Chào các bạn,
Hiện Quốc đang tự học về IDS, Quốc có thiết bị để test nhưng không có tài liệu hướng dẫn chi tiết về cách kết hợp này. Quốc đã tìm trên cisco.com nhưng chỉ thấy nói chung chung là có thể kết nối với nhau. Quốc nghe nói là khi nhận dạng được các cuộc tấn công thì IDS có thể điều khiển Router dựng ACL để ngăn chận các cuộc tấn công, không biết điều này được thực hiện như thế nào, cần phải cấu hình IDS và Router ra sao để có thể ngăn chận các cuộc tấn công.
Cám ơn các bạn đã quan tâm.

Lê Minh Quốc

Bạn nên đọc cuốn này :

Cisco Secure Instruction Detection System của Cisco Press.

Hoặc theo giáo trình CCSP của Cisco cũng được. Không rỏ IDS 4210 của bạn là network sensor hay là host sensor ?

hi all,
IDS 4210 thi chac chan la IDS appliance roi (khong phai host sensor software !)

Theo Reboy biết thì cơ chế IDS hoạt động cơ bản như sau:
IDS sẽ check các packet đi qua hệ thống (đi qua đâu và phần nào thì do thiết kế). Nó sẽ so sánh với signatures database lưu trong IDS, Nếu phát hiện ra dấu hiệu tấn công (attack, scan,....) nó sẽ điều khiển thiết bị blocking để generate rule blocking, reset, hoặc alarm traffic hay sourse IP. Các action cụ thể thì người quản trị config.
Trên router thi IDS điều khiển generate ACL
Trên PIX thi generare shun rule.

Thanx,
Red..Boy

Redboy nói đúng tất cả các yếu tố chính của Cisco IDS solution rồi. Bình có built một cái Frankenstein IDS nhờ download được Cisco IDS 4.0 recovery CD. Bạn chỉ cần 1 Intel-based Pentium 3, với khoảng 500+Mhz CPU, 256MB RAM, 10GB+ HD và ít nhất là 2 Network Interface Cards (NICs) là có thể build một cái Frakenstein IDS để "xài chơi" trong lab được rùi. 1 NIC (eth0) sẽ dùng làm command&control (CC) interface, còn NIC kia làm sensing interface. Có ai có account có thể upload của vnpro.org B có thể upload lên FTP đó thì nói cho B biết để B uplaod cái ISO image lên cho (khoảng chừng 400-600MB).

Nói về blocking bằng Cisco IDS, bạn có thể configure nó manually dùng IDS Manager hoặc Command Line (CLI), nếu muốn block một IP/subnet nhất định, hay có thể configure signature action để khi có attack Sensor hoặc IDS Module (Catalyst 6500) sê gởi shun/ACLs đến các managed devices (Cisco Routers, PIX)

Bạn cũng có thể setup một Master BLocking Sensor có nhiệm vụ gởi thông tin về 1 attack đến cái blocking sensor khác, và các blocking sensor này sẽ cùng block các attack đó ở nhưng điểm đi vào của mạng (network entry points).

Còn rất nhiều điều khác nửa mà B không có đủ thời gian trao đổi với các bạn. Xin ghé qua CCO để tim thêm thông tin.

Regards,

Redboy nói đúng tất cả các yếu tố chính của Cisco IDS solution rồi. Bình có built một cái Frankenstein IDS nhờ download được Cisco IDS 4.0 recovery CD. Bạn chỉ cần 1 Intel-based Pentium 3, với khoảng 500+Mhz CPU, 256MB RAM, 10GB+ HD và ít nhất là 2 Network Interface Cards (NICs) là có thể build một cái Frakenstein IDS để "xài chơi" trong lab được rùi. 1 NIC (eth0) sẽ dùng làm command&control (CC) interface, còn NIC kia làm sensing interface. Có ai có account có thể upload của vnpro.org B có thể upload lên FTP đó thì nói cho B biết để B uplaod cái ISO image lên cho (khoảng chừng 400-600MB).

Nói về blocking bằng Cisco IDS, bạn có thể configure nó manually dùng IDS Manager hoặc Command Line (CLI), nếu muốn block một IP/subnet nhất định, hay có thể configure signature action để khi có attack Sensor hoặc IDS Module (Catalyst 6500) sê gởi shun/ACLs đến các managed devices (Cisco Routers, PIX)

Bạn cũng có thể setup một Master BLocking Sensor có nhiệm vụ gởi thông tin về 1 attack đến cái blocking sensor khác, và các blocking sensor này sẽ cùng block các attack đó ở nhưng điểm đi vào của mạng (network entry points).

Còn rất nhiều điều khác nửa mà B không có đủ thời gian trao đổi với các bạn. Xin ghé qua CCO để tim thêm thông tin.

Regards,

HI
Tôi cũng đang nghiên cứu IDS của Cisco. Bạn có thể cho 1 mô hinh IDS rõ ràng và cấu hình đi kèm được không
Nhất mong được chỉ giáo
thanks

Hi quoclm,
Cau hinh IDS aplian sensor ket hop voi Router de block cuoc tan cong rat don gian. Ban chi can lam 2 buoc:
- Cau hinh account co quyen admin cho phep telnet den router.
- Cau hinh tren Sensor (su dung IDS MC hoac IDM tuy), add device blocking vao (gom cac thong tin: IP, user/passwd).

Vay la day du, IDS phat hien xam nhap, neu thuoc loai high signature se send cau lenh blocking den router, tu dong tao them 1 ACL extend de chan giao tiep.

Cac mo hinh khac nhu config master blocking, anh Bonzai ah, o Vn chac it co mo hinh va dieu kien de minh trien khai. :D

Chuc may man.

chào mọi người mình đang nghiên cứu về IDS, các bạn có thể cho mình hỏi là IDS có thể giả lập trên GNS3 không?ai có file IOS cua IDS cho mình xin với nhe.

Cảm ơn các bạn nhiều lắm!

Chào bạn,

Dùng IOS này và VMWARE để giả lập IDS

http://www.vnpro.vn/support/index.php?_m=downloads&_a=viewdownload&downloaditemid=5

Hướng dẫn sử dụng.
http://vnpro.org/forum/showthread.php/16466-CISCO-IPS-v.5-tr%C3%AAn-VMware