El uso de listas de control de acceso (acl) como una herramienta de detección de virus

Video: Packet Tracer | Lista de Control de Acceso (ACL) Extendida | Tutorial

Como administrador de red, puede hacer algunas cosas con sus listas de control de acceso (ACL) que pueden ayudar a detectar los virus. Si conoces a un virus que tiene un cierto tipo de tráfico, tal vez en el puerto TCP 1090, puede crear una ACL que hace uso de la Iniciar sesión opción. Esto permite que la información sobre estos paquetes a ser registrados en el registro del sistema, lo que podría ir a un servidor Syslog centralizado.

Video: Listas de Control de Acceso (ACL) Linux

Va a hacer un pequeño cambio en su Application Control Engine (ACE) para habilitar el registro. Simplemente añadiendo Iniciar sesión hasta el final de la ACE, se registra todo el tráfico que coincide con la ACE.

ASAFirewall1 (config) # access-list 103 negar tcp cualquier cualquier eq 1090 configurar los comandos de modo / opciones:? InactiveKeyword para desactivar una ACL elementlog palabra clave para habilitar la opción de registro en esta ACL elementtime gama de palabras clave para la opción por rangos de tiempo adjuntando a este elemento ACLRouter1 (config) # access-list 103 negar cualquier tcp cualquier eq 1090? DscpMatch paquetes con valuefragments DSCP dados cheque no coincide inicial fragmentslog Entrar en contra de esta entrylog entradas de registro coincide en contra de esta entrada, incluyendo la entrada interfaceprecedence coincidir paquetes con prioridad concedida valuetime- Rango Especifique un tiempo de rangetos coincidir paquetes con valor dado de TOS

dispositivos Cisco IOS tienen un pequeño registro configurado en ellos. Cuando se considera que el router puede tener tan poco como 64 MB de memoria, esto no deja mucho espacio para mantener la información de registro por mucho tiempo. La alternativa a usar el router&memoria rsquo-s para el registro es tener su información de registro enviado a un servidor en la red.

Video: ACL Listas de control de acceso Cisco Packet Tracer

syslog es un formato estándar de la industria para aceptar y almacenar estos mensajes de registro. Muchos servidores Syslog están disponibles para diferentes sistemas operativos, incluyendo Kiwi Syslog Servidor para ventanas. Kiwi Syslog Server está disponible como una versión libre y con frecuencia es lo suficientemente adecuada para muchas personas. Para activar el dispositivo para enviar mensajes a un servidor Syslog, utilice este comando en su dispositivo IOS (192.168.1.5 es la dirección IP del servidor Syslog):

Router1gt;habilitarContraseña: # configure comandos de configuración terminalEnter router1, uno por línea. Terminar con CNTL / Z.Router1 (config) #logging 192.168.1.5

En lugar de registrar los datos, se puede visualizar en tiempo real en el dispositivo mediante el depurar comando, como debug ip paquete 103 detalle, en el dispositivo donde se espera a ver que tipo de datos. Lo siguiente es depurar mostrando un intento de acceso denegado para un dispositivo con el 10.0.2.25 Dirección IP:

Video: Listas de Acceso ACL - Mini aula 03

Router1gt;habilitarRouter1 # terminal de monitorRouter1 # depuración paquete IP 103 de paquetes detailIP depuración está en (detallada) para la lista de acceso 103Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: lista 103 negado tcp 10.0.2.25 (3541) -gt; 192.168.8.10 (1090), 1 # packetRouter1 no debug Todas todas posible depuración ha sido desactivado