Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024
Als Netzwerkadministrator können Sie einige Dinge mit Ihren Zugriffssteuerungslisten (Access Control Lists, ACLs) tun, mit deren Hilfe Sie Viren erkennen können. Wenn Sie einen Virus kennen, der eine bestimmte Art von Datenverkehr aufweist, z. B. am TCP-Port 1090, können Sie eine ACL erstellen, die die Protokolloption verwendet. Dadurch können Informationen über diese Pakete im Systemprotokoll aufgezeichnet werden, das an einen zentralisierten Syslog-Server gesendet werden kann.
Sie nehmen eine kleine Änderung an Ihren Application Control Engine (ACEs) vor, um die Protokollierung zu aktivieren. Durch Hinzufügen eines Protokolls zum Ende des ACE wird jeder Datenverkehr, der mit dem ACE übereinstimmt, protokolliert.
ASAFirewall1 (config) # Zugriffsliste 103 verweigert tcp irgendwelche eq 1090? configure mode commands / options: inaktiv Schlüsselwort zum Deaktivieren eines ACL-Elementprotokolls Schlüsselwort zum Aktivieren der Protokollierungsoption für dieses ACL-Element Zeitbereich Schlüsselwort zum Anfügen einer Zeitbereichsoption an dieses ACL-Element Router1 (config) # Zugriffsliste 103 verweigern tcp beliebig äq 1090? dscp Match-Pakete mit gegebenen dscp-Wertfragmenten Nicht-initiale Fragment-Logs prüfen Log-Übereinstimmungen mit diesem Eintrag log-input Log stimmt mit diesem Eintrag überein, einschließlich der Eingabeschnittstellenpräzedenz Match-Pakete mit einem bestimmten Vorrangwert time-range Geben Sie einen Zeitbereich tos an. TOS-Wert
Für Cisco IOS-Geräte ist ein kleines Protokoll konfiguriert. Wenn Sie bedenken, dass Ihr Router möglicherweise nur 64 MB Speicher hat, bleibt dadurch nicht sehr viel Platz, um die Protokollinformationen sehr lange zu verwalten. Die Alternative zur Verwendung des Routerspeichers für die Protokollierung besteht darin, dass Ihre Protokollinformationen an einen Server im Netzwerk gesendet werden.
Syslog ist ein Industriestandardformat zum Annehmen und Speichern dieser Protokollnachrichten. Viele Syslog-Server sind für verschiedene Betriebssysteme verfügbar, einschließlich Kiwi Syslog Server für Windows. Kiwi Syslog Server ist als kostenlose Version verfügbar und eignet sich oft für viele Leute. Um zu ermöglichen, dass Ihr Gerät Nachrichten an einen Syslog-Server sendet, verwenden Sie diesen Befehl auf Ihrem IOS-Gerät (192. 168. 1. 5 ist die IP-Adresse meines Syslog-Servers):
Router1> aktivieren Passwort: Router1 # Terminal konfigurieren Geben Sie Konfigurationsbefehle ein, einen pro Zeile. Beenden Sie mit CNTL / Z. Router1 (config) #logging 192. 168. 1. 5
Anstatt die Daten zu protokollieren, können Sie sie auf dem Gerät in Echtzeit anzeigen. Verwenden Sie dazu den debug-Befehl, z. B. Details zum debug ip packet 103, auf dem Gerät, auf dem Sie erwarten, diese Art von Daten zu sehen. Folgendes ist ein Debug, das einen verweigerten Zugriffsversuch für ein Gerät mit der IP-Adresse von 10 0. 2. 25 zeigt:
Router1> enable Router1 # Terminalmonitor Router1 # Debug-IP-Paket 103 Detail IP-Paketdebugging ist eingeschaltet (detailliert) für die Zugriffsliste 103 Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: Liste 103 verweigert TCP 10.0. 2. 25 (3541) -> 192. 168. 8. 10 (1090), 1 Paket Router1 # no debug all Das gesamte Debuggen wurde ausgeschaltet
