• No results found

IP-adres en -poort worden als :0 weergegeven in IPS-handtekeningen

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "IP-adres en -poort worden als :0 weergegeven in IPS-handtekeningen"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 5 pagina )

Hele tekst

(1)

IP-adres en -poort worden als 0.0.0.0:0 weergegeven in IPS-handtekeningen

Inleiding

Dit document legt uit wat de samenvatting van inbraakpreventiesysteem (IPS) is en wat de redenen zijn voor IP-adressen die worden weergegeven als 0.0.0.0 in IPS-

signatuurgebeurtenissen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Cisco IPS-signalering voor handtekeningen Configuratie van IPS-gebeurtenissen

Opmerking: Zie IPS Summarization Configuration Voorbeelden voor voorbeelden van configuratie van gebeurtenissen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Adaptieve security applicatie (ASA) 5500 of 5500x IPS-modules IPS 4200, 4300 of 4500 Series IPS-apparaten

Netwerkmodule - uitgebreid (NME) - IPS-module IPS 7.x software

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie Probleem

Oplossing

Wat is het verschil tussen de Summary Key en Global Summary Drempel?

Gerelateerde informatie

(2)

opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

De samenvatting van IPS-gebeurtenissen is een methode die wordt gebruikt om meerdere gebeurtenissen in één alarm samen te voegen. Dit leidt tot een vermindering van het aantal signaleringen dat door de sensor wordt verwerkt en verzonden.

Probleem

De gebeurtenissen die op IPS zijn gegenereerd tonen het IP adres van de aanvaller/het slachtoffer als 0.0.0.0:0.

Oplossing

Wanneer IPS handtekeningen genereert, verschaft het informatie zoals Handtekening-ID, Time- stempel, IP-adres van de aanvaller/slachtoffer, enzovoort. Onder bepaalde omstandigheden tonen de gegenereerde gebeurtenissen het IP-adres van de aanvaller/het slachtoffer dat wordt

weergegeven op 0.0.0.0.0. De reden achter de IP-adressen die worden weergegeven op 0.0.0.0:0 is een samenvatting. Om samenvatting te configureren voegt u een nieuwe aangepaste

handtekening toe of bewerkt een huidige handtekening en selecteert u Frequentie >

Samenvattingsmodus.

De beschikbare opties voor samenvatting zijn:

Vuur - vuurt een alarm af telkens wanneer een handtekening wordt geactiveerd.

Eerst brandt er een alarm voor een adresset.

Samenvattend - vuurt een waarschuwing de eerste keer dat een handtekening wordt

geactiveerd. Aanvullende signaleringen voor deze handtekening worden samengevat voor de duur van de kortdurende periode.

Mondiale samenvatting - vuurt een alarm voor elke korte periode.

Wat is het verschil tussen de Summary Key en Global Summary Drempel?

Summary Key is een sleutel die door IPS wordt gebruikt om te concluderen hoe een summiere gebeurtenis kan worden gecreëerd. Standaard is dit een aanvaller-adres dat betekent dat als je één aanvaller hebt die een handtekening veroorzaakt, één normale gebeurtenis en één

samenvatting wordt gegenereerd. Als u twee aanvallers hebt, worden twee regelmatige en twee summiere gebeurtenissen gegenereerd voor het geconfigureerde summiere interval. Als je de summiere sleutel op het adres van het slachtoffer zet en je twee aanvallers hebt die op één slachtoffer gericht zijn, dan zullen twee aanvallers slechts één gewone en één korte gebeurtenis registreren.

De overzichtsmodus heeft twee opties: Summary Interval en Summary Key. De Samenvatting Interval wordt weergegeven in seconden en het vuurt voor elk samenvattend interval. Summary Key is een criterium waarmee IPS beslist hoe de Summary-event te maken. Standaard is dit het adres van de aanvaller. De beschikbare Belangrijkste opties zijn:

(3)

Adres aanvaller (standaard)

Adres van de aanvaller en slachtofferhaven Aanvaller en slachtofferadressen

Adressen en havens van de aanvaller en de slachtoffers Slachtofferadres

Het vorige voorbeeld toont een handtekening samengevat met een Samenvatting Interval van 4 en een Samenvatting Sleutel als aanslagadres. In dit scenario vuurt de handtekening een normale gebeurtenis af de eerste keer waarna de handtekening wordt samengevat voor een periode van 4 seconden.

Global Summary Dreold - als global summary niet wordt gespecificeerd en als er twee bekeken IP-adressen van aanvallers zijn, registreert IPS twee normale gebeurtenissen. Na een periode van Summary Interval, worden twee extra samengevatte gebeurtenissen gegenereerd, één voor elk IP-adres van de aanvaller. In totaal zou u 4 voorvallen hebben die zijn geregistreerd binnen de opgegeven interval.

Als Global Summarization ingeschakeld is met een Global Summary Drempel van bijvoorbeeld, twee, en als u het vorige voorbeeld herhaalt, neemt IPS drie gebeurtenissen op: twee voor eerste hits voor elk aanvalleradres en één samengevat evenement voor alle aanvallers (twee in dit geval) binnen de opgegeven interval. Als je het aantal aanvallers en hits zou vergroten, zou je zien dat een Global Summarization een hoop gebeurtenissen/logboeken bespaart en dus een

processorcyclus.

Global Summarization heeft slechts één suboptie die "summary interval" is, dat in seconden wordt ingesteld. Wanneer de signatuur is ingesteld op global-sumizarion, vuurt hij voor elke korte

periode. Dat wil zeggen, als het beknopte interval wordt ingesteld op "5", dan vuurt het een waarschuwing af als de handtekening voor het eerst wordt geactiveerd en vervolgens vuurt het voor elke korte periode van 5 seconden.

Als u een handtekening wilt bewerken, selecteert u Configuration > Policy > Active signatuur en vervolgens zoekt u de relevante handtekening.

De SIG-ID voor het ICMP-verzoek is bijvoorbeeld 2004. Klik met de rechtermuisknop op de signatuur en selecteer Bewerken om in het hier weergegeven dialoogvenster te geraken:

(4)

In het vorige configuratie fragment is de summiere modus ingesteld op 'global summarize' met een korte interval van 5 seconden.

Op de signalering staan de handtekeningen "ICMP Echo request" en "ICMP Echo

Reantwoording", die zijn samengevat en dus de IP-adressen van de aanvaller/slachtoffer als

"0.0.0.0".

Verwar mondiale samenvattingsgebeurtenissen niet met 'signatuur 102.0 gebeurtenissen

(Onmogelijk IP Packet)'. Hackers zouden kunnen proberen een IPS te ontwijken met het gebruik van alle nullen voor de bron/bestemming IP-adressen en poort die deze signatuur zouden kunnen veroorzaken, wat op een samengevatte gebeurtenis zou kunnen lijken.

(5)

Gerelateerde informatie

Vaak gestelde vragen voor Cisco-inbraakpreventiesysteem

Cisco-configuratiegids voor inbraakpreventiesysteem Sensor CLI voor IPS 7.1 Configuratievoorbeelden van IPS-samenvattingen

Technische ondersteuning en documentatie – Cisco Systems

Referenties

Download het nu ( PDF - 5 pagina - 261.77 KB )

GERELATEERDE DOCUMENTEN

DRIE EN TWEE IN EEN ,,

In die tien jaar zullen experimenten en vooroplopers zeker nuttig zijn, maar aan het eind ervan zal de omzetting van de huidige onderbouw van alle scholen voor voortgezet

Vergelijkingsblog Bijvoorbeeld tussen twee producten, of twee strategieën

Voor de volledigheid: je kunt de blogs die je de afgelopen weken geschreven hebt natuurlijk ook in dit schema in- vullen.. Copyright Profbloggers 2019-2020 - niets uit deze

Van pilot naar subsidieregeling IPS

• Algemeen: kunnen we doorstroom bereiken van dagbesteding naar vrijwilligerswerk, beschut werk, banenafspraak en regulier werk.. • Specifiek: biedt IPS voor de doelgroep met

UWV Onderzoek IPS Informatie voor gemeenten

Gemeenten die IPS-trajecten voor hun doelgroep (Participatiewet) financieren, kunnen onder bepaalde voorwaarden aansluiten bij het onderzoek dat UWV voor zijn klanten gaat

Interactive Presentation System (IPS)

The fourth and last concept uses a gesture capture device, For example, the Leap Motion to allow the presenter to give a presentation by gestures only.. The device is hung around

Voorbeeld 8 Veiligheidsplan Twee varianten:

Op welke manier wordt er contact onderhouden met het gezin en de kinderen. Naam Telefoonnummer Frequentie

Als het apparaat is ingeschakeld, drukt u op de twee instelknoppen, de richting van het krullen (L / R)

Als u deze haarkrul voor u bedrijf wordt gebruikt, dan valt u niet onder garantie. Dan kunt u helaas niet genieten van een jaar lang gratis onderhoud

Stappenplan. Hoe richt ik IPS-remote in?

Om het Onderhoud op Afstand te kunnen gebruiken, moet u de KNX IP interface dan wel KNX voeding met IP interface met de veilige in- bedrijfname uitrusten.. Ook moet beveiligde