Usando Access Control Lists (ACLs) como uma ferramenta Virus-Detecção
Como um administrador de rede, você pode fazer algumas coisas com o seu Access Control Lists (ACLs) que podem ajudar a detectar vírus. Se você sabe que um vírus que tem um certo tipo de tráfego, talvez na porta TCP 1090, você pode criar uma ACL que faz uso do registro opção. Isso permite que informações sobre esses pacotes a serem registrados no log do sistema, que poderia ir para um servidor syslog centralizado.
Você vai fazer uma pequena alteração no seu Application Control Engine (ACE) para habilitar o registro. Simplesmente adicionando registro para o fim da ACE, qualquer tráfego que corresponde a ACE será registado.
ASAFirewall1 (config) # access-list 103 negar tcp qualquer qualquer eq 1090 configurar o modo de comandos / opções:? InactiveKeyword para a desativação de uma ACL elementlog palavra-chave para a opção log permitindo nesta ACL elementtime-range palavra-chave para a opção time-gama anexar a este elemento ACLRouter1 (config) # access-list 103 tcp negar qualquer qualquer eq 1090? DscpMatch pacotes com dados valuefragments DSCP Verifique não-inicial fragmentslog Log partidas contra esta entrylog-entrada Log partidas contra esta entrada, incluindo entrada interfaceprecedence pacotes fósforo com um dado valuetime- precedência range especificar um tempo de rangetos pacotes combinar com determinado valor TOS
dispositivos Cisco IOS tem um pequeno log configurado sobre eles. Quando você considera que o roteador pode ter tão pouco como 64MB de memória, esta não deixa muito espaço para manter as informações de login por muito tempo. A alternativa ao uso de memória do roteador para o registo é ter suas informações de registro enviados para um servidor na rede.
syslog é um formato padrão da indústria para aceitar e armazenar essas mensagens de registo. Muitos servidores syslog estão disponíveis para diferentes sistemas operacionais, incluindo Kiwi Syslog Servidor para Windows. Kiwi Syslog Server está disponível como uma versão gratuita e muitas vezes é bastante adequado para muitas pessoas. Para ativar o dispositivo para enviar mensagens para um servidor Syslog, usar este comando no seu dispositivo IOS (192.168.1.5 é o endereço IP do meu servidor Syslog):
Router1>habilitarPassword: # configure comandos de configuração terminalEnter Router1, um por linha. Terminar com CNTL / Z.Router1 (config) #logging 192.168.1.5
Em vez de registrar os dados, você pode vê-lo em tempo real no dispositivo usando o depurar de comando, tal como pacote ip debug 103 detalhe, no dispositivo onde você espera para ver que tipo de dados. O que se segue é depurar mostrando uma tentativa de acesso negado para um dispositivo com o 10.0.2.25 Endereço de IP:
Router1>habilitarRouter1 # terminal de monitorRouter1 # depuração de pacotes ip 103 detailIP pacote de depuração estiver ligado (detalhada) de lista de acesso 103Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: lista de 103 negado tcp 10.0.2.25 (3541) -> 192.168.8.10 (1090), 1 packetRouter1 # sem depuração de depuração tTodas possível foi desligado