I den här laborationen ska du konfigurera ett Intrusion Prevention System (IPS) på en Cisco-router (1941) för att skydda ett LAN-nätverk mot olika typer av attacker. Vi kommer att konfigurera IPS för att övervaka och blockera potentiella hot, särskilt ICMP-baserade attacker, genom att aktivera specifika signaturer. Målet är att IPS ska upptäcka, blockera och logga misstänkta trafikmönster, inklusive ICMP Echo Requests (Ping) som kan användas för att kartlägga nätverket.
Komponenter och teori
- Intrusion Prevention System (IPS): IPS är en säkerhetsfunktion som aktivt övervakar inkommande och utgående trafik i nätverket. Om ett misstänkt eller farligt mönster upptäcks, kan IPS blockera trafiken i realtid. IPS fungerar med signaturer som specificerar regler för vad som anses vara skadlig trafik. I den här laborationen använder vi signaturer för att övervaka ICMP-trafik och blockera potentiella Ping-attacker.
- Signaturer: Signaturer är fördefinierade regler som beskriver specifika typer av trafik eller beteenden som ska övervakas. En signatur identifierar trafik som uppfyller vissa kriterier, som ICMP Echo Requests (Ping), och utlöser åtgärder som att blockera eller logga trafiken. I denna laboration aktiverar vi signatur 2004 för att blockera ICMP Echo Requests.
- Syslog: Syslog är ett standardiserat protokoll som används för att skicka logg-meddelanden till en central server. Genom att aktivera Syslog på routern kan IPS-genererade händelser loggas och övervakas på en central Syslog-server, vilket underlättar felsökning och övervakning.
Topologi
Observera att L2-switchar i nätverk används främst för att vidarebefordra trafik på Layer 2 (datalänklagret) och hantera enheter inom samma nätverkssegment för lokal kommunikation. Intrusion Prevention Systems (IPS) är en säkerhetsfunktion som aktivt övervakar och inspekterar trafik på Lager 3 (nätverkslagret) och uppåt, och är oftast konfigurerat på routrar och brandväggar.
Konfigurationer
IPS konfiguration:
- Skapa en katalog för IPS-konfiguration
- R1#mkdir digintoIPS
- Ange sökvägen till IPS-konfigurationsplats
- R1(config)#ip ips config location flash:digintoIPS
- Skapa en IPS-policy med ett namn, t.ex. iosps
- R1(config)#ip ips name iosips
- Aktivera notifiering via Syslog. IP-händelser loggas och skickas till SYSLOG-servern
- R1(config)#ip ips notify log
- Konfigurera IPS att stänga ned vid fel så att nätverkstrafik blockeras.
- R1(config)#ip ips fail closed
- Hantera signaturkategorier. Inaktivera först alla signaturer och aktivera sedan specifika grundläggande signatur.
- R1(config)#ip ips signature-category
- R1(config-ips-category)#category all
- R1(config-ips-category-action)#retired true
- R1(config-ips-category)#category ios_ips basic
- R1(config-ips-category-action)#retired false
- Aktivera IPS på interfacet
- R1(config)#interface g0/1
- R1(config-if)#ip ips iosips out
- Konfigurera en specifik signatur
- R1(config)#ip ips signature-definition
- Aktivera signatur 2004 (retired false och enabled true) för ICMP Echo Request övervakning
- R1(config-sigdef)#signature 2004 0
- R1(config-sigdef-sig)#status
- R1(config-sigdef-sig-status)#retired false
- R1(config-sigdef-sig-status)#enabled true
- Definiera och tillämpa åtgärder för signaturen
- R1(config-sigdef-sig)#engine
- R1(config-sigdef-sig-engine)#event-action deny
- Obs. Om signatur 2004 upptäcker en attack, kommer trafiken att blockeras.
- R1(config-sigdef-sig-engine)#event-action deny-packet-inline
- Slutför och tillämpa konfigurationen (exit flera ggr)
- R1(config-sigdef)#exit
Efter att du har avslutat signaturkonfigurationen och accepterat de gjorda ändringarna, bör du testa att pinga från den externa IP-adressen 190.82.100.82 till en intern host. När IPS blockerar denna trafik, kommer routern att skicka loggmeddelanden till Syslog-servern.
Att pinga från en host i det lokala nätverket till en extern enhet kommer att fungera normalt, medan ping-förfrågningar från externa enheter till interna enheter ska blockeras omedelbart, och dessa blockeringar kommer att loggas av IPS och skickas till Syslog-servern för vidare analys.