Vídeo: Microsoft Azure OpenDev—June 2017 2024
Como administrador de rede, você pode fazer algumas coisas com suas listas de controle de acesso (ACLs) que podem ajudá-lo a detectar vírus. Se você conhece um vírus que tem um determinado tipo de tráfego, talvez na porta TCP 1090, você pode criar uma ACL que faça uso da opção log. Isso permite que informações sobre esses pacotes sejam registradas no log do sistema, o que poderia ir para um servidor Syslog centralizado.
Você fará uma pequena alteração no seu Application Control Engine (ACEs) para habilitar o registro. Simplesmente adicionando log ao final da ACE, qualquer tráfego que corresponda ao ACE será registrado.
ASAFirewall1 (config) # access-list 103 negar tcp qualquer eq 1090? Configurar comandos / opções de modo: inativo Palavra-chave para desativar um registro de elementos ACL Palavra-chave para ativar a opção de log no item de ACL intervalo de tempo Palavra-chave para anexar a opção de intervalo de tempo para este elemento ACL Roteador1 (config) # lista de acesso 103 negar tcp qualquer eq 1090? dscp Pacotes de correspondência com fragmentos de valor de dscp dados Verifique o registro de fragmentos não iniciais Contas de registro contra esta entrada log-input Correspondências de registro contra essa entrada, incluindo precedência de interface de entrada Pacotes de correspondência com valor de precedência atribuído intervalo de tempo Especificar um intervalo de tempo tos Pacotes de correspondência com dado o valor TOS
Os dispositivos Cisco IOS possuem um pequeno log configurado neles. Quando você considera que seu roteador pode ter tão pouco quanto 64MB de memória, isso não deixa muito espaço para manter a informação do registro durante muito tempo. A alternativa ao uso da memória do roteador para registro é fazer com que suas informações de registro sejam enviadas para um servidor na rede.
Syslog é um formato padrão da indústria para aceitar e armazenar essas mensagens de log. Muitos servidores Syslog estão disponíveis para diferentes sistemas operacionais, incluindo o Kiwi Syslog Server para Windows. O Servidor Kiwi Syslog está disponível como uma versão gratuita e muitas vezes é adequado o suficiente para muitas pessoas. Para permitir que o seu dispositivo envie mensagens para um servidor Syslog, use este comando no seu dispositivo IOS (192. 168. 1. 5 é o endereço IP do meu servidor Syslog):
Router1> habilite Senha: Router1 # configure terminal Digite os comandos de configuração, um por linha. Fim com CNTL / Z. Router1 (config) #logging 192. 168. 1. 5
Ao invés de registrar os dados, você pode visualizá-lo em tempo real no dispositivo usando o comando debug, como debug ip packet 103 detail, no dispositivo onde você espera ver esse tipo de dados. O seguinte é depuração mostrando uma tentativa de acesso negado para um dispositivo com o 10. 0. 2. 25 Endereço IP:
Router1> habilitar Router1 # monitor de terminal Roteador1 # depurar pacote de ip 103 detalhamento de depuração de pacotes IP está ligado (detalhado) para a lista de acesso 103 Roteador1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: lista 103 negado tcp 10.0. 2. 25 (3541) -> 192. 168. 8. 10 (1090), 1 pacote Roteador1 # sem depurar tudo A depuração possível foi desativada
