Video: Dragsbæk frigiver medarbejderressourcer ved hjælp af AGV-løsning 2024
Som netværksadministrator kan du gøre et par ting med dine adgangskontrollister (ACL'er), som kan hjælpe dig med at opdage virus. Hvis du kender en virus, der har en bestemt form for trafik, måske på TCP port 1090, kan du oprette en ACL, der bruger log-indstillingen. Dette gør det muligt at registrere oplysninger om disse pakker i systemloggen, som kunne gå til en centraliseret Syslog-server.
Du vil foretage en lille ændring i din Application Control Engine (ACE) for at aktivere logning. Ved blot at tilføje log til slutningen af ACE, vil enhver trafik, der matcher ACE, blive logget.
ASAFirewall1 (config) # access-list 103 nægter enhver hvilken som helst eq 1090? konfigurere tilstandskommandoer / indstillinger: inaktiv Søgeord for deaktivering af et ACL-elementlogbog Nøgleord for aktivering af log-indstilling på dette ACL-element tidsinterval Nøgleord for at vedhæfte tidsinterval til dette ACL-element Router1 (config) # adgangsliste 103 nægte nogen eq 1090? dscp Matchpakker med givne dscp-værdifragmenter Kontroller ikke-indledende fragmenter log Log Log matcher denne indlæsning log-input Log matcher denne indgang, herunder indgangsinterface forrang Matchpakker med given prioritetsværdi tidsinterval Angiv et tidsinterval tos Matchpakker med givet TOS-værdi
Cisco IOS-enheder har en lille log konfigureret på dem. Når du overvejer, at din router måske har så lidt som 64 MB hukommelse, giver det ikke meget plads til at opretholde logoplysningerne i meget lang tid. Alternativet til at bruge routerens hukommelse til logning er at få dine logoplysninger sendt til en server på netværket.
Syslog er et industristandardformat til accept og lagring af disse logbeskeder. Mange Syslog-servere er tilgængelige for forskellige operativsystemer, herunder Kiwi Syslog Server til Windows. Kiwi Syslog Server er tilgængelig som en gratis version og er ofte egnet nok til mange mennesker. For at gøre det muligt for din enhed at sende beskeder til en Syslog-server, skal du bruge denne kommando på din IOS-enhed (192. 168. 1. 5 er min Syslog-serverens IP-adresse):
Router1> aktiver Adgangskode: Router1 # configure terminal Indtast konfigurationskommandoer, en pr. Linje. Slut med CNTL / Z. Router1 (config) #logging 192. 168. 1. 5
I stedet for at logge dataene kan du se det i realtid på enheden ved hjælp af debug-kommandoen, f.eks. Debug ip packet 103 detaljer på den enhed, hvor du Forvent at se den type data. Følgende er fejlfinding, der viser et nægtet adgangsforsøg for en enhed med 10 0. 2. 25 IP-adresse:
Router1> aktiver Router1 # terminalskærm Router1 # debug ip packet 103 detaljer IP-pakke debugging er på (detaljeret) for adgangsliste 103 Router1 # 00: 11: 55:% SEC-6-IPACCESSLOGP: liste 103 nægtet tcp 10.0. 2. 25 (3541) -> 192. 168. 8. 10 (1090), 1 pakke Router1 # ingen fejlfinding alle Alle mulige fejlfinding er slået fra
