Hệ thống phát hiện xâm nhập mạng

Ởví dụtrong phần Monitor VLANs with SPAN, lưu lượng đi vào và đi ra khỏi các

cổng được xác định được giám sát. Các trường hướng : truyền/nhận hiển thịlưu

lượng. Các dòng Catalyst 4500/4000, 5500/5000, và 6500/6000 cho phép bạn để

thu thập chỉcác lưu lượng đi ra hoặc chỉlưu lượng đi vào trên một cổng. Thêm vào

các từkhoá RX(nhận) hoặc tx(truyền) cuối dòng lệnh lệnh. Giá trịmặc định là

both(tx và RX).

pdf112 trang | Chia sẻ: netpro | Ngày: 11/04/2013 | Lượt xem: 2836 | Lượt tải: 109download
Bạn đang xem nội dung tài liệu Hệ thống phát hiện xâm nhập mạng, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
08:09:06 %SYS-5- SPAN_CFGSTATECHG:local SPAN session active for destination port 6/2 Thực hiện SPAN trên một đường Trunk Các đường Trunks là một trường hợp đặc biệt trong một Switch, vì các trunk mang thông tin một số VLANs. If a trunk is selected as a source port, the traffic for all the VLANs on this trunk is monitored. Nếu một đường trunk được chọn là một cổng nguồn, lưu lượng truy cập tất cả các VLANs trên đường trunk này được giám sát. Giám sát một tập nhỏ của các VLANs trên một đường trunk Trong Lược đồ này, cổng 6/5 hiện tại là một đường trunk mang tất cả các VLANs. Tưởng tượng rằng bạn muốn sử dụng SPAN trên lưu lượng truy cập trong VLAN cho 2 cổng 6/4 và 6/5. Đơn giản là dùng lệnh : switch (enable) set SPAN 6/4-5 6/2 Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 36 Hình 2.10 : Giám sát lưu lượng qua đường trunk Trong trường hợp này, lưu lượng đó được nhận trên cổng SPAN là pha trộn của lưu lượng truy cập mà bạn muốn và tất cả các VLANs mà đường trunk 6/5 mang. Ví dụ, không có cách nào để phân biệt trên cổng đích một gói đến từ cổng 6/4 trong VLAN 2 hoặc cổng 6/5 trong VLAN 1. Khả năng khác là sử dụng SPAN trên toàn bộ VLAN 2: switch (enable) set SPAN 2 6/2 Hình 2.11 : Thiết lập VLAN bị giám sát Với cấu hình này, ít nhất, bạn chỉ giám sát lưu lượng truy cập thuộc về VLAN 2 từ đường trunk đó. Vấn đề là hiện tại bạn cũng nhận được lưu lượng truy cập mà bạn không muốn từ cổng 6/3. CatOS bao gồm một từ khóa khác mà cho phép bạn lựa chọn một số VLANs để giám sát từ đường trunk switch (enable) set SPAN 6/4-5 6/2 filter 2 2000 Sep 06 02:31:51 %SYS-5-SPAN_CFGSTATECHG:local SPAN session inactive Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 37 for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : 2 Status : active Lệnh này đạt được mục tiêu vì bạn chọn VLAN 2 trên tất cả các đường trunks được theo dõi và giám sát. Bạn có thể chỉ định một số VLANs với tùy chọn lọc. Note: This filter option is only supported on Catalyst 4500/4000 and Catalyst 6500/6000 Switches. Catalyst 5500/5000 does not support the filter option that is available with the set SPAN command. Lưu ý: tùy chọn lọc này chỉ hỗ trợ trên dòng Catalyst 4500/4000 và Catalyst 6500/6000. Catalyst 5500/5000 không hỗ trợ tùy chọn lọc sẵn có với câu lệnh set SPAN. Trunking trên cổng đích Nếu bạn có cổng nguồn thuộc một số VLANs khác nhau, hoặc nếu bạn sử dụng SPAN trên một vài VLANs trên một đường trunk, bạn có thể muốn xác định VLAN của một gói bạn nhận được trên cổng SPAN đích . Điều này có thể được xác định là nếu bạn cho phép trunking trên cổng đích trước khi bạn cấu hình cổng cho Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 38 SPAN. Bằng cách này, tất cả các gói được chuyển tiếp đến các Sniffer cũng được gắn thẻ của họ tương ứng với VLAN ID. Note: Your sniffer needs to recognize the corresponding encapsulation. Lưu ý: Máy phân tích của bạn cần mặc định những dữ liệu tương ứng. switch (enable) set span disable 6/2 This command will disable your span session. Do you want to continue (y/n) [n]?y Disabled Port 6/2 to monitor transmit/receive traffic of Port 6/4-5 2000 Sep 06 02:52:22 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 switch (enable) set trunk 6/2 nonegotiate isl Port(s) 6/2 trunk mode set to nonegotiate. Port(s) 6/2 trunk type set to isl. switch (enable) 2000 Sep 06 02:52:33 %DTP-5-TRUNKPORTON:Port 6/2 has become isl trunk switch (enable) set span 6/4-5 6/2 Destination : Port 6/2 Admin Source : Port 6/4-5 Oper Source : Port 6/4-5 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 39 2000 Sep 06 02:53:23 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 Tạo ra các phiên làm việc đồng thời Trước đây, chỉ có một phiên Span đã được tạo ra. Mỗi lầng bạn nhập một lệnh mới set span, cấu hình trước đó sẽ bị loại bỏ. Các CatOS bây giờ có khả năng chạy nhiều phiên đồng thời, vì vậy có thể có vài cổng đích khác nhau cùng một lúc. Nhập lệnh set span source destination create để tạo thêm một phiên SPAN. Trong phiên này, cổng 6/1 đến 6/2 được giám sát, và cùng một thời điểm, VLAN 3 đến cổng 6/3 được giám sát: Hình 2.12 : Giám sát đồng thời switch (enable) set span 6/1 6/2 2000 Sep 05 08:49:04 %SYS-5-SPAN_CFGSTATECHG:local span session inactive for destination port 6/2 Destination : Port 6/2 Admin Source : Port 6/1 Oper Source : Port 6/1 Direction : transmit/receive Incoming Packets: disabled Xử lý Thông tin và Truyền Thông Nguyễn Đức Cường Hệ thống phát hiện xâm nhập mạng 40 Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:49:05 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/2 switch (enable) set span 3 6/3 create Destination : Port 6/3 Admin Source : VLAN 3 Oper Source : Port 6/4-5,15/1 Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active switch (enable) 2000 Sep 05 08:55:38 %SYS-5-SPAN_CFGSTATECHG:local span session active for destination port 6/3 Câu lệnh show span để xác định xem bạn có hai phiên vào cùng một thời điểm: switch (enable) show span Desti