Mit Access Control Lists (ACLs) als Virus-Detection Tool
Als Netzwerk-Administrator können Sie ein paar Dinge mit Ihrem Access Control Lists (ACLs) zu tun, die Sie Viren erkennen kann helfen. Wenn Sie einen Virus wissen, dass eine bestimmte Art von Verkehr hat, vielleicht auf TCP-Port 1090, können Sie eine ACL erstellen, die Verwendung der Marken Log Option. Auf diese Weise können Informationen über diese Pakete in dem Systemprotokoll aufgezeichnet werden, die an einen zentralen Server Syslog gehen könnte.
Hier finden Sie eine kleine Änderung Ihrer Application Control Engine (ACEs) machen die Protokollierung zu aktivieren. Einfach durch das Hinzufügen Log kein Verkehr bis zum Ende des ACE, die die ACE entspricht, wird protokolliert.
ASAFirewall1 (config) # access-list 103 tcp verweigern jede beliebige eq 1090 konfigurieren Mode-Befehle / Optionen: inactiveKeyword für eine ACL-elementlog Stichwort deaktivieren auf dieser ACL-Log Option zur Aktivierung elementtime-Bereich Keyword zur Befestigung Zeitbereichsoption auf diese ACL-ElementRouter1 (config) # access-list 103 verweigern tcp any any eq 1090? DscpMatch Pakete mit bestimmten DSCP valuefragments Überprüfen nicht initialen fragmentslog Log Spiele gegen dieses entrylog-Eingang Log diesen Eintrag Spiele gegen einschließlich Eingangs interfaceprecedence auf Pakete mit Vorrang gegeben valuetime- eine zeit rangetos auf Pakete mit bestimmten TOS-Wert Bereich angeben
Cisco IOS-Geräte verfügen über einen kleinen Protokoll auf sie konfiguriert. Wenn man bedenkt, dass der Router so wenig wie 64 MB Speicher haben kann, ist dies nicht sehr viel Raum verlassen, um sich einzuloggen für sehr lange Informationen erhalten. Die Alternative zu dem Speicher des Routers verwenden für die Protokollierung ist Ihre Log-Informationen an einen Server im Netzwerk gesendet zu haben.
Syslog ist ein Industriestandardformat für die Annahme und diese Log-Nachrichten zu speichern. Viele Syslog-Server sind für verschiedene Betriebssysteme zur Verfügung, darunter Kiwi Syslog Server für Windows. Kiwi Syslog Server ist als kostenlose Version und ist oft geeignet genug für viele Menschen. So aktivieren Sie Ihr Gerät-Nachrichten an einen Syslog-Server zu senden, verwenden Sie diesen Befehl auf Ihrem iOS-Gerät (192.168.1.5 ist die IP-Adresse meines Syslog-Server):
Router1>aktivierenPasswort: Router1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Router1 (config) #logging 192.168.1.5
Anstatt die Datenerfassung, können Sie es in Echtzeit auf dem Gerät anzeigen die Verwendung von debuggen Befehl, wie beispielsweise Debug-IP-Paket 103 Detail, auf dem Gerät, auf dem Sie erwarten, dass diese Art von Daten zu sehen. Hier finden Sie debuggen einen verweigerten Zugriffsversuch zeigt, für ein Gerät mit der 10.0.2.25 IP Adresse:
Router1> aktivierenRouter1 # Terminal monitorRouter1 # Debug-IP-Paket 103 detailIP Paket-Debugging aktiviert ist (detailliert) für Zugriffsliste 103Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: Liste 103 verweigert tcp 10.0.2.25 (3541) -> 192.168.8.10 (1090), 1 packetRouter1 # keine Debug alleAlle möglich Debuggen wurde ausgeschaltet