Vidéo: Week 10 2024
En tant qu'administrateur réseau, vous pouvez faire quelques choses avec vos listes de contrôle d'accès (ACL) qui peuvent vous aider à détecter les virus. Si vous connaissez un virus qui a un certain type de trafic, peut-être sur le port TCP 1090, vous pouvez créer une liste de contrôle d'accès qui utilise l'option du journal. Cela permet d'enregistrer des informations sur ces paquets dans le journal système, ce qui peut aller vers un serveur Syslog centralisé.
Vous allez modifier légèrement votre moteur de contrôle des applications (ACE) pour activer la journalisation. Simplement en ajoutant un journal à la fin de l'ACE, tout trafic correspondant à l'ACE sera enregistré.
ASAFirewall1 (config) # access-list 103 refuse tcp any eq 1090? configure mode commandes / options: inactive Mot-clé pour désactiver un journal d'éléments ACL Mot-clé pour l'activation de l'option journal sur cet élément ACL mot-clé pour attacher l'option time-range à cet élément ACL Router1 (config) # access-list 103 refuser tcp any any eq 1090? dscp Correspondance des paquets avec des fragments de valeur dscp donnés Vérification du journal des fragments non initiaux Journal des résultats par rapport à cette entrée log-input Le journal correspond à cette entrée, y compris la préséance de l'interface d'entrée. étant donné la valeur TOS
Les périphériques Cisco IOS ont un petit journal configuré sur eux. Lorsque vous considérez que votre routeur ne dispose que de 64 Mo de mémoire, cela ne laisse pas beaucoup d'espace pour conserver les informations du journal très longtemps. L'alternative à l'utilisation de la mémoire du routeur pour la journalisation consiste à envoyer vos informations de journal à un serveur sur le réseau.
Syslog est un format standard pour l'acceptation et le stockage de ces messages. De nombreux serveurs Syslog sont disponibles pour différents systèmes d'exploitation, y compris Kiwi Syslog Server pour Windows. Kiwi Syslog Server est disponible en version gratuite et convient souvent à de nombreuses personnes. Pour permettre à votre appareil d'envoyer des messages à un serveur Syslog, utilisez cette commande sur votre périphérique IOS (192. 168. 1. 5 est l'adresse IP de mon serveur Syslog):
Router1> enable Mot de passe: Router1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Router1 (config) #logging 192. 168. 1. 5
Plutôt que de consigner les données, vous pouvez les afficher en temps réel sur l'appareil à l'aide de la commande debug, comme debug ip packet 103 detail, sur le périphérique où vous s'attendre à voir ce type de données. Ce qui suit est le débogage montrant une tentative d'accès refusé pour un périphérique avec le 10. 0. 2. 25 Adresse IP:
Router1> activer Router1 # moniteur terminal Router1 # déboguer le paquet IP 103 détail Débogage de paquets IP est sur (détaillé) pour la liste d'accès 103 Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: liste 103 refusée tcp 10.0. 2. 25 (3541) -> 192. 168. 8. 10 (1090), 1 paquet Router1 # no debug all Tous les débogages possibles ont été désactivés
