La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

IOS Sécurité - IP Source Tracker

Présentations similaires


Présentation au sujet: "IOS Sécurité - IP Source Tracker"— Transcription de la présentation:

1 IOS Sécurité - IP Source Tracker
ccnp_cch

2 Sommaire  Introduction - Contenu
 Restrictions pour IP Source Tracker  Information sur IP Source Tracker - Identification et traçage d'attaques de déni de service - Utilisation d'IP Source Tracker - Avantages de IP Source Tracker  Comment configurer IP Source Tracker - Configurer le traçage IP Source - Vérifier le traçage IP Source  Exemples de configuration pour IP Source Tracker - Configuration du traçage IP Source - Afficher des statistiques interface source pour toutes les adresse IP tracées Afficher un résumé des statistiques de flux pour toutes les adresses IP tracées Afficher les statistiques de flux détaillées collectées par des cartes de ligne - Afficher les statistiques de flux exportés des cartes de ligne et des adaptateurs de ports  Références additionnelles - Documents liés - Standards - MIBs - RFCs ccnp_cch

3 Restrictions pour IP Source Tracker
Introduction La fonctionnalité IP Source Tracker vous permet de rassembler des informations de trafic destiné à un host qui suspecté d'être attaqué. Cette fonctionnalité vous permet également de tracer aisément une attaque vers son point d'entrée dans le réseau. Historique Release Modification 12.0(21)S Cette fonctionnalité a été introduite sur Cisco série 12.0(22)S Cette fonctionnalité a été implémentée sur Cisco série 7500. 12.0(26)S Cette fonctionnalité a été implémentée sur les cartes de ligne IP Service Engine (ISE) sur Cisco série 12.3(7)T Cette fonctionnalité a été intégrée à Cisco IOS Release 12.3(7)T. 12.2(25)S Cette fonctionnalité a été intégrée à Cisco IOS Release 12.2(25)S. Contenu  Restrictions pour IP Source Tracker  Information sur IP Source Tracker  Comment configurer IP Source Tracker  Exemples de configuration pour IP Source Tracker  Références additionnelles Restrictions pour IP Source Tracker Les paquets peuvent être éliminés par les routeurs Le traçage IP source est conçu pour tracer les attaques contre les hosts. Les paquets peuvent être éliminés si la carte de ligne ou la CPU de l'adaptateur de port sont sur- chargés. Par conséquent quand IP Source Tracker est utilisé pour tracer une attaque contre un routeur, le traçage IP source peut éliminer des paquets de contrôle tels les mises à jour de BGP ( Border Gateway Protocol). Les performances de Engine 0 et Engine 1 sont affectées sur Cisco 12000 Il n'y a pas d'impact sur les performances pour les paquets destinés à des adresses IP non tracées sur les cartes de ligne Engine et Engine 4 car IP Source Tracker affecte uniquement les destinations tracées. Les performances des cartes Engine 0 et Engine 1 sont affectées car tous les paquets sont commutés vers la CPU. Note: Sur les routeurs Cisco série 7500, il n'y a pas d'impact de performance sur les destinations qui ne sont pas tracées. ccnp_cch

4 Information sur IP Source Tracker
Pour configurer le traçage source, vous devez comprendre les concepts suivants:  Identifier et tracer les attaques de déni de service  Utilisation de IP Source Tracker  Avantages de IP Source Tracker Identifier et tracer les attaques de déni de service Un des nombreux challenges auxquels les utilisateurs font face aujourd'hui est le tra- çage et le blocage des attaques de déni de service (DoS). Agir contre une attaque DoS comprend la détection d'intrusion, le traçage source et le blocage. Cette fonctionnalité répond aux besoins du traçage de la source. Pour tracer les attaques, NetFlow et les listes de contrôle d'accès (ACLs) sont utilisées. Pour bloquer les attaques, CAR (Committed Access Rate) et les ACLs sont utilisés. Le support des ces fonctionnalités sur le routeur Internet Cisco dépendait du type de carte de ligne utilisé. Le support de ces fonctionnalités sur les routeurs Cisco série 7500 dépend du type d'adaptateur de port utilisé. Il y a par conséquent le besoin de développer un moyen pour recevoir les informations qui trace la source d'une attaque et en même temps est supporté par tous les types de cartes de ligne et tous les types d'adaptateurs de ports. Normalement quand vous identifiez le host qui est sujet à une attaque DoS, vous de- vez déterminer le point d'entrée réseau pour bloquer efficacement l'attaque. Ce proces- sus démarre sur le routeur le plus proche du host. Par exemple dans la figure ci-après, vous commenceriez au routeur A et vous tenteriez de déterminer le prochain routeur amont à examiner. Habituellement vous applique- riez une ACL en sortie sur l'interface connectée au host pour logger les paquets qui correspondent avec l'ACL. L'information de log est envoyée sur la console du routeur ou vers le système de log. Vous devez ensuite analyser cette information et probable- ment utiliser plusieurs ACLs pour identifier l'interface d'entrée de l'attaque. Dans ce cas l'information pointe vers le routeur B. Vous répétez de nouveau ce processus sur le routeur B lequel vous mène au routeur C point d'entrée dans le réseau. A ce point vous pouvez utiliser des ACLs ou CAR pour bloquer l'attaque. Cette procédure peut demander l'application de plusieurs ACLs qui génèrent un volume important d'informations à analyser rendant cette procédure lon- gue et source d'erreur. ccnp_cch

5 Utilisation de IP Source Tracker
Attaque DoS Routeur C Traçage Routeur B Routeur A Utilisation de IP Source Tracker IP Source Tracker fournit une alternative plus aisée et plus évolutive aux ACLs en sortie pour tracer les attaques DoS et cela fonctionne comme suit:  Après avoir identifié la destination attaquée, validez le traçage d'adresse destina- tion sur le routeur en entrant la commande ip source-track  Chaque carte de ligne crée une entrée CEF (Cisco Express Forwarding) spéciale pour l'adresse destination attaquée. Pour les cartes de ligne ou les adaptateurs de port qui utilisent des ASICs (Application Specific Integrated Circuit) spécialisés pour la commutation de circuit, l'entrée FEC est utilisée pour livrer les paquets à la CPU de la carte de ligne ou à l'adaptateur de port  Chaque CPU de carte de ligne collecte les informations au sujet du flux de trafic pour la destination tracée  Les données générées sont périodiquement exportées vers le routeur. Pour afficher un résumé des informations de flux, entrez la commande show ip source-track summary. Pour afficher plus d'informations détaillées pour chaque interface d'en- trée, entrez la commande show ip source-track.  Les statistiques fournissent un aperçu du trafic pour chaque adresse IP tracée Cet aperçu vous permet de déterminer quel routeur amont analyser par la suite Vous pouvez arrêter IP Source Tracker en cours sur le routeur en entrant la com- mande no ip source-track et le rouvrir sur le routeur amont.  Rejetez les étapes 1 à 5 jusqu'à ce que vous identifiez la source de l'attaque  Appliquez CAR ou des ACLs pour limiter ou stopper l'attaque. ccnp_cch

6 ccnp_cch IP Source Tracker: Support matériel
Le traçage IP Source est supporté sur toute carte de ligne Engine 0, 1, 2 et 4 sur le routeur Internet Cisco série Il est également supporté sur tous les adaptateurs de port supportés et les RSP qui ont la commutation CEF validée sur les routeurs Cisco série Avantages de IP Source Tracker Une information complète de traçage est fournie Le traçage IP Source génère toutes les informations nécessaires dans un format facile à utiliser pour tracer le point d'entrée de l'attaque DoS. Traçage d'un nombre illimité d'adresses IP simultanément Le traçage IP source vous permet de tracer plusieurs adresses IP en même temps. Par défaut il n'y a pas de limite. Pour limiter le nombre d'adresses IP qui sont tracées si- multanément, utilisez la commande ip source-track address-limit. Couverture totale du réseau pour les routeurs Cisco série et Cisco série 7500 à partir de 12.0(26)S. Note: Pour l'IOS Cisco Release 12.0(21)S et 12.0(22)S, le traçage IP Source est sup- porté uniquement sur les cartes de ligne Engine 0, 1, 2 et 4 des routeurs Cisco série 12000; Engine 3 n'est pas supporté. Comment configurer IP Source Tracker Cette section contient les procédures suivantes:  Configur ation de IP Source Tracking  Vérification de IP source Tracking Configuration de IP Source Tracking Pour configurer IP Source Tracking pour un host attaqué, exécutez les étapes suivan- tes: Résumé des étapes 1. enable 2. configure terminal 3. ip source-track ip-address 4. ip source-track address-limit number 5. ip source-track syslog-interval number 6. ip source-track export-interval number ccnp_cch

7 ccnp_cch Etapes détaillées Que faire ensuite
Commande ou Action But enable Exemple: Routeur> enable Entre en mode EXEC privilégié. • Entrez votre mot de passe si celui-ci est demandé. configure terminal Routeur# configure terminal Entre en mode de configuration global. ip source-track ip-address Routeur(config)# ip source-track Valide le traçage IP source pour un host donné. ip source-track address-limit number Routeur(config)# ip source-track address-limit 10 (Optionnel) Limite le nombre de hosts qui peuvent être simultanément tracés à un instant donné. Note: Si cette commande n'est pas entrée, il n'y a pas de limite au nombre de hosts qui peuvent être tracés. ip source-track syslog-interval number Routeur(config)# ip source-track syslog-interval 2 (Optionnel) Fixe l'intervalle de temps, en minutes, utilisé pour générer des messages syslog qui indi- quent que le traçage IP source est validé. Note: Si cette commande n'est pas validée, les messages de log système ne sont pas générés. ip source-track export-interval number Routeur(config)# ip source-track export-interval30 (Optionnel) Fixe l'intervalle de temps, en secon- des, utilisé pour exporter les statistiques de traçage IP qui sont collectées dans les cartes de ligne vers le processeur GRP (Gigabit Route Pro- cessor) et les adaptateurs de port du RSP (Route Switch Processeur). Note: Si cette commande n'est pas entrée, l'infor- mation de flux de trafic est exportée vers le GRP et le RSP toutes les 30 secondes. Que faire ensuite Après avoir configuré le traçage source sur votre équipement de réseau, vous pouvez vérifier votre configuration et les statistiques de traçage source tel que le flux de trafic. Pour exécuter cette tâche, voir la section "Vérification de IP Source Tracking". ccnp_cch

8 Vérification de IP source Tracking
Pour vérifier l'état du traçage source, telles que les informations de traitement de pa- quets et de flux de trafic, exécutez les étapes suivantes. Résumé des étapes 1. enable 2. show ip source-track [ip-address] [summary | cache] 3. show ip source-track export flows Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entre en mode EXEC privilégié. • Entrez votre mot de passe si celui-ci est demandé. show ip source-track [ip-address] [summary | cache] Routeur# show ip source-track summary Affiche les statistiques de flux de trafic pour les adresses IP de host tracées. show ip source-track export flows Routeur# show ip source-track export flows Affiche les 10 derniers paquets du flux qui ont été exportés vers la carte de ligne ou le processeur de route. Note: Cette commande peut être entrée unique- ment sur les plateformes distribuées comme le GRP et le RSP. Exemples L'exemple suivant, qui est un extrait de la sortie de la commande show ip source- track summary, montre comment vérifier que le traçage IP source est validé pour plusieurs hosts. Router# show ip source-track summary Address Bytes Pkts Bytes/s Pkts/s G 1194M G 1194M G 1194M ccnp_cch

9 Exemples de configuration de IP Source Tracker
L'exemple suivant, qui est un extrait de la sortie de la commande show ip source- track summary, montre comment vérifier qu'aucun trafic n'a encore été reçu pour la destination en cours de traçage. Router# show ip source-track summary Address Bytes Pkts Bytes/s Pkts/s track, montre comment vérifier que le traçage de source IP traite les paquets vers les hosts et exporte les statistiques de la carte de ligne ou de l'adaptateur de port vers le GRP et le RSP. Router# show ip source-track Address SrcIF Bytes Pkts Bytes/s Pkts/s PO0/ G M PO0/ G M PO0/ G M Exemples de configuration de IP Source Tracker Cette section comprend les exemples suivants:  Configuration du traçage IP Source  Afficher des statistiques interface source pour toutes les adresses IP tracées  Afficher un résumé des statistiques de flux pour toutes les adresses IP tracées  Afficher les statistiques de flux détaillées collectées par des cartes de ligne  Afficher les statistiques de flux exportés des cartes de ligne et des adaptateurs de ports Configuration du traçage IP Source L'exemple suivant montre comment configurer IP Source Tracking sur toutes les car- tes de ligne et les adaptateurs de port dans le routeur. Dans cet exemple, chaque car- te de ligne ou adaptateur de port collecte les données de flux de trafic vers le host pendant 2 minutes avant de créer une entrée de log système; les informa- tions de paquet et de flux enregistrées dans le système de log sont exportées pour af- fichage vers le processeur de route ou le processeur de commutation toutes le 60 secondes. Router# configure interface Router(config)# ip source-track Router(config)# ip source-track syslog-interval 2 Router(config)# ip source-track export-interval 60 ccnp_cch

10 Afficher un résumé des statistiques de flux pour toutes les adresses
Afficher des statistiques interface source pour toutes les adresses IP tracées L'exemple suivant affiche un résumé des statistiques de flux de trafic qui sont collec- tées sur chaque interface source pour les adresses de host tracées. Router# show ip source-track Address SrcIF Bytes Pkts Bytes/s Pkts/s PO2/ PO1/ M M PO2/ G M Afficher un résumé des statistiques de flux pour toutes les adresses tées sur chaque interface source pour les adresses de host tracées. Router# show ip source-track summary Address Bytes Pkts Bytes/s Pkts/s M M G M Afficher les statistiques de flux détaillées collectées par des cartes de ligne L'exemple suivant affiche des informations de flux de trafic qui sont collectées par la carte de ligne 0 pout tous les hosts tracés. Router# exec slot 0 show ip source-track cache ========= Line Card (Slot 0) ======= IP packet size distribution (7169M total packets): IP Flow Switching Cache, bytes 1 active, 4095 inactive, added ager polls, 0 flow alloc failures Active flows timeout in 0 minutes Inactive flows timeout in 15 seconds last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts Port Msk AS Port Msk AS NextHop B/Pk Active PO0/ Null K 0000 / / ccnp_cch

11 Références additionnelles
Afficher les statistiques de flux exportés des cartes de ligne et des adaptateurs de ports L'exemple suivant affiche l'information de flux de paquets qui est exportée des cartes de ligne et des adaptateurs de port vers le GRP et le RSP. Router# show ip source-track export flows SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts PO0/ Null K PO0/ Null K PO0/ Null K Références additionnelles Les sections suivantes fournissent des références liées à IP Source Tracker. Documents liés Sujet Titre du document ACLs Section "Filtering IP Packets Using Access Lists" dans le chapitre "Configuring IP Services" de Cisco IOS IP Configuration Guide ACLs dynamiques Chapitre "Configuring Lock-and-Key Security (Dynamic Access Lists)" dans Cisco IOS Security Configuration Guide Prévention DoS Chapitre "Configuring TCP Intercept (Preventing Denial-of-Service Attacks)" deCisco IOS Security Configuration Guide Standards Standards Titre Aucun -- MIBs MIBs Lien MIB Aucune Pour localiser et télécharger les MIBs pour les plateformes sélectionnées, les releases IOC Cisco et les ensembles de fonctionnalités, utilisez Cisco MIB Locator à l'URL suivante: ccnp_cch

12 RFCs RFCs Titre Aucun -- ccnp_cch


Télécharger ppt "IOS Sécurité - IP Source Tracker"

Présentations similaires


Annonces Google