Usando listas de controle de acesso (acls) como uma ferramenta de detecção de vírus

Como um administrador de rede, você pode fazer algumas coisas com suas Access Control Lists (ACLs) que podem ajudar a detectar vírus. Se você conhece um vírus que tem um certo tipo de tráfego, talvez na porta TCP 1090, você pode criar uma ACL que faz uso do registro

opção. Isso permite que informações sobre esses pacotes a serem registrados no log do sistema, que poderia ir para um servidor Syslog centralizado.

Video: Aprenda a ressuscitar seu pen drive corrompido ou defeituoso

Você vai fazer uma pequena alteração no seu Application Control Engine (ACE) para habilitar o registro. Simplesmente adicionando registro até o fim do ACE, qualquer tráfego que corresponde a ACE será registrado.

ASAFirewall1 (config) # access-list 103 negar tcp qualquer qualquer eq 1090 configurar o modo de comandos / opções:? InactiveKeyword para a desativação de uma ACL elementlog palavra-chave para a opção log permitindo a este ACL elementtime-range palavra-chave para a opção time-gama anexar a este elemento ACLRouter1 (config) # access-list 103 tcp negar qualquer qualquer eq 1090? DscpMatch pacotes com dados valuefragments DSCP Verifique não-inicial fragmentslog Log partidas contra esta entrylog-entrada Log partidas contra esta entrada, incluindo entrada interfaceprecedence pacotes Jogo com determinadas valuetime- precedência gama especificar um tempo-rangetos pacotes partida com determinado valor de TOS

Cisco IOS dispositivos têm um pequeno registo configurado em cima delas. Quando você considera que o seu roteador pode ter tão pouco como 64MB de memória, esta não deixa muito espaço para manter as informações de log por muito tempo. A alternativa de usar o roteador&memória rsquo-s para o registo é ter suas informações de log enviados para um servidor na rede.

Video: 10 Lista de Controle de acesso new

syslog é um formato padrão da indústria para aceitar e armazenar essas mensagens de log. Muitos servidores syslog estão disponíveis para diferentes sistemas operacionais, incluindo Kiwi Syslog Servidor para Windows. Kiwi Syslog Server está disponível como uma versão livre e muitas vezes é adequado o suficiente para muitas pessoas. Para ativar o dispositivo para enviar mensagens para um servidor Syslog, usar este comando no seu dispositivo IOS (192.168.1.5 é o endereço IP do meu servidor Syslog):

Router1gt;habilitarPassword: # configure comandos de configuração terminalEnter ROUTER1, um por linha. Terminar com CNTL / Z.Router1 (config) #logging 192.168.1.5

Em vez de registrar os dados, você pode vê-lo em tempo real no dispositivo usando o depurar de comando, tal como pacote ip debug 103 detalhe, no dispositivo onde você espera para ver que tipo de dados. A seguir depurar mostrando uma tentativa de acesso negado para um dispositivo com o 10.0.2.25 Endereço de IP:

Router1gt;habilitarRouter1 # terminal de monitorRouter1 # depuração de pacotes ip 103 detailIP pacote de depuração está ligado (detalhada) para lista de acesso 103Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: lista de 103 negado tcp 10.0.2.25 (3541) -gt; 192.168.8.10 (1090), 1 packetRouter1 # no debug tTodas possível depuração foi desligado