Geekly articles weekly

рд╕рд┐рд╕реНрдХреЛ рд░рд╛рдЙрдЯрд░ рдкрд░ рд╣рдиреАрдкреЛрдЯ рдХреЛ рд▓рд╛рдЧреВ рдХрд░реЗрдВ



рдпрд╣ рд╕рд┐рд╕реНрдХреЛ рд░рд╛рдЙрдЯрд░ рдкрд░ рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдореЗрд░реЗ рд╕рд╛рде рд╣реБрдЖ, рдЬреЛ рдХрд┐ рдХреЗрд╡рд▓ рд░рд╛рдЙрдЯрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реБрдП, рдЬрд╛рдиреЗ-рдорд╛рдиреЗ рдЕрд╕рдлрд▓ 2ban рдкреИрдХреЗрдЬ рдХрд╛ рдХреБрдЫ рдЕрдВрд╢ рд╣реИред

рдпрд╣ рдЗрд╕ рддрд░рд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИред рдЯреНрд░реИрдк рдирд┐рдпрдо рдмреЙрд░реНрдбрд░ рдЗрдВрдЯрд░рдиреЗрдЯ рд░рд╛рдЙрдЯрд░ рдХреЗ рдЗрдВрдЯрд░рдлреЗрд╕ рд╕реЗ рдЬреБрдбрд╝реА рдПрдХреНрд╕реЗрд╕ рд▓рд┐рд╕реНрдЯ рдореЗрдВ рдмрдирд╛рдП рдЧрдП рд╣реИрдВред рдЬрдм рдХреЛрдИ рдирд┐рдпрдо рдЯреНрд░рд┐рдЧрд░ рд╣реЛрддрд╛ рд╣реИ, рддреЛ рдПрдХ рдИрд╡реЗрдВрдЯ рд▓реЙрдЧ рд╣реЛрддрд╛ рд╣реИред рдЗрд╕ рддрд░рд╣ рдХреА рдШрдЯрдирд╛ рдХреА рдкреНрд░рддреНрдпреЗрдХ рдкрдВрдХреНрддрд┐ рдореЗрдВ рдПрдХ рд╡рд┐рд╢реЗрд╖ рд▓реЗрдмрд▓ рд╣реЛрддрд╛ рд╣реИ рдЬрд┐рд╕рд╕реЗ рдЗрд╕реЗ рдЪреБрдирдирд╛ рдЖрд╕рд╛рди рд╣реЛ рдЬрд╛рддрд╛ рд╣реИред рд▓реЙрдЧ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдФрд░ рд╕рднреА рдЖрдИрдкреА рдкрддреЗ рдЬреЛ рдЬрд╛рд▓ рдореЗрдВ рдЖрддреЗ рд╣реИрдВ, рдЙрдиреНрд╣реЗрдВ рдПрдХ рд╡рд┐рд╢реЗрд╖ рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдореЗрдВ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЗрд╕ рд╕рдореВрд╣ рдХрд╛ рдЙрдкрдпреЛрдЧ рдЙрд╕реА рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдореЗрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдЬреЛ рд╣рдорд╛рд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд╕рднреА рдЖрдИрдкреА рдкрддреЗ рдФрд░ рдмрдВрджрд░рдЧрд╛рд╣реЛрдВ рдкрд░ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдХреА рдкрд╣реБрдВрдЪ рдкрд░ рдкреНрд░рддрд┐рдмрдВрдз рд▓рдЧрд╛рддреА рд╣реИред

рдЗрд╕ рд▓реЗрдЦ рдХреЛ рд╕рдордЭрдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдпрд╣ рдЬрд╛рдирдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдПрдХреНрд╕реЗрд╕ рд▓рд┐рд╕реНрдЯ рдХреНрдпрд╛ рд╣реИрдВ рдФрд░ рд╡реЗ рдХрд┐рд╕ рд▓рд┐рдП рд╣реИрдВ, рдФрд░ рдпрд╣ рднреА рдЬрд╛рдирдирд╛ рд╣реИ рдХрд┐ рдПрдХреНрд╕реЗрд╕ рд▓рд┐рд╕реНрдЯ рдореЗрдВ рдСрдмреНрдЬреЗрдХреНрдЯ-рдЧреНрд░реБрдк рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреИрд╕реЗ рдХрд░реЗрдВред

рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдЬрд╛рд▓


рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд╣рдо рдПрдХ рдЖрдиреЗ рд╡рд╛рд▓реА рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдХреЗ рд▓рд┐рдП рдПрдХ рдирд┐рдпрдо рд▓рд┐рдЦрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдХреЗ рддрд╣рдд рдЗрдВрдЯрд░рдиреЗрдЯ рдЧрд┐рд░рдиреЗ рд╕реЗ рд╣рдорд╛рд░реЗ рдЙрдкрдХрд░рдгреЛрдВ рдХреЗ рдЯреЗрд▓рдиреЗрдЯ рдкреЛрд░реНрдЯ рдореЗрдВ рдЖрдиреЗ рдХрд╛ рд╕рднреА рдкреНрд░рдпрд╛рд╕ рдХрд░рддреЗ рд╣реИрдВред рдХреГрдкрдпрд╛ рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдирд┐рдпрдо рдХреЗ рдЕрдВрдд рдореЗрдВ, рдПрдХ рдЕрдиреВрдард╛ рд▓реЗрдмрд▓ "рд╣рдиреАрдкреЛрдЯреНрдЯрд┐" рдЪрд┐рдкрдХрд╛ рд╣реБрдЖ рд╣реИред рдлрд┐рд░ рд╣рдо рд▓реЙрдЧ рдореЗрдВ рдЗрд╕рдХреЗ рд▓рд┐рдП рдЦреЛрдЬ рдХрд░реЗрдВрдЧреЗред

ip access-list extended acl-WAN-In тАж deny tcp any any eq telnet log HONEYPOT001 тАж

рдЬрд╛рд▓ рдХреЗ рд▓рд┐рдП рд╕рд╣реА рдорд╛рдирджрдВрдб рдЪреБрдирдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИред

рдкреЛрд░реНрдЯ 23 (рдЯреЗрд▓рдиреЗрдЯ) рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдмрд╛рд╣рд░ рд╕реЗ рдЬреБрдбрд╝рдиреЗ рдХреЗ рдкреНрд░рдпрд╛рд╕ рд╢рд╛рдпрдж рд╕рдмрд╕реЗ рдЖрдо рд╣реИрдВред рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ, рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рддреБрд░рдВрдд рдкреВрд░реЗ рдЗрдВрдЯрд░рдиреЗрдЯ рд╕реЗ рдмреЙрдЯ рдХреЗ рдЖрдИрдкреА рдкрддреЗ рд╕реЗ рднрд░ рдЬрд╛рдПрдЧрд╛, рдФрд░ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдЖрд╡рдВрдЯрд┐рдд рдореЗрдореЛрд░реА рдмрд╕ рд╕рдорд╛рдкреНрдд рд╣реЛ рдЬрд╛рдПрдЧреАред

рдЖрдк рдкреЛрд░реНрдЯ 22 (ssh) рдкрд░ рдЕрдкрдиреЗ рдЙрдкрдХрд░рдгреЛрдВ рд╕реЗ рдЬреБрдбрд╝рдиреЗ рдХреЗ рдкреНрд░рдпрд╛рд╕ рдХреЛ рдкрдХрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рд╡реЗ рдЯреЗрд▓рдиреЗрдЯ рд╕реЗ рдХрдо рдкрд░рд┐рдорд╛рдг рдХрд╛ рдПрдХ рдХреНрд░рдо рд╣реИрдВред рдЖрдк рдЕрдкрдиреЗ рдХрд┐рд╕реА рднреА рдбрд┐рд╡рд╛рдЗрд╕ рдХреЛ рдПрдХреНрд╕реЗрд╕ рдХрд░рдиреЗ рдХреЗ рдкреНрд░рдпрд╛рд╕ рдкрдХрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред

рдкреЛрд░реНрдЯ 7547 рдкрд░ рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдмреЙрдЯреНрд╕ рдХреНрд░реЙрд▓ рдХрд░рддреЗ рд╣реИрдВ, рд╕реАрдкреАрдИ рд╡рд╛рди рдкреНрд░рдмрдВрдзрди рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд░рд╣реЗ рд╣реИрдВред

рдПрдХ рдФрд░ рд╡рд┐рдХрд▓реНрдк рдкреЛрд░реНрдЯ 4786 рдкрд░ рд╕рдХреНрд╖рдо рд╕реНрдорд╛рд░реНрдЯ рдЗрдВрд╕реНрдЯреЙрд▓ рдХреНрд▓рд╛рдЗрдВрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рдкреНрд░рдпрд╛рд╕реЛрдВ рдХреЛ рдкрдХрдбрд╝рдирд╛ рд╣реЛрдЧрд╛ред

рдЖрдк рдПрдХ рдЖрдИрдкреА рдкрддреЗ рдХрд╛ рдЪрдпрди рдХрд░рдХреЗ рдкреЛрд░реНрдЯ 80 рдкрд░ рдПрдХ рдЬрд╛рд▓ рднреА рд╕реЗрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЬрд┐рд╕ рдкрд░ рдЖрдкрдХреЗ рдкрд╛рд╕ рд╡реЗрдм рд╕рд░реНрд╡рд░ рдирд╣реАрдВ рд╣реИред рдпрд╣рд╛рдВ рдореБрдЦреНрдп рдмрд╛рдд рдпрд╣ рд╣реИ рдХрд┐ рдЦреЛрдЬ рдЗрдВрдЬрди рд░реЛрдмреЛрдЯ рдЗрд╕рдореЗрдВ рдирд╣реАрдВ рдЖрддреЗ рд╣реИрдВред

рдпрд╣рд╛рдВ IP рдкрддреЗ рдкрд░ рдПрдХ рдЬрд╛рд▓ рдХрд╛ рдПрдХ рдЙрджрд╛рд╣рд░рдг рд╣реИ [192.0.2.10]ред

 ip access-list extended acl-WAN-In тАж deny tcp any host 192.0.2.10 eq www log HONEYPOT002 тАж

рд▓реЙрдЧ рд╡рд┐рд╢реНрд▓реЗрд╖рдг


рд░рд╛рдЙрдЯрд░ рдкрд░ рд▓реЙрдЧрд┐рдВрдЧ, рдЬрд╝рд╛рд╣рд┐рд░ рд╣реИ, рдкрд╣рд▓реЗ рд╕реЗ рдЪрд╛рд▓реВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП, рдлрд┐рд░ рдРрд╕рд╛ рдХреБрдЫ рд▓реЙрдЧ рдореЗрдВ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ:

 225435: Jan 11 08:57:13.838: %SEC-6-IPACCESSLOGP: list acl-WAN-In denied tcp 123.199.32.7(59472) -> 192.0.2.9(23), 1 packet [HONEYPOT001]

рд╣рдо рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐ рдмрд╛рд╣рд░реА рдЖрдИрдкреА рдкрддреЗ рд╕реЗ рд╣рдорд╛рд░реЗ рдЖрдИрдкреА рдкрддреЗ рдХреЗ 23 рд╡реЗрдВ рдкреЛрд░реНрдЯ [192.0.2.9] рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ [123.199.32.7]ред рд▓рд╛рдЗрди рдореЗрдВ "HONEYPOT001" рд▓реЗрдмрд▓ рднреА рдореМрдЬреВрдж рд╣реИред рд╡реИрд╕реЗ, [123.199.32.7] рдПрдХ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд╣рдорд▓рд╛рд╡рд░ рд╣реИ рдЬреЛ рдПрдХ рд▓реЗрдЦ рд▓рд┐рдЦрддреЗ рд╕рдордп рдкрдХрдбрд╝рд╛ рдЧрдпрд╛ рд╣реИред

рд▓реЙрдЧ рдХреЛ рдкрд╛рд░реНрд╕ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдо рдПрдВрдмреЗрдбреЗрдб рдЗрд╡реЗрдВрдЯ рдореИрдиреЗрдЬрд░ (рдИрдИрдПрдо), рдПрдХ рдХрд╛рд░реНрдп рд╕реНрд╡рдЪрд╛рд▓рди рдФрд░ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╡реНрдпрд╡рд╣рд╛рд░ рдЯреНрдпреВрдирд┐рдВрдЧ рдЯреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рд╕рд┐рд╕реНрдХреЛ рдЖрдИрдУрдПрд╕ рдореЗрдВ рдХрд░реЗрдВрдЧреЗред

рд░рд╛рдЙрдЯрд░ рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЛрдб рдореЗрдВ, рдПрдХ рдПрдкреНрд▓реЗрдЯ рдмрдирд╛рдПрдВ рдЬреЛ рд▓реЙрдЧ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЬрдм рд▓реЙрдЧ рд▓рд╛рдЗрди рдореЗрдВ "HONEYPOT001" рд▓реЗрдмрд▓ рд╣реЛрддрд╛ рд╣реИ, рддреЛ рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдХрд╛рдЯ рджреЗрддрд╛ рд╣реИ рдФрд░ рдЗрд╕ рдкрддреЗ рдХреЛ рд╣реЛрд╕реНрдЯреНрд╕ рдмреНрд▓реИрдХрд▓рд┐рд╕реНрдЯ рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдореЗрдВ рдЬреЛрдбрд╝рддрд╛ рд╣реИред

 event manager applet honeypot event syslog occurs 1 pattern "HONEYPOT001" action 100 regexp "([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)" "$_syslog_msg" result IP_address action 200 if $_regexp_result eq "1" action 210 cli command "enable" action 220 cli command "conf t" action 230 cli command "object-group network hosts-BlackList" action 240 cli command "h $IP_address" action 250 cli command "end" action 260 syslog msg "IP address $IP_address added to blacklist" action 270 end action 300 cli command "exit"

  • рдЬрдм рдЕрдЧрд▓реА рдкрдВрдХреНрддрд┐ рд▓реЙрдЧ рдореЗрдВ "HONEYPOT001" рд▓реЗрдмрд▓ рдХреЗ рд╕рд╛рде рдорд┐рд▓рддреА рд╣реИ, рддреЛ рдПрдХ рдШрдЯрдирд╛ рд╣реЛрддреА рд╣реИ;
  • рдЗрд╡реЗрдВрдЯ рд╣реИрдВрдбрд▓рд░ рдореЗрдВ, рдкреИрдЯрд░реНрди рдХреЗ рдЕрдиреБрд╕рд╛рд░ рд▓реЙрдЧ рд▓рд╛рдЗрди рд╕реЗ "([0-9] + \ред [0-9] + \ _ [0-9] + \ред [0-9] +)" рд╣рдорд▓рд╛рд╡рд░ рдХрд╛ рдЖрдИрдкреА рдкрддрд╛ рдХрдЯ рдФрд░ рдЕрд╕рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЪрд░ IP_address (рдХрд╛рд░реНрд░рд╡рд╛рдИ 100);
  • рдпрджрд┐ рдкрддрд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рдХрдЯ рдЬрд╛рддрд╛ рд╣реИ, рдФрд░ рд▓рд╛рдЗрди рдореЗрдВ рдкрд╛рд░реНрд╕ рдХрд░рдиреЗ рдХреЗ рд╕рд╛рде рдХреЛрдИ рд╕рдорд╕реНрдпрд╛ рдирд╣реАрдВ рд╣реЛрддреА рд╣реИ (рдХреНрд░рд┐рдпрд╛ 200), рддреЛ рдХрдВрд╕реЛрд▓ рдХрдорд╛рдВрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рд╣реЛрддреЗ рд╣реИрдВ рдЬреЛ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдореЗрдВ рдЬреЛрдбрд╝рддреЗ рд╣реИрдВ (рдХрд╛рд░реНрд░рд╡рд╛рдИ 210 - 250);
  • рдЬрд╛рд▓ рдХреЗ рдЯреНрд░рд┐рдЧрд░ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓реЙрдЧ рдореЗрдВ рдПрдХ рдкреНрд░рд╡рд┐рд╖реНрдЯрд┐ рдмрдирд╛рдИ рдЧрдИ рд╣реИ (рдХрд╛рд░реНрд░рд╡рд╛рдИ 260)ред

рдкрд╣реБрдВрдЪ рдЕрд╡рд░реБрджреНрдз рдХрд░рдирд╛


рдкрд╣рд▓реА рдмрд╛рдд рдпрд╣ рд╣реИ рдХрд┐ рд╣рдорд╛рд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд╕рднреА рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдкрд░ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдХреЛ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдмреНрд▓реЙрдХ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реИред

рдЕрд╡рд░реБрджреНрдз рдирд┐рдпрдо рдЬрд╛рд▓ рдХреЗ рд╕рд╛рде рдирд┐рдпрдо рд╕реЗ рдКрдкрд░ рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдореЗрдВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП рддрд╛рдХрд┐ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рдЖрдИрдкреА рдкрддрд╛ рдмрд╛рд░-рдмрд╛рд░ рдЬрд╛рд▓ рдореЗрдВ рди рдЬрд╛рдПред

 ip access-list extended acl-WAN-In тАж deny ip object-group hosts-BlackList any тАж deny tcp any any eq telnet log HONEYPOT001 тАж

рдЖрдо рдорд╛рдлрд╝реА


рдЬрд▓реНрджреА рдпрд╛ рдмрд╛рдж рдореЗрдВ, рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рд╕рднреА рд╕реНрд╡реАрдХрд╛рд░реНрдп рдЖрдХрд╛рд░реЛрдВ рдХреЛ рдкрд╛рд░ рдХрд░ рдЬрд╛рдПрдЧрд╛, рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ рдкреБрд░рд╛рдиреЗ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдЗрд╕рд╕реЗ рд╕рд╛рдлрд╝ рдХрд░рдХреЗ рдПрдХ рдорд╛рдлреА рдмрдирд╛рдирд╛ рд╣реЛрдЧрд╛ред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╣рдо рдПрдХ рдПрдкреНрд▓реЗрдЯ рд▓рд┐рдЦрддреЗ рд╣реИрдВ рдЬреЛ рдРрд╕рд╛ рдХрд░реЗрдЧрд╛, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рд░рд╡рд┐рд╡рд╛рд░ рдХреЛ рдордзреНрдпрд░рд╛рддреНрд░рд┐ рдореЗрдВ рд╕рдкреНрддрд╛рд╣ рдореЗрдВ рдПрдХ рдмрд╛рд░ред

рд▓рд┐рдЦрдиреЗ рдХреЗ рд░рд╛рд╕реНрддреЗ рдореЗрдВ, рд╣рдо рджреЛ рдиреБрдХрд╕рд╛рди рд╕реЗ рдорд┐рд▓реЗрдВрдЧреЗред

рдЖрдк рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдЧрдП рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдХреЛ рд╣рдЯрд╛ рдирд╣реАрдВ рд╕рдХрддреЗред рдЗрд╕рд▓рд┐рдП, рдЖрдкрдХреЛ рдкрд╣рд▓реЗ рдЙрд╕ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдХреА рд▓рд╛рдЗрди рд╕рдВрдЦреНрдпрд╛ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдирд╛ рд╣реЛрдЧрд╛ рдЬрд┐рд╕рдореЗрдВ рд╕рдореВрд╣ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рд╣рдорд╛рд░реЗ рдЙрджрд╛рд╣рд░рдг рдореЗрдВ, рдпрд╣ рд░реЗрдЦрд╛ 60 рд╣реИред рд╣рдо рдЗрд╕ рд╕рдВрдЦреНрдпрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд╕реЗ рд╕рдореВрд╣ рдХреЗ рд╕рд╛рде рд▓рд╛рдЗрди рдХреЛ рд╣рдЯрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░реЗрдВрдЧреЗ, рдФрд░ рдлрд┐рд░ рдЗрд╕реЗ рдЕрдкрдиреЗ рдкрд┐рдЫрд▓реЗ рд╕реНрдерд╛рди рдкрд░ рд▓реМрдЯрд╛ рджреЗрдВрдЧреЗред

рдЖрдк рдПрдХ рдЦрд╛рд▓реА рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдирд╣реАрдВ рдмрдирд╛ рд╕рдХрддреЗред рдЗрд╕рд▓рд┐рдП, рдПрдХ рд╕рдореВрд╣ рдмрдирд╛рддреЗ рд╕рдордп, рд╣рдо рдЗрд╕рдореЗрдВ IP рдкрддрд╛ [255.255.255.255] рдЬреЛрдбрд╝ рджреЗрдВрдЧреЗред рдпрд╣ рдкрддрд╛ рд╕реНрдерд╛рдиреАрдп рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдЕрдиреНрдп рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗ рдЬреЛрдбрд╝рдиреЗ рд╡рд╛рд▓реЗ рд░рд╛рдЙрдЯрд░ рджреНрд╡рд╛рд░рд╛ рдХрднреА рдЕрдЧреНрд░реЗрд╖рд┐рдд рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдо рдЗрд╕рд╕реЗ рдХрдиреЗрдХреНрд╢рди рдХреА рдЙрдореНрдореАрдж рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВред

 event manager applet DeleteBlackList event timer cron name timer-cron1 cron-entry "@weekly" action 100 cli command "enable" action 200 cli command "conf t" action 210 cli command "ip access-list ext acl-WAN-In" action 215 cli command "no 60" action 220 cli command "exit" action 225 cli command "no object-group net hosts-BlackList" action 230 cli command "object-group net hosts-BlackList " action 240 cli command "host 255.255.255.255" action 245 cli command "exit" action 250 cli command "ip access-list ext acl-WAN-In" action 255 cli command "60 deny ip object-group hosts-BlackList any" action 260 cli command "exit" action 265 cli command "end" action 300 syslog msg "Completed" action 400 cli command "exit"

  • рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд╕реЗ рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдХреЗ рд╕рд╛рде рдирд┐рдпрдо рдХреЛ рд╣рдЯрд╛ рджреЗрдВред (рдХрд╛рд░реНрд░рд╡рд╛рдИ 210 - 220);
  • рд╕рдореВрд╣ рдХреЛ рд╣реА рд╣рдЯрд╛ рджреЗрдВ (рдХрд╛рд░реНрд░рд╡рд╛рдИ 225);
  • рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣ рдХреЛ рдлрд┐рд░ рд╕реЗ рдмрдирд╛рдПрдБ, рдФрд░ рдЙрд╕рдореЗрдВ рдкреНрд░рд╕рд╛рд░рдг рдЖрдИрдкреА рдкрддрд╛ рдбрд╛рд▓реЗрдВред (рдХреНрд░рд┐рдпрд╛ 230 - 245);
  • рд╣рдо рдПрдХреНрд╕реЗрд╕ рд▓рд┐рд╕реНрдЯ рдореЗрдВ рдкреБрд░рд╛рдиреЗ рд╕реНрдерд╛рди рдкрд░ рдирд┐рдпрдо рд▓реМрдЯрд╛рддреЗ рд╣реИрдВред (рдХрд╛рд░реНрд░рд╡рд╛рдИ 250 - 260)ред

рдпрджрд┐ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдЯреИрдЧ рд╕рдорд░реНрдерд┐рдд рдирд╣реАрдВ рд╣реИрдВ рддреЛ рдХреНрдпрд╛ рдХрд░реЗрдВ


рдХрдИ IOS, рдЗрд╕ рддрдереНрдп рдХреЗ рдмрд╛рд╡рдЬреВрдж рдХрд┐ "Syslog Correlation ACL" рдлрд╝рдВрдХреНрд╢рди рдЙрдирдореЗрдВ рдШреЛрд╖рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд╕реНрдЯреНрд░рд┐рдВрдЧреНрд╕ рдХреЛ рдЯреИрдЧ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрддреЗ рд╣реИрдВред

рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ, рдЖрдк рддрдерд╛рдХрдерд┐рдд рдЙрддреНрдкрдиреНрди рд╣реИрд╢ рдореВрд▓реНрдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред (рдбрд┐рд╡рд╛рдЗрд╕-рдЬрдирд░реЗрдЯ рд╣реИрд╢ рдорд╛рди) рдЬреЛ рд▓реЙрдЧ рд╕рдВрджреЗрд╢ рд▓рд╛рдЗрдиреЛрдВ рдореЗрдВ рдЬреЛрдбрд╝рд╛ рдЬрд╛рдПрдЧрд╛ред

рдпрджрд┐ IOS- рджреЛрдиреЛрдВ рд╡рд┐рдХрд▓реНрдкреЛрдВ рдХрд╛ рд╕рдорд░реНрдерди рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИ, рддреЛ рдЖрдкрдХреЛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреЛ рдереЛрдбрд╝рд╛ рдЬрдЯрд┐рд▓ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред
рд╣рдо рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рдореЗрдВ рдПрдХ рдЬрд╛рд▓ рдХреЗ рд╕рд╛рде рдирд┐рдпрдо рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рддреЗ рд╣реИрдВред "рд▓реЙрдЧ" рдХреЗ рдмрдЬрд╛рдп рд╣рдо "рд▓реЙрдЧ-рдЗрдирдкреБрдЯ" рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВрдЧреЗред

 ip access-list extended acl-WAN-In тАж deny tcp any any eq telnet log-input тАж

рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рднреМрддрд┐рдХ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХреЗ рдирд╛рдо рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рдФрд░, рд╕рдВрднрд╡рддрдГ, рдкрдбрд╝реЛрд╕реА рд░рд╛рдЙрдЯрд░ рдХреЗ рдореИрдХ рдкрддреЗ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬреЛ рдкреИрдХреЗрдЯ рдХреЛ рдЕрдЧреНрд░реЗрд╖рд┐рдд рдХрд░реЗрдЧрд╛, рд▓реЙрдЧ рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░реЗрдЧрд╛ред
рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдирд┐рдореНрди рд╕рдВрджреЗрд╢ рд▓реЙрдЧ рдореЗрдВ рдЬрд╛рддрд╛ рд╣реИ:

 Jan 11 00:20:23 172.25.100.43 2394768: Jan 10 20:20:22.808: %FMANFP-6-IPACCESSLOGP: SIP1: fman_fp_image: list acl-WAN-In denied tcp 123.199.32.7(7537) Port-channel1.88-> 192.0.2.9(23), 1 packet


рддрдм рдИрд╡реЗрдВрдЯ рдХреЛ рд╕рдХреНрд░рд┐рдп рдХрд░рдиреЗ рдХрд╛ рдирд┐рдпрдо рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рд░реВрдк рд▓реЗрддрд╛ рд╣реИ:

 event syslog occurs 1 pattern "Port-channel1\.88-> 192\.0\.2\."

рдХреНрдпрд╛ рдкрдврд╝рдирд╛ рд╣реИ?


рд▓реЙрдЧ рдХреЛ рд╕рдВрджреЗрд╢ рдЙрддреНрдкрдиреНрди рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рдирд┐рдпрдореЛрдВ рдХреА рдЕрд╕реНрдкрд╖реНрдЯ рдкрд╣рдЪрд╛рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ:
ACL Syslog рд╕рд╣рд╕рдВрдмрдВрдз

рдПрдВрдмреЗрдбреЗрдб рдЗрд╡реЗрдВрдЯ рдореИрдиреЗрдЬрд░ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ:
рдПрдВрдмреЗрдбреЗрдб рдЗрд╡реЗрдВрдЯ рдореИрдиреЗрдЬрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЧрд╛рдЗрдб

Source: https://habr.com/ru/post/hi436280/

More articles:


All Articles