ネットワーク管理者は、ウイルスの検出に役立つアクセス制御リスト(ACL)を使用して、いくつかのことを実行できます。特定の種類のトラフィックを持つウイルス(TCPポート1090など)を知っている場合は、logオプションを使用するACLを作成できます。これにより、これらのパケットに関する情報がシステムログに記録され、中央のSyslogサーバに送信される可能性があります。
アプリケーション制御エンジン(ACE)を少し変更してロギングを有効にします。 ACEの最後にログを追加するだけで、ACEと一致するすべてのトラフィックがログに記録されます。
<! - 1 - >ASAFirewall1(config)#アクセスリスト103は、任意のeq 1090をtcpで拒否しますか?このACL要素のログオプションを有効にするためのキーワードtime-rangeこのACL要素に時間範囲オプションを付加するためのキーワードRouter1(config)#access-list 103 deny tcp any any eq 1090? dscp指定されたdscp値フラグメントでパケットを照合する初期以外のフラグメントログを確認するログエントリをログに記録するlog-input入力インターフェイスの優先順位を含むこのエントリとの一致を記録する指定された優先順位値を持つパケットを照合する時間範囲時間範囲を指定する指定されたTOS値
Cisco IOSデバイスには小さなログが設定されています。あなたのルータが64MBのメモリしか持たないと考えると、これは非常に長い間ログ情報を維持するためのスペースをあまり残しません。ロギングにルータのメモリを使用する代わりに、ログ情報をネットワーク上のサーバに送信することもできます。
<! - 2 - >Syslog は、これらのログメッセージを受け入れて保存するための業界標準フォーマットです。多くのSyslogサーバは、Kiwi Syslog Server for Windowsを含むさまざまなオペレーティングシステムで使用できます。 Kiwi Syslog Serverは無料版として提供されており、多くの人に十分適しています。デバイスがSyslogサーバにメッセージを送信できるようにするには、IOSデバイスで次のコマンドを使用します(192.168.5.1は私のSyslogサーバのIPアドレスです)。
<! - 3 - >Router1> enable パスワード:Router1#configure terminal設定コマンドを1行に1つ入力します。 CNTL / Zで終了します。 Router1(config)#logging 1922. 168. 1. 5
データをロギングするのではなく、デバッグコマンド(debug ip packet 103 detailなど)を使用してデバイス上でリアルタイムにデータを表示できます。その種類のデータが表示されることを期待します。以下は、10. 0,2.25 IPアドレスを持つデバイスに対する拒否されたアクセス試行を示すデバッグです。Router1>
enable Router1#terminal monitor Router1#debug ip packet 103詳細IPパケットのデバッグアクセスリスト103 Router1#00:11:55:%SEC-6-IPACCESSLOGP:リスト103がTCP 10を拒否しました。すべてのデバッグがオフになっています。
