眾所周知，Cisco入侵檢測系統(tǒng)(IDS)4200設備檢測器是市場領先的Cisco IDS產(chǎn)品系列中的成員，能夠對整個網(wǎng)絡提供全面保護。阻止在互聯(lián)網(wǎng)上例如黑客入侵等這種非法惡意行為的發(fā)生。但是一臺cisco ids的價格代表著一個普通的家庭用戶幾乎不可能獨立擁有，那么如果我們想要更加完善的網(wǎng)絡保護又發(fā)愁沒有足夠的資金來購入cisco ids這種設備該如何是好呢？不用著急，接下來的文章將會告訴您，如何制作一臺只屬于自己的cisco ids。

自制cisco ids的硬件準備

PC一臺，需求如下:

主版:自制cisco ids 440BX主板最好，當然其他也沒問題，至少是支持440BX，VIA686a；AMD芯片應該也可以。

CPU: 基本不限，PII 以上均可，當然越高越好，建議600MHz以上主頻；至少支持我的Athlon 1.7。

RAM: 256M - 4G， 推薦512M以上

硬盤: 普通IDE硬盤就可以，當然幾種常見SCSI也是沒問題的，另外似乎也支持iSCSI

網(wǎng)卡: 在自制cisco ids的過程中唯一最重要的要求就是這個了，至少需要兩塊網(wǎng)卡，根據(jù)你想制造的型號不同注意其中至少一塊必須是百兆(EEPro100各型)或千兆(EEPro1000各型)的Intel網(wǎng)卡；

芯片組可以是Intel82557/82558/82559/82550等。(可能也支持Broadcom BCM5700)這塊Intel網(wǎng)卡是作為監(jiān)聽卡用的，因此必須插在PCI 1槽上，或者，至少要比第二塊卡在PCI上的位置靠前，這樣在系統(tǒng)中它會被認為ETH0，而ETH0是系統(tǒng)默認的監(jiān)聽口，必須為Intel網(wǎng)卡。

另一塊卡理論上可以是Linux 2.4內(nèi)核所能支持的任何芯片的網(wǎng)卡，但是我們也推薦使用Intel EEpro100，這樣可以省去很多麻煩，避免不必要的錯誤發(fā)生。這塊卡在系統(tǒng)中會被認為是ETH1，用作管理和通訊。

開始安裝Cisco IDS

準備好Cisco IDS的Recovery CD，一切就像安裝普通的Redhat Linux一樣簡單 --其實還更簡單一點。

啟動界面會給你一個選擇，是使用控制臺(鍵盤+顯示器)還是串口。當然選控制臺，這樣自制出來的cisco ids會快得多，在boot:提示符后輸入 k <回車>。之后就不用管了，它會完全自動的完成安裝，注意！它可是獨占硬盤的，如果你的硬盤上還有其他系統(tǒng)，它會自動格式化整個盤，可不會提示你。

安裝完成后系統(tǒng)會自動重新啟動，你可以看見熟悉的GRUB引導菜單，在這里我們進行第一次修改和初始化設置。選擇在菜單的第一項 [ Cisco IDS (2.4.18-5smpbigphys) ]上，按下"e"鍵進行設置，然后在[kernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 ]這一行上(應該是第二行)再按"e"，進行編輯，在行尾加上"single"，進行單用戶模式引導。

修改如下：

代碼:

kernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 single

然后按"ESC" "b"，開始引導。完成之后，會進入Linux的單用戶模式Shell下，開始Crack步驟。

想要自制出cisco ids我們需要做以下幾步工作：

1. 設置root密碼

代碼:

======================================================

# passwd root

[輸入兩次確認密碼]

======================================================

2. 破解IDS設備型號識別

代碼:

======================================================

# vi /etc/init.d/ids_functions

編輯 isCPU() 函數(shù)一節(jié)如下：

======================================================

isCPU(){

# $1 = CPU speed

#　 MAX_DIFF=4

#　 PROC=`awk '/^cpu MHz/{ print $4 }' $CPU_INFO_FILE | tail -1 | cut -f1 -d"."`

MAX_DIFF=150

PROC=1260

======================================================

(在MAX_DIFF=4和PROC=`兩行前加上 "#" 注釋；然后添加 MAX_DIFF=150 和 PROC=1260兩行)

vi快捷指南：

代碼:

vi是Linux下默認的編輯器，作上面修改可以按下列鍵序：

:輸入　/isCPU

-會自動跳轉到isCPU()一行

:輸入 i

-進入編輯模式

:輸入 在MAX_DIFF和PROC二行前加上 # 字符

:輸入 MAX_DIFF=150

:輸入 PROC=1260

:輸入 [ESC]鍵

:輸入 :wq 三個字符，回車

-修改和保存文件#p#

3. 重新啟動系統(tǒng)

代碼:

======================================================

# init 3

======================================================

之后系統(tǒng)會自動檢查設備型和配置硬件，在這個過程中系統(tǒng)可能或重新啟動數(shù)次，直至最后穩(wěn)定的進入命令提示符狀態(tài)：

代碼:

sensor login:這時可以使用 [ 用戶名: cisco 口令: cisco ]進行登錄，第一次登錄系統(tǒng)會強制要求更改系統(tǒng)默認帳戶密碼，以及添加一個Service用戶。

完成之后，輸入 reset 命令，重新啟動系統(tǒng)。

4. 再次重啟系統(tǒng)時，進行一些其他設置； 引導時使用 0 節(jié)的方法，進入單用戶模式。然后：

修改ssh配置文件，允許root遠程登錄，修改/etc/ssh/sshd_config文件，修改如下兩行

代碼:

Port 22

PermitRootLogin yes#(默認為no)

修改grub配置文件/boot/grub/grub.conf ，允許控制臺管理；修改如下一行：

代碼:

kernel /boot/vmlinuz-2.4.18-5smpbigphys ro root=/dev/hda1 bigphysarea=32768 #console=ttyS0,9600(在console=ttyS0,9600前加 # 號，或刪除console=...至行尾)

最后執(zhí)行下一個步驟，最后一點初始化設置。

5. 進行系統(tǒng)初始化設置（已經(jīng)離cisco ids只差一步之遙了）

代碼:

======================================================

# init 3

======================================================

使用cisco用戶登錄進入系統(tǒng)，然后運行setup命令。

代碼:

======================================================

# setup

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

User ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

Current Configuration:(顯示當前配置)

........

Current time: Wed Mar 16 18:06:41 2005

Setup Configuration last modified: Wed Mar 16 16:42:07 2005

Continue with configuration dialog?[yes]:(輸入yes繼續(xù)配置)

Enter host name[sensor]:(輸入主機名)

Enter IP address[192.168.0.99]:　(輸入通訊口IP地址[eth1])

Enter netmask[255.255.255.0]:(子網(wǎng)掩碼)

Enter default gateway[192.168.0.254]:(默認網(wǎng)關)

Enter telnet-server status[enabled]:(允許telnet登錄)

Enter web-server port[443]:　(允許Web管理)

Modify current access list?[no]: yes(編輯訪問控制列表，按 [IP_Address 空格 NetMask]格式)

Modify system clock settings?[no]:

[0] Go to the command prompt without saving this config.

[1] Return back to the setup without saving this config.

[2] Save this configuration and exit setup.

Enter your selection[2]:(選擇2保存配置)

======================================================

最后，可以reset重啟一次，你自制的cisco ids系統(tǒng)應該完全偽造成功了。

之后可以用你熟悉的任何管理方式連接上去進行管理，telnet,ssh,串口,或https://訪問地址。

如果需要更詳細的cisco ids管理功能，恐怕你得安裝CiscoWorks VMS或IDS Manager了。

6. 補充一點設備型號，在這個例子中，我們仿造的系統(tǒng)型號是Cisco IDS4235，其實也可以修改成其他型號，一個列表如下：

代碼:

TYPECPU RAM NIC XLACCEL FIBER

4210567 x1　512 2 - -

215845 x1　512 2 - -

4220598 x1　?　 >=2　 - -

4230598 x2　?　 3 - -

42351260x1　?　 3 - -

42501260x2　?　 ? - -

4250SX　1260x2　?　 ? - 1

4250XL　1260x2　?　 ?　11

XL = XL加速卡

FIBER = 千兆光纖卡

NIC = 網(wǎng)卡

RAM 推薦任意型號都>512M

CPU 表中為CPU標稱主頻，后面為數(shù)量在破解過程中，所關系到的主要設備就是CPU，只要把第二節(jié)中PROC=1260的數(shù)字改成其他頻率，系統(tǒng)就會認為系統(tǒng)TYPE為其他型號，當然CPU數(shù)量也是一個次要決定因素，暫時我們就不考慮Crack 雙CPU的型號了,雖然理論上可行，但是這樣自制出來的cisco ids不確定是否能穩(wěn)定工作。

自制cisco ids的另一個因素就是網(wǎng)卡，建議至少配備2塊Intel 82559芯片的網(wǎng)卡；當然，多一點也可以。在其他型號的網(wǎng)卡和硬件上系統(tǒng)也可以安裝和運行，甚至Vmware里也可以，但是是無法正常抓包工作的，僅僅能做個游戲品罷了。此外，非官方推斷，眾多Dell服務器上配置的Broadcom BCM 5700網(wǎng)卡可能也是可以工作的。正如PIX OS實際可能也支持BCM 5600/5700一樣。

代碼:

sensor# show version

Application Partition:

Cisco Systems Intrusion Detection Sensor, Version 4.1(1)S47

OS Version 2.4.18-5smpbigphys

Platfo

【編輯推薦】

1. Cisco防火墻服務模塊應用檢查拒絕服務漏洞
2. Cisco PIX防火墻配置命令大全
3. 思科IOS防火墻命令解析
4. 了解思科PIX和ASA之間的不同
5. Cisco IOS防火墻的安全規(guī)則和配置方案