한 IDSM 접속관리자 Filtering 및기본설정

3. SPAN or VACL : 7600/6500 Backbone에흐르는 Packet Capture에관련된구성

4. IDM or VMS를 통한 IDS Tuning 작업

II. IPS/IDS 기본구조와구성II.II 기본구성A. 기본상태점검

6500#show module <IDSM Slot 번호>

Mod Ports Card Type Model Serial No.----- ------ ------------------------------- ------------------ -----------12 8 Intrusion Detection System WS-SVC-IDSM-2 SAD072001DZ

Mod MAC addresses Hw Fw Sw Status---- ---------------------------------- ------ ------------ ------------ -------12 0002.fcbe.8a10 to 0002.fcbe.8a17 2.0 7.2(1) 4.1(3)S81 Ok

Mod Sub-Module Model Serial Hw Status --- --------------------------- --------------- --------------- ------- -------12 IDS 2 accelerator board WS-SVC-IDSUPG 034732139A 2.0 Ok

Mod Online Diag Status ----- -------------------12 Pass

1

2 3

4

1. IDSM Serial 번호2. IDSM Signature Version 3. IDSM 현재상태4. IDSM 시동시 Test 결과 Print

II. IPS/IDS 기본구조와구성II.II 기본구성B. IDSM 관리 IP 설정을위한 Network 구성

Command Control port

IDSM 관리를위한통신 Interface

Reset Interface

TCP Rest 기능 수행

720G Switching

Fabric

Sensing Interface


2G bps

1G bps

1G bps

1

2

7

8

Native IOS 에서의 IDSM 관리용 IP 설정을위한 Vlan 구성방법intrusion-detection module 5 management-port access-vlan 2

IDSM 관리용 IP를 Vlan 2로할당

Hybrid OS 에서의 IDSM 관리용 IP 설정을위한 Vlan 구성방법set vlan 2 5/2

IDSM 관리용 IP를 Vlan 2로할당

II. IPS/IDS 기본구조와구성II.II 기본구성C. IDSM 으로의접속

7600/6500 에서 IDSM으로원격접속요령

1. Native IOS 에서의 IDSM 접근 방법6500#session slot <IDSM slot 번호> processor 1

(예) session slot 5 pr 1

2. Hybrid IOS 에서의 IDSM 접근 방법6500#session <IDSM slot 번호>

(예) session 5

3. Native/Hybrid 공통접근방법6500#telnet 127.0.0.<IDSM slot번호+1>

(예) telnet 127.0.0.51

Native IOS Tip Alias(별명) 정의를통한손쉬운 6500 접근

6500#conf t6500(config)#alias exec idsm session slot <IDSM slot 번호> processor 16500#idsm 6500 IDSM으로바로접속

II. IPS/IDS 기본구조와구성II.II 기본구성C. IDSM 으로의접속

<예> 정상적인접속시화면

6513#1#session slot 12 pr 1

The default escape character is Ctrl-^, then x.You can also type 'exit' at the remote prompt to end the sessionTrying 127.0.0.121 ... Openlogin: ciscoPassword:***NOTICE***This product contains cryptographic features and is subject to United Statesand local country laws governing import, export, transfer and use. Deliveryof Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors andusers are responsible for compliance with U.S. and local country laws. By usingthis product you agree to comply with applicable laws and regulations. If youare unable to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto

If you require further assistance please contact us by sending email to [email protected].

sensor#

1

2

3

12번 모듈에 장착되어 있는 IDSM으로 접속

ID & Password 인증

정상 접속 완료시, Hostname Prompt 가 표시됨

II. IPS/IDS 기본구조와구성II.II 기본구성D. CLI(Command Line Interface)를통한기본 Setup

Sensor#setup

At any point you may enter a question mark '?' for help.User ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets '[]'.

Current Configuration:

networkParamsipAddress 192.168.3.33defaultGateway 192.168.3.1hostname sensoraccessList ipAddress 0.0.0.0 netmask 0.0.0.0 exittimeParamssummerTimeParamsactive-selection noneexitexitservice webServergeneralports 443exitexitCurrent time: Wed Jan 7 19:07:45 2004Setup Configuration last modified: Wed Jan 7 19:06:08 2004

IDSM 초기 Setup 명령어

IDSM 현재구성 Display


Continue with configuration dialog?[yes]:

Enter host name[sensor]: IDSM Sensor Host name 설정

Enter IP address[192.168.3.33]: 10.10.10.10 Sensor IP Address 설정

Enter netmask[255.255.255.0]: 255.255.255.0 Sensor Netmask설정

Enter default gateway[192.168.3.1]: 10.10.10.1 Sensor Gateway 설정

Enter telnet-server status[disabled]: Enable 또는 disable Telnet Service 를사용할것인지에대한유무

Enter web-server port[443]: SSL Port 번호설정

Modify current access list?[no]: IDSM 으로접속되는 IP에대한 ACL 설정Modify current access list?[no]: yesCurrent access list entries:

[1] 10.0.0.0 255.255.255.0Delete: 1Delete: Permit: 0.0.0.0 0.0.0.0 모든 IP에대해 IDSM 접속허용Permit:


Modify system clock settings?[no]: 현재시간에대한설정부분

The following configuration was entered. Setup 명령으로구성된 Config Display

networkParamsipAddress 10.10.10.10netmask 255.255.255.0defaultGateway 10.10.10.1hostname IDSMaccessList ipAddress 0.0.0.0 netmask 0.0.0.0 exittimeParamssummerTimeParamsactive-selection noneexitexitservice webServergeneralports 443exitExit

[0] Go to the command prompt without saving this config. 변경된구성에대한저장명령[1] Return back to the setup without saving this config.[2] Save this configuration and exit setup.

Enter your selection[2]: 저장후에 Setup 모드에서빠져나옴

II. IPS/IDS 기본구조와구성II.II 기본구성E. IDSM으로 Packet Capture를위한기본구성 - SPAN

720G Switching

Fabric

Sensing Interface


2G bps

1

2

8

Line Card

Line Card

Line Card

7

Vlan

111

Vlan

222

Vlan

999

Native IOS 에서의 SPAN을통한 Packet Capturemonitor session 1 source vlan 111 , 222 , 999 rx

## Vlan 111,222,999 로들어오는 Packet 을 Capture 하는명령

monitor session 1 destination intrusion-detection-module 5 data-port 1## Capture 된 Packet을 Module 5번 IDSM의 Sensing Interface 1로보낸다.## Data-port 1은실제 IDSM의내부 Interface 7번에해당하며, Data-port 2는 Interface 8번에해당한다.

Hybrid OS 에서의 SPAN을통한 Packet Capture

set span 111, 222, 999 5/7 rx## IDSM 내부 Interface 7번을통해 Traffic을 Capture 하므로, Destination Interface를내부 Interface 번호를

지정한다.

II. IPS/IDS 기본구조와구성II.II 기본구성F. IDSM으로 Packet Capture를위한기본구성 – Vlan ACL Capture 기능

VACL Capture 기능을통한 IDSM Packet Capture 기술SPAN(Port Mirroring) 최대지원수 – 4개유해차단시스템, 메일필터링시스템, IDS 등 SPAN 부족예상

720G Switching

Fabric

Sensing Interface


2G bps

1

2

8

Line Card

Line Card

Line Card

7

Vlan

111

Vlan

222

4.4. VACLVACL에서에서 Capture Capture 된된 Packet Packet 을을 받아들임받아들임 –– Data Data portport

5.5. 경우에경우에 따라따라 특정특정 VlanVlan만만 선택적으로선택적으로 Capture Capture 가능가능

Vlan

999

1.1. AccessAccess--list list 작성작성 –– All IP PermitAll IP Permit

2.2. Vlan ACL Map Vlan ACL Map 작성작성 –– Capture Capture 기능기능 활성화활성화

3.3. 적용할적용할 VLAN VLAN 정의정의


1. Access-list 작성

access-list 199 permit ip any any## 모든 Packet을 Capture하기위해서, Rule을허용한다.

2. Vlan ACL Map 작성

vlan access-map idsm 199match ip address 199action forward capture## VACL Map을작성## 1번항목에서작성한 ACL 199번을 Matching 시킨다.## VACL에서 Capture 기능을 Enable 시킨다.

3. VACL 적용대상 VLAN 정의

vlan filter idsm vlan-list 111,222,999## idsm이라고정의한 VACL Map을적용시킬 Vlan을정의한다.

4. IDSM Capture 기능정의

intrusion-detection module 5 data-port 1 captureintrusion-detection module 5 data-port 1 capture allowed-vlan 111,222,999## IDSM module 5의 Data-port 1번에 VACL Capture 기능을활성화시켜 VACL Capture packet을받는다.## 특정 Vlan 의 VACL Capture packet만을선택적으로수용가능하다.

Native IOS 에서의 VACL을통한 Capture


1. Security ACL 작성및 Commit

set security acl ip IDSM permit ip any any capturecommit security acl IDSM## Security ACL 설정및 Commit

2. 해당 VLAN 적용

set security acl map IDSM 111,222,999## Security ACL을적용하고자하는 Vlan에적용

3. Capture Port 설정set security acl capture-ports 5/7## IDSM module 5의 Data-port 1번에 VACL Capture 기능을활성화시켜 VACL Capture packet을받는다.

설정해제방법

clear security acl IDSM

commit security acl IDSM

Hybrid OS 에서의 VACL을통한 Capture

II. IPS/IDS 기본구조와구성II.II 기본구성G. IDSM으로 Packet Capture를위한기본구성 –원격지 Packet Capture(RSPAN)

Source Destination

Trunk Trunk

VTP Domain - Yellow

RSPAN Vlan 901

Access Switch Core Switch

RSPAN을통한원격지 Traffic Capture 기술원격지스위치에서발생하는 Traffic을 IDS로보내어감시할수있는기술

Hybrid OS 에서의 RSPAN

Access Switchset rspan source 4/1-2 901 rx

Core Switchset rspan destination 1/2 901

Native IOS 에서의 RSPAN

Access Switch Amonitor session 8 source remote vlan 901

Core Switch monitor session 8 destination interface fastethernet 1/2

II. IPS/IDS 기본구조와구성II.II 기본구성H. IDSM으로 Packet Capture를위한기본구성 – MLS IP IDS 기능

IOS Firewall Feature 에서지원되는특화된기술MLS IP IDS를통해 Packet Capture

1. Access-list 작성ip access-list extended IDS-Capture

permit ip any any

## 모든 Packet을 Capture하기위해서, Rule을정의한다.

2. Capture 대상 Interface 설정및 MLS ip ids 명령어적용

int vlan 111

mls ip ids IDS-Capture

int vlan 222

mls ip ids IDS-Capture

## 해당 Interface Vlan에 MLS ip ids 명령설정

3. IDSM Capture 기능정의

intrusion-detection module 5 data-port 1 captureintrusion-detection module 5 data-port 1 capture allowed-vlan 111,222

## 특정 Vlan 의 Capture packet만을선택적으로수용가능하다

Native IOS 에서의 MLS IP IDS 구성

II. IPS/IDS 기본구조와구성II.II 기본구성H. IDSM으로 Packet Capture를위한기본구성 – MLS IP IDS 기능

IOS Firewall Feature 에서지원되는특화된기술MLS IP IDS를통해 Packet Capture

1. Access-list 작성 –주의 !! MSFC에서구성

ip access-list extended IDS-Capturepermit ip any any## 모든 Packet을 Capture하기위해서, Rule을정의한다.

2. 해당 VLAN 적용 –주의 !! MSFC에서구성

int vlan 111mls ip ids IDS-Capture

int vlan 222mls ip ids IDS-Capture

## 해당 Interface Vlan에 MLS ip ids 명령설정

3. Capture Port 설정set security acl capture-ports 5/7## IDSM module 5의 Data-port 1번에특정 Vlan의 Capture packet을받는다.

Hybrid OS 에서의 MLS IP IDS 구성






V. Trouble Shooting

III. IDM을통한 IDS 구성방법III.I 기본접속방법

10.0.0.100

SSL (Secure Socket Layer)를통한안전한암호화접속IDSM Management Port IP Address로접속

1

SSL 기반의암호화접속

Setup Mode에서 설정한 인증 입력ID : cisco (Default)Password : ************

동일한 ID 로 중복 접속할 경우,나중에 접속한 사람이 우선 권한을가지게 되어 있음.

10.0.0.100

2

III. IDM을통한 IDS 구성방법III.II IDM 기본 Menu

Network 설정IDM 접속허용 IP 설정Telnet Service 설정SSH 구성인증구성시간대설정IDM User 설정

Interface 설정Alarm Channel 설정Signature 설정IP Fragment 재조합TCP Stream 재조합IP Log 관련설정Blocking 관련설정Autoupdate설정Default Setting

IP Logging 동작여부Event Display 설정현재상태점검

시스템진단signature UpgradeIP Logging 설정수동 Blocking 설정Blocking 강제해제System Reset

Device Menu Configuration Monitoring Administration

III. IDM을통한 IDS 구성방법III.III IDM Device 구성A. Sensor setup – Network 설정

1

2

3

4

5

6

1. Host Name – IDSM의호스트이름설정

2. IP address – IDSM IP address 설정

3. Netmask – mask 설정

4. Default Route – Gateway 설정

5. Enable TLS/SSL – SSL Enable

6. Web Server Port –기본설정된 TCP 443 port 변경가능

## 이미 IDSM 초기 Setup 에서설정되었으므로, 특별히수정할내용은없음.

III. IDM을통한 IDS 구성방법III.III IDM Device 구성B. Sensor setup – IDM으로접속가능한호스트정의

1. 현재 IDSM의 IDM으로접속가능한 IP 대역 List

2. List 추가, 수정, 삭제가능

2

1

3

3. 2번항목의 Add 버튼을통해 추가로접속가능한 IP 할당

III. IDM을통한 IDS 구성방법III.III IDM Device 구성C. Sensor setup – IDS 시간설정

1

2

3

1. 현재설정된 Time Zone 표시

2. 실제 IDSM은 UTC 기준으로설정되어있음

UTC Offset 값조정을통해서한국시각과맞춤

대략 UTC Offset 값을 540 ~545 정도를설정하면,

한국시각과동일함.

3. NTP 설정

NTP 설정을통해서도한국시각으로동기화가능하다.

반드시 Server IP, Key, Key ID 모두설정해야한다.

III. IDM을통한 IDS 구성방법III.III IDM Device 구성D. Sensor setup – IDM 접속유저설정

1

1. IDSM을관리하는 IDM에접속할수있는 User 관리

• 현재설정되어있는 User 및권한표시

2. User 들에대한추가, 수정, 삭제를통한관리

2

III. IDM을통한 IDS 구성방법III.III IDM Device 구성D. Sensor setup – IDM 접속유저설정

3

4

3. 새로운 User 추가

• User Name, Password 설정

4. User 권한부여

• Viewer

- Event와 Config모니터링가능, 구성/수정불가능

• Operator

- Event, Config모니터링가능, signature 일부수정가능

• Administrator

-모든권한행사가능

• Service

- IDM에서권한행사불가능, CLI 에서모든권한행사가능

III. IDM을통한 IDS 구성방법III.IV IDM ConfigurationA. Sensing Engine – IDS Interface 구성

1

23

4

1. IDSM 내부 Interface 1번

• Reset : Interface 1번의용도는 TCP Reset 기능으로사용(기본설정)

2. IDSM 내부 Interface 2번

• Command, Contorl : Interface 2번용도는관리기능 (기본설정)

3. IDSM 내부 Interface 7번, 8번

• Sensing Enable : Interface 7, 8 번용도는 Sensing Interface

• Select Option을 Check하고반드시 4번 Enable 버튼을누른다.

• Sensing Interface가동작하지않으면, IDSM이동작하지않는다.

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성A. Sensing Engine – IDS Interface Group 설정

1. Virtual Sensor 구성

• 현재 IDSM Version 4.1.4 에서는 1개의 Virtual Sensor만지원가능

• Select Box 부분을 Check 하고 Enable 시킨다.

Interface, Interface Group 까지설정이끝이나면, 자동적으로 IDSM은정상동작한다.

추가적으로 Signature 구성및 Event에대한 Action을설정할경우에는다음장내용을설정한다.

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성A. Sensing Engine – Signature 구성

1 2

3

1. Signature Enable 상태

• Top Level 내부의 Category들이모두 Enable되어있는상태

• Top Level 내부의 Category들중일부만 Enable되어있는상태

• Top Level 내부의 Category들이모두 Disable되어있는상태

• 기본적으로모든 Signature가 Enable 되어있지않으며, 중요한Signature 들이주로 Enable 되어있음

• 모든 Signature를 Enable 시킬경우성능에영향을미칠수도있다.


2. Signature Category

① All Signature

Signature 활성화 여부 표시

Signature ID 번호ID번호를 Click 하면상세 정보 검색 가능

SubSig ID동일 취약점 유형이여러 가지 형태로나타날 경우.실제 Event는 Sig ID한 개만 표시 된다.Edit 옵션을 통해SubSig로 여러 개묶을 수도 있다. Signature

Name 표시Signature 수정상황표기Built-In, tuned 등으로 오탐 관련 수정상황 표기

Signature Level 표시High, Medium, LowInformation

Signature 상세 내용 표시

Event 발생시동작 여부 표시Reset, ShunHostShunConnectionZero, Log

Category 분류 없이 모든Signature 표시


② Engine

Layer 2 ARP 관련 Alarm / ID 7000ICMP(type,code,Sequence,ID )Alarm / ID 2000IP Option관련 Alarm / ID1000Layer 3 IP 관련 Alarm /ID 1100,2100

TCP flag,port,sigle Packe Regex 기반 Alarm / ID 9000,9200,3000,3300 UDP port, direction, Data Length 기반 Alarm /ID 4000,9000특정호스트에서 ICMP Flooding 관련 Alarm / ID 2100특정 호스트에서 UDP Flooding 관련 Alarm /ID 4002

특정 네트워크에서 다중 프로토콜 Flooding 관련 Alarm / ID 6900기타 정의되어 있지 않은 여러가지 AlarmDNS Service 분석 Engine /ID 6000FTP Service 분석 Engine /ID 3100

Only TACAS Overflow 분석 / ID 3530String Search 기반의 HTTP Decoding Engine / ID 5300,5100,3200,3700,5000,5100,5200 Client , Server 간의 인증관련 Engine / ID 6200MS-SQL Inspection Engine / ID 3700

Network Time Protocol 관련 탐지 Engine / ID 4056RPC Service 분석 Engine / ID 6100,6200SMB(Service Message Block) Decoding Inspection Engine /ID 3300SMTP 관련 Inspection Engine / ID 3100


SNMP Traffic Inspection Engine / ID 4500SSH Header Decoding Engine / ID 3600Syslog Process 관련Telnet 기반의 Cisco 장비 접근 관련 Engine /ID 3600

LPR Protocol 관련 Inspection Engine / ID 6210ICMP 기반의 String Search Engine / ID 2100TCP 기반의 String Search Engine / ID 3100,3500,5300,11000,6200,3700,3400 UDP 기반의 String Search Engine / ID 4000,4600,3300,11000

공격자가 ICMP를 도구로 공격목표를 Sweep 하는 행위 / ID 2100공격자가 TCP를 도구로 공격목표를 Sweep 하는 행위 / ID 3000TCP/UDP를 조합하여 Sweep 하는 행위 /ID 6000NMAP 등을 이용한 Sweep,Scan 행위 탐지 / ID 3045,3046

두개의 Host 사이에서 Port를 Sweep 하는 행위 탐지 / ID 3000두개의 Host 사이에서 Port를 Sweep 하는 행위 탐지 /ID 4001,4003불규칙한 ICMP Traffic Pattern 탐지 / ID 6300,6500Back orifice BO2K Trojan 탐지 / ID 3990~

TFN2K trojan/DDoS Traffic 탐지 /ID 6507BO/BO2K UDP Trojan Traffic 탐지 /ID 4053,4055


③ Attack

Adware,Spyware등무작위광고창이강제로뜨는거나, 시작페이지가변경되는등의행위에대한탐지 Engine / ID 12000

특정 Code 실행으로인한 Attack에대한탐지 Engine / ID 3100

실제 Data가위치할장소에특정문구를삽입하여 Buffer Overflow를발생시키도록하는행위탐지 Engine / ID 5300

네트워크에연결되어있는모든호스트에게무작위로과다한패킷을쏟아붓는행위탐지 Engine /ID 6500,4300

특정공격자가공격목표에 Attack을가해, 하드웨어또는소프트웨어를오동작시키게하는행위 Engine /ID 1100 ~ 5000

특정한파일이메일, 웹등에접근되면서오동작을일으키게되는행위에대한탐지Engine /ID 3100,3200


③ Attack

일반적인 Attack 유형탐지 Engine

IDS를우회하는공격유형탐지 Engine / ID 1300

알려지지않은공격유형의가능성이있는행위라고판단되는탐지 Engine

정책위반개념의탐지, 주로메신저,P2P에대한접근제어관련탐지 EngineID 11000

Attack 이전의행위로주로네트워크 Sweep이나취약점을 Check하는행위탐지Engine

Virus, Worm, Trojans 등에대한탐지 Engine


④ L2/L3/L4 Protocol

ARP를이용한 Attack을탐지하는 Engine

일반적인 Layer 2~4 까지의 Protocol을이용한 Attack을탐지하는Engine

특정한 Protocol을가지고 Associate 하지않는유형을탐지하는Engine

IP를이용한 Attack 유형을탐지하는 Engine

TCP,UDP 를조합하여취약점을조사하는행위를탐지하는 Engine


⑤ OS

일반적인운영체제취약점으로인한공격탐지 Engine

Cisco IOS 기반취약점으로인한공격탐지 Engine

Mac OS기반취약점으로인한공격탐지 Engine

Novel Netware 기반취약점으로인한공격탐지 Engine

Unix 기반취약점으로인한공격탐지 Engine

Window 계열기반취약점으로인한공격탐지 Engine


⑥ Releases

가장최근에발표된공격유형, 취약점으로인한공격가능성에대한각종Signature에대한 Releases Version 별모음

최신유행하는웜이나바이러스, 취약점에대한내용을담고있으므로,실제 Signature 에대한 Action에대해정의할때매우유용하다.


⑦ Service Network Service 유형별취약점과공격에대한분류


3. Signature 에대한 IDSM 동작구성 –예제 Nachi Worm 방어

Signature Group Attack 선택

Attack Sub 항목중 Viruses/Worm/Trojans 항목선택

1

1

2

2


3

4

5

Nachi Worm 선택3

Edit 버튼선택4

Event Action 설정1. Log

IP Logging을남김2. Reset

Event를발생시키는 Host에 IDS가직접 TCP Session 종료3. Shunhost

Event를발생시키는 Host를 IDSM과 연동되는장비를통해 Block4. Shunconnection

Event를발생시키는 Host의 Connection을 IDSM과연동되는장비를통해 Drop 시킴


6Save ChangesSignature 관련 Configuration을변경할경우반드시 Save Changes버튼을선택하여적용

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성A. Sensing Engine – Signature 마법사구성

Signature Wizard 기능기존 Signature DB에정의되어있지않거나, 임의로새로운 Signature를생성하여사용할경우 Signature Wizard 기능을제공

Wizard 기능을통해 Step by Step 으로간단하게새로운 Signature 추가가능하며, Signature ID는 20000 이후번호를부여가능하다.

Signature Wizard를통한새로운 Signature 생성예제10.0.0.0/8 Network 에서발생하는모든 TCP Syn Packet에대해새로운탐지정책을수립

Wizard 기능을통해 Step by Step 으로간단하게 Signature를추가, Signature ID는 20000 이후번호부여


Signature Type 설정

① Signature Type 선택

Packet Signature 설정

TCP Packet Signature 에관련된특성이므로선택

1

2

3

Next 버튼선택


② Signature ID 구성

1

2

3

4

Signature ID 설정

Signature ID 번호설정: 20000 이후번호설정

Next 버튼선택

Signature Name 정의


TCP Flag에대한설정

TCP 3-handshaking 동작과정중 SynFlag 에대한부분을탐지할목적

TCP SYN flag – TrueTCP ACK flag - False

Source IP address range 설정

1

2

3

1

2

2

3


Signature 등급설정- Information / Low / Medium / High

Signature Wizard 완료화면

Event 발생시 IDSM 동작방법에대한설정- Log / Reset / ShunHost/ Shun Connection

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성A. Sensing Engine – IP Fragment Reassembly & TCP Stream Reassembly

독립된 Processor 를통한 IP Fragment 분석기법

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성A. Sensing Engine – IP Fragment Reassembly & TCP Stream Reassembly

IP Fragment Reassembly

불안정한네트워크상황에서는 TCP 패킷(segment)이정상적으로전송된다는보장이없다.타임아웃으로인하여재전송이발생할수있고, 순서가바뀌어도착하거나겹치는경우도있다. 이런경우, 침입을탐지못하거나, 잘못된침입탐지를할수있다.또한이는악의적인목적으로해커가이용할수있는수단이다

각 OS 별 Segment Reassembly 가정상적으로수행되었는지,패킷재조합을수행하는기능

지원 OS – NT, Solaris, Linux, BSD기본최대값 Fragment – 10000기본 Timeout - 120

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking과 TCP Reset 장단점비교

Sen

sor

Inte

rnet

Rou

ter

PIX

Cor

e

Swit

ch

Use

rA

cces

s

Swit

ch

RACL / Router

Shunning - FWSM / PIX

VACL – 6500 Hybrid OS

RACL/PACL – 6500 Native OS, Cat 4500/4000/3750/3550/2950

시스코 IDS TCP Reset + Block Interface 설정

침입유형탐지가발생하게되면자동으로정의되어있는 Network 장비에접속방어기능수행장점 –방어영역이광범위해진다. 웜억제력이뛰어나다.

기존 IDS 방어방법 - Reset

침입유형탐지가발생하게되면해당 TCP Session을 Reset 시키는방식UDP 공격이나, ICMP 공격등에는 TCP 처럼 Flag가존재하지않으므로,Reset 시킬방법이없다.또한웜이과다하게발생시 Reset을과다하게수행해야하므로, Processor 에대한효과적인관리가불가능하다.

기존 IDS 방어방법 TCP Reset

시스코 IDS TCP Reset + Block Interface 설정

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking속성설정

1

2

3

4

Blocking 활성화

Sensor IP 에대한 Block 설정여부주의 !!! –절대로 Check Box에설정하지말것설정하게되면오동작으로인해 IDSM이 Blocking 될수있음

1. Blocking 기본설정메뉴

최대 Block 시킬수있는 Entry 숫자정의Default – 100 개권고안 – 250개이상설정을권고하지않음

Blocking 시간설정Default – 30 분동안 Blocking30 분후에설정이해제되며, 다시이벤트발생시에는30 분동안반복적으로 Blocking 시킨다.

1

2

3

4

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking에서제외될 IP 영역설정

현재 Neverblock으로설정된 IP 표시Menu Button을통해추가, 삭제, 수정가능

2. Never Block 설정

절대 Blocking 해서는안될 Address 설정

Ex> 관리자 IP, Server Farm IP 영역등…

Block 해서는안될 Address 정의

1

2

2

1

1

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking Device 구성

3. Blocking Device 설정

Block Device 이름과패스워드정의

현재 Block Device로설정된 Logical Device 표시Menu Button을통해추가, 삭제, 수정가능

1

Blocking Device를추가시킬경우 Name 정의및 Password설정

1

2

2

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking Device 구성

4. Blocking Device 속성설정

현재설정된 Blocking Device 속성표시및설정

Blocking Device 에서정의한장비의IP address 설정

Blocking Device 에서정의한장비의Name 선택

Blocking Device Type 설정Cisco Router-시스코라우터전기종Catalyst Native OS 기반 6500Cat 4500/4000/3750/3550/2950VACL – Cat 6500,7600 Hybird OSPIX – FWSM, PIX

통신방법설정 – Telnet, SSH…

1

2

3

4

5

2

3

4

5

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성B. Blocking – Blocking Device Interface 설정

5. Blocking Device Interface 설정

설정된 Blocking Interface 설정및표시

Blocking Device 에서정의한장비의IP address 선택

Blocking Device 에서실제 ACL을정의할Interface 설정해당 Blociking장비에서Show ip interface brief 에표시되는Interface Name을설정한다.

Blocking Device Interface의 ACL을Inbound에서 filtering 할것인지,Outbound에서 filtering 할것인지정의

Extended ACL 이름정의가능

1

2

3

4

1

2

3

4

4

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성C. Auto update – Auto update 동작원리

1 1

2

3

Cisco IDS Signature

Center

관리자

FTP Server

Internet

Cisco IDS 고객에게새로운 Signature 추가시자동으로관련내용과함께 E-mail 발송 (Download URL 포함)(Signature Update는비정기적으로이뤄진다.)

1

Signature Download 후 FTP Server 에저장 Autoupdate에서지정한 Server IP

2

Cisco IDS는정의된시간에자동으로 FTP or SCP Server에접속하여해당 Signature를다운로드받는다.새로운 Signature를다운받아도 Rebooting 없이바로적용된다.

3

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성C. Auto update – Auto update 정보를얻기위한등록방법

http://www.cisco.com/pcgi-bin/lm/show_form.pl?111171428673480224609375597&123668_4

주의 !!!

IDS 관련 Update 정보를받기위해서는반드시위그림의웹에서등록을거쳐야정보를받을수있다.

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성C. AutoUpdate –자동 Signature Update 설정

6

7

특정시간에자동으로접속하여다운로드받도록한다.시간및접속시도횟수설정가능

특정날짜,시간에접속하여다운로드받도록한다.날짜는요일로설정하여접속다운로드

6

7

1

2

3

4

5

Auto update 활성화여부설정

Auto update Server IP 설정

FTP Server directory 지정

FTP Server ID Password 지정

File Copy를위한 Protocol 지정 – FTP,SCP

1

2

3

4

5

III. IDM을통한 IDS 구성방법III.IV IDM Device 구성D. Restore Default –구성초기화

Restore Default

장비를초기화할경우 Apply to Sensor 버튼을눌러서초기화설정을한다.

주의!!!초기화할경우기존의구성이모두지워지므로,주의해서사용하도록한다.

III. IDM을통한 IDS 구성방법III.IV IDM Device 모니터링A. 상태모니터링 –현재Web Server 접속자점검 / Block 상태점검

2

1

Configuration – Blocking 설정후상태점검•ShunMaxEntries = 100 : 100 개 ACL 설정•NetDevice정보

Blocking Device 에관련된정보•NeverShun정보

Never Block Address 에관련된정보•Shun Enable 정보

State = Active 외에모든상태는구성오류로해당Blocking Device에 접근실패한상태를나타낸다.

2

현재 IDSM으로접속되어있는SSL 유저정보확인및사용량점검

1

III. IDM을통한 IDS 구성방법III.IV IDM Device 모니터링B. 상태모니터링 –현재 Command & Control Interface 점검

Command & Control Port 상태점검Ip address 설정상태, Rx,Tx사용량Network Interface 상태

Memory 사용량점검

Swap 사용량점검내장된 HDD의 Swap 사용량을의미한다.

1

2

3

1

2

3

III. IDM을통한 IDS 구성방법III.IV IDM Device 모니터링C. 상태모니터링 –현재 Event 상태점검/Sensing Interface 상태점검

실제발생한 Event에대한전체적인총계Event Category 별총량을점검해볼수있다. Packet Capture되고있는상태점검

실제 Sensing Interface로 Capture되고있는Packet 유형및 Size별분포도이부분결과값이 0 로나타나면 , 전혀 Capture되고있지않는것이다.

1

2

12

III. IDM을통한 IDS 구성방법III.IV IDM Device 모니터링D. 상태모니터링 –현재 Virtual Sensor 점검 (Interface, CPU상태점검)

CPU 1의동작상태점검

Configuration – Sensing Engine에서설정한 Interface Group 정상작동상태점검

Sensing Interface 상태뿐만아니라Sensing Group 상태도, 현재 IDS 동작상태를점검하는데매우중요함.실제각종 Packet total number가 ,Refresh 시켰을때지속적으로증가해야정상적으로동작하는것이다.

CPU 0의동작상태점검

Configuration – Sensing Engine에서설정된 Fragment 관련정상작동상태점검

Fragment Reassembly,TCP StreamReassembly 동작상태점검동일하게수치가지속적으로증가하는것이정상

1

2

1

2

III. IDM을통한 IDS 구성방법III.V IDM Device 관리A. 진단과정보 –현재상태진단

Diagnostics현재 IDS 구성,Version,interface상태dump등을확인할수있음

실행후 1~2분정도의시간이소요된다.View Result를선택하면새로운브라우저가실행되고, 그결과물을볼수있다.

1

2

1

2

3

실행결과물을통해서, configuration 정보, Version정보, Interface 상태, Dump등을한페이지에서볼수있다.

3

III. IDM을통한 IDS 구성방법III.V IDM Device 관리A. 진단과정보 –시스템정보확인

1

2

3

IDS Signature Version 정보확인1

Main Application, Analysis Engine, 접근관련정보, Webserver구동시간등 Processor 동작시간정보확인

2

IDS System에관련된일반적인정보열람

3

III. IDM을통한 IDS 구성방법III.V IDM Device 관리B. Update – Signature update

FTP를통한 Signature Engine Upgradeftp://username@location/relativeDirectory/filenameEx> ftp://[email protected]/IDS/IDS-sig-4.1-4-S92.rpm.pkg

SCP를통한 Signature Engine Upgradescp://username@]location/relativeDirectory/filenameEx> ftp://[email protected]/IDS/IDS-sig-4.1-4-S92.rpm.pkg

[참조] CLI를통한 Upgrade 방법sensor#config tsensor(config)#upgrade ftp://[email protected]//ids/IDS-sig-4.1-3-S64.rpm.pkg Password: Warning: Executing this command will apply a signature update to the application partition.Continue with upgrade? : yesBroadcast message from root (Wed Jan 7 19:05:37 2004):Applying update IDS-sig-4.1-3-S64. This may take several minutes.Please do not reboot the sensor during this update.Broadcast message from root (Wed Jan 7 19:06:06 2004):Update complete.

sensorApp is restartingThis may take several minutes.

III. IDM을통한 IDS 구성방법III.V IDM Device 관리C. Manual Blocking –현재 Blocking 된 Host 확인및추가.삭제기능

현재 Event가발생하여자동으로지정된 Blocking Device에서 ACL로 Blocking 된 HostMinutes Remaining : ACL 해제남은시간을표시이시간이지나면자동으로 ACL은해제되며, Event가발생하게되면반복적으로다시 ACL 이생성된다.

Add : 강제로 ACL을추가할수도있다.Delete선택적으로현재 Blocking 된 Host를강제로 ACL에서해제시킬수있다.

1

2

2

1

Extended ACL이구성되므로 Src IP,port,Dst IP,port를지정한다.

Protocol 정의

ACL로 Blocking 시키지않고, Connection을 Shun시킬경우

Blocking Time 지정

3

4

5

6

3

4

5

6

III. IDM을통한 IDS 구성방법III.V IDM Device 관리C. Manual Blocking –특정 Network 전체 Blocking 기능

현재 Network Manual Block으로 Blocking 된 Network영역표시.

1Block시킬네트워크영역지정

Blocking Time 지정3

12

3

2

III. IDM을통한 IDS 구성방법III.V IDM Device 관리D. Manual Blocking –특정 Network 전체 Blocking 기능

IDS system 을 Reset 시키거나, Power Down 에대한명령수행






V. Trouble Shooting

IV. IDM을통한 IDS 구성방법IV.I IEV 운영환경A. IEV(IDS Event Viewer) 4.1 운영조건

IDS Event Viewer 설치 Platform OS 요구사항

Windows NT 4 Service pack 6Windows 2000 Service pack 2Windows XP Service pack 1

IDS Event Viewer 연동 Application

Java 2 Runtime 1.3.1 이상 (자동설치)MySQL Server Version 3.23 (자동설치)

IDS Event Viewer 설치 H.W 최소조건요구사항

Pentium III 800 Mhz이상256MB Ram 500MB Hard Disk 용량

IV. IDM을통한 IDS 구성방법IV.II IEV 기초설정A. Device Discover

IDS Sensor IP Address 정의

Sensor Host Name –기존설정과동일해야함

User Name 설정 –기존 IDS User Name 과동일해야함

Password 설정 –기존 IDS Password와동일해야함

Web Server Port –기존 SSL 구성이면변경없음

http or https 설정및 Event Start 시간설정

여러 Security Level 중 Event 화면에서제외하고보려면이부분에 Check 한다.실제 Information이과다하게나올수도있으므로,Information은 Check하여제외해도된다.

1

23456

7

1

2

3

4

5

6

7

IV. IDM을통한 IDS 구성방법IV.II IEV 기초설정B. Device Discover

정상적으로 IDSM과접속후화면

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개A. IEV Menu

도움말

실시간 Event 보기

실시간 Graph를통한 Event확인

Event 내용 Refresh

Event Viewer 속성값설정

IEV와연동할 Application 설정 – Etherreal과연동가능

Data Source 관련정보

Event 정보 Import/Export 속성설정

New Device 추가

Event Filter 기능

New View

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개B. IEV Menu – New View 메뉴

Data Source 관련정보

Event 관련 Group 속성지정- Signature 이름별, 공격자주소별,공격목표주소별, Sensor 이름별,Security Level 별

새로운 View 에표현될 Column 설정

-Step 2 단계에서더욱많은속성의 Column을지정하여추가가능하다.

-최초 display 될 View의 Sorting 속성지정

1

2

1

2

33

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개C. IEV Menu – Import/Export 기능

Import Log File 기능

과거에저장되었던 Event 정보를불러들이도록하는기능

Export 기능

IEV에표현되는 Event에대한정보를디스크로저장시킬수있는기능,CSV, TAB 등의형식으로저장이가능하다.

1 2

21

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개D. IEV Menu – Data Source Information 기능

Data Source Information 기능

현재저장되고있는상태에대한정보조회과거저장된 DB Table에대한정보조회

Data Source 제어기능

DB Table Purge 기능DB Table 삭제기능

1

2

1

2

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개E. IEV Menu – Application Setting 기능

Html Browser 설정 – IDM을불러들일때쓰이는Application 설정 (기본 – exploer.exe )

Ethereal 실행경로설정IP Log에저장된 Dump Data를분석할경우사용됨

NSDB(Network Signature DataBase) 실행경로- IEV Version upgrade 마다자동으로추가되므로변경하지않는것이좋다.

1

2

3

1

2

3

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개F. IEV Menu – Preference기능

IEV Console 화면에 Display 되는결과값자동 Refresh Time 설정

-분단위, 시간단위또는특정시간에 Auto Refresh를동작시킬수있다.

IEV Console 화면에 Display 되는결과값자동 Refresh Time 비활성화

IEV는기본적으로 Auto Refresh가설정되어있지않다.이럴경우에는상단 IEV Menu 에서 를눌러강제로 Refresh를실행시키도록한다.

1

2

1

2

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개G. IEV Menu – Preference기능

1

2

Event를 Archive File 로저장하기위한속성값설정-Event는매일 23:45 에 Archive File로변환되어저장된다. 이것은분, 시간단위또는특정시간에특정시간에활성화시킬수도있다.

Archive file Size 속성지정Table 크기수지정 : 1000 ~ 1,000,000 Archived File 최대값 : 10 ~ 400압축 Archived File 최대값 : 10 ~ 400

1

2

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개H. IEV Menu –실시간 Event Graph

시간간격

Realtime Graph 시작시간/기준점

Bar Graph / Area Graph 변환

시간당평균 Alarm 수

Alarm 시간기준점

Security Level Color

1

2

3

4

5

6

1

2

3

4

5

6

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개I. IEV Menu –실시간 Dashboard

실시간 Event Dashboard

가장상단의값이최근 Event 값이되며 , 실시간으로결과값이 Display 된다.항목 – Signature Name, Sig ID, Security Level, Device 이름, UTC or 현지시각, 공격자, 공격목표, 공격자포트, 공격목표포트, Event ID, Trigger Stirng (이벤트가발생하는 Sensing Interface)모든항목은해당항목을더블클릭하게되면 Sorting이가능하다.

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개J. View Menu –공격목표별 Event 모음

공격목적지Column- Sorting 가능

Signature이름별Count - Sorting 가능

공격자숫자- Sorting 가능

탐지되고있는IDS 숫자- Sorting 가능

Security Level- Sorting 가능

Total Event 숫자- Sorting 가능

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개K. View Menu – Sensor별 Event 모음

Sensor 이름Signature이름별Count - Sorting 가능


피해자숫자- Sorting 가능



IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개L. View Menu – Security Level별 Event 모음





Sensor 감지숫자 (1대~)


IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개M. View Menu – Security Level별 Event 모음 상세분석기능

해당 Level을선택하고 , 마우스왼쪽버튼클릭-상세정보 or 상태 Setting- DB 삭제가능

상세정보내역

Signature 이름 공격자주소 피해자주소 감지 Sensor 이름 Event 발생숫자

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개N. View Menu – Signature Group 별 Event 모음

Signature이름별Count

- Sorting 가능



Sensor 감지숫자 (1대~)



IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개O. View Menu – Signature Group 별 Event 모음 상세분석기능


상세정보내역

Signature 이름 공격자주소 피해자주소 감지 Sensor 이름 Event 발생숫자

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개P. View Menu –공격자주소별 Event 모음

공격자주소- Sorting 가능



Sensor 감지숫자 (1대)

Security Level- sorting 기능


IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개Q. View Menu –공격자주소별 Event 모음 상세분석기능

상세정보내역


Signature 이름 피해자주소 감지 Sensor 이름 Security Level Event 발생숫자

IV. IDM을통한 IDS 구성방법IV.III IEV 기능소개R. Filter Menu – Event filter 기능

Filter 기능

• Security Level 별 Filtering 기능–제외시킬 level (주로 Information 이해당)

•공격자별 Filtering 기능-특정공격자만을제외시키거나찾아내는데사용

•피해자별 Filtering 기능-특정피해자만을제외시키거나찾아내는데사용

•특정 Signature Filtering 기능–특정 Signature는제외시키고보는데사용

•특정 Sensor filtering 기능–특정 Sensor 만제외하고 Event를보는데사용

•특정시간대 Filtering 기능–특정시간대만제외하고 Event를보는데사용

•특정 status filtering 기능–이미삭제되거나인지한 Event를제외시키고 보는데사용한다.






V. Trouble Shooting

V. IDSM Trouble Shooting - FAQ

FAQ 1. Packet 이제대로 Capture 가되지않는것같은데요???

2. IDM 접속이불가능합니다.

3. IDSM 접속이불가능합니다.

FAQV. IDSM Trouble Shooting

V-I . Packet Capture Issue

1. Packet 이제대로 Capture 가되지않는것같은데요???

1. Packet Capture 설정재확인• Page 27 – II.II.E Native/Hybrid OS 에서의 SPAN 설정 재확인

2. 7600/6500 에서 Packet Capture 정상작동확인

6513#sh intrusion-detection module 12 data-port 1 stateIntrusion-detection module 12 data-port 1:Switchport: Enabled

Administrative Mode: trunkOperational Mode: downAdministrative Trunking Encapsulation: dot1qNegotiation of Trunking: OffAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default)Trunking VLANs Enabled: NONEPruning VLANs Enabled: 2-1001Vlans allowed on trunk:noneVlans allowed and active in management domain:noneVlans in spanning tree forwarding state and not pruned:

noneAdministrative Capture Mode: DisabledAdministrative Capture Allowed-vlans: 999

V. IDSM Trouble ShootingV-I . Packet Capture Issue

2. 7600/6500 에서 Packet Capture 정상작동확인6513#sh intrusion-detection module 12 data-port 1 trafficIntrusion-detection module 12 data-port 1: Specified interface is up line protocol is down (monitoring)

Hardware is C6k 1000Mb 802.3, address is 0002.fcbe.8a16 (bia 0002.fcbe.8a16)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,

reliability 255/255, txload 14/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Unknown duplex, Unknown Speed, media type is unknown media typeoutput flow-control is unsupported, input flow-control is unsupportedLast input never, output 07:52:34, output hang neverLast clearing of "show interface" counters neverInput queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 58265000 bits/sec, 9762 packets/sec

0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 input packets with dribble condition detected31069262078 packets output, 22701283479776 bytes, 0 underruns0 output errors, 0 collisions, 37 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier0 output buffer failures, 0 output buffers swapped out


3. IDM 에서의 Sensing Interface 재확인

반드시반드시 Enabled Enabled 에에YesYes로로 설정설정 되어되어 있어함있어함


3. IDM 에서의 Sensing Interface 재확인

IDM Monitoring Statistics

AnalysisEngine Statistics 부분

해당 Sensing Interface의결과값에서Packet Counter가수치가올라가는결과가나타나야한다.


4. IDSM의 Sensing Interface 정상작동유무점검

6513#sh diagnostic module 12Current Online Diagnostic Level = Minimal

Online Diagnostic Result for Module 12 : PASSOnline Diagnostic Level when Module 12 came up = Minimal

Test Results: (. = Pass, F = Fail, U = Unknown)

1 . TestPortASICLoopback :

Port 1 2 3 4----------------

. . . .

2 . TestPCLoopback :

Port 1 2 3 4----------------

. . . .

3 . TestNetflowInlineRewrite :

Port 1 2 3 4----------------

U U U U

Port 3,4 번이실제 Sensing Interface 이므로반드시 Pass로설정되어있어야한다.

Hybrid의경우에는 show port에서 7,8 번포트가정상적으로 Trunk를맺고있어야하며,장애시에는 Faulty 라는표시가나타난다.


V-II . IDM 접속불능에대한처리

2. IDM 접속이불가능합니다.

1. Comman & Control Port의정상적인네트워크설정여부재확인 (Page 20)

Native IOS 에서의 IDSM 관리용 IP 설정을위한 Vlan 구성방법intrusion-detection module 5 management-port access-vlan 2

IDSM 관리용 IP를해당 Vlan으로맞게할당했는지확인

Hybrid OS 에서의 IDSM 관리용 IP 설정을위한 Vlan 구성방법set vlan 2 5/2

IDSM 관리용 IP를해당 Vlan 으로맞게할당했는지확인


V-III . IDSM 접속불능에대한처리


1. MP(Maintenance Partition)으로접속한후 , 다시 AP(Application Partition)으로부팅시켜서접속을시도한다.

cf1

cf2

cf3

cf4

cf5

MP ModeAP Image UpgredNetwork config

MP Network 설정

Crash Dump 장소

Application PartitionIDS img,config

Application PartitionIDS img,config

Native IOS 에서의방법

hw-module module 12 reset cf:1 MP Mode Booting

hw-module module 12 reset AP Mode Booting

Hybrid OS 에서의방법

Reset 12 cf:1 MP Mode Booting

Reset 12 AP Mode Booting




2. MP(Maintenance Partition)으로접속한후 , Application Partition Image Reloading 작업

[email protected]#ip address 10.10.10.3 [email protected]#ip gateway 10.10.10..1 [email protected]#ip broadcast [email protected]#upgrade ftp://[email protected]//IDSM/WS-SVC-IDSM2-K9-a-4.1-1-S47.bin.gzDownloading the image. This may take several minutes...Password for [email protected]: ftp://[email protected]//IDSM/WS-SVC-IDSM2-K9-a-4.1-1-S47.bin.gz (65259K)/tmp/upgrade.gz [########################] 65259K | 2624.68K/s66825226 bytes transferred in 24.86 sec (2624.67k/sec)Upgrade file ftp://[email protected]//IDSM/WS-SVC-IDSM2-K9-a-4.1-1-S47.bin.gz is downloaded.Upgrading will wipe out the contents on the hard disk.Do you want to proceed installing it [y|N]: yProceeding with upgrade. Please do not interrupt.If the upgrade is interrupted or fails, boot into Maintenance image again and restart upgrade.Creating IDS application image file...Initializing the hard disk...Applying the image, this process may take several minutes...Performing post install, please wait...Application image upgrade complete. You can boot the image now.




3. MP (Maintenance Partition)에서 Application Partition Image Reloading 한후, 정상부팅시킨다.정상부팅후정상접속이되는지확인하고, 다시 Setup 과정을거친다.

Setup 이끝나면 Signature 최신 Service Pack을 Install 한다.이때 Service Pack을 Install 하면, 반드시 Rebooting 과정을거쳐야한다.최종적으로가장최근의 Signature File을 Install 하면모든복구과정이종료된다.

sensor(config)# upgrade ftp://[email protected]//ids/IDS-K9-sp-4.1-4-S91.rpm.pkgPassword: Warning: Executing this command will apply a signature update to the application partition.Continue with upgrade? : yesBroadcast message from root (Wed Jan 7 19:05:37 2004):Applying update IDS-sig-4.1-3-S64. This may take several minutes.Please do not reboot the sensor during this update.Broadcast message from root (Wed Jan 7 19:06:06 2004):Update complete.

sensorApp is restartingThis may take several minutes.

Date post:	17-May-2020
Category:	Documents
Upload:	others
View:	4 times
Download:	0 times

Cisco IDS Easy Configuration Guidecfs3.tistory.com/upload_control/download.blog?fhandle... ·...

Documents