Labb 32: IPS

Labb 31: SNMP och Syslog          Inledning till VLAN

I den här laborationen kommer du att konfigurera ett Intrusion Prevention System (IPS) på en Cisco 1941-router för att skydda ett LAN-nätverk mot olika typer av attacker. IPS används för att övervaka nätverkstrafik i realtid och för att blockera misstänkt eller skadlig trafik innan den når sitt mål. Genom att aktivera specifika signaturer kan du upptäcka och blockera olika typer av hot, såsom ICMP-baserade attacker.

För att kunna implementera IPS på din Cisco-router krävs att säkerhetsmodulen Technology-package SecurityK9 är aktiverad. Denna licens ger tillgång till avancerade säkerhetsfunktioner, inklusive IPS. Standardlicensen på många Cisco-enheter inkluderar inte IPS-funktionalitet, och du kommer att behöva en uppgradering till SecurityK9 License för att konfigurera och använda IPS.

Bilden visar att securityk9 typ evaluation har installerats

Komponenter och teori

  • Intrusion Prevention System (IPS): IPS är en säkerhetsfunktion som aktivt övervakar inkommande och utgående trafik i nätverket. Om ett misstänkt eller farligt mönster upptäcks, kan IPS blockera trafiken i realtid. IPS fungerar med signaturer som specificerar regler för vad som anses vara skadlig trafik. I den här laborationen använder vi signaturer för att övervaka ICMP-trafik och blockera potentiella Ping-attacker.
  • Signaturer: Signaturer är fördefinierade regler som beskriver specifika typer av trafik eller beteenden som ska övervakas. En signatur identifierar trafik som uppfyller vissa kriterier, som ICMP Echo Requests (Ping), och utlöser åtgärder som att blockera eller logga trafiken. I denna laboration aktiverar vi signatur 2004 för att blockera ICMP Echo Requests.
  • Syslog: Syslog är ett standardiserat protokoll som används för att skicka logg-meddelanden till en central server. Genom att aktivera Syslog på routern kan IPS-genererade händelser loggas och övervakas på en central Syslog-server, vilket underlättar felsökning och övervakning.

Topologi

Observera att Intrusion Prevention Systems (IPS) är en säkerhetsfunktion som aktivt övervakar och inspekterar trafik på Lager 3 (nätverkslagret) och uppåt, och är oftast konfigurerat på routrar och brandväggar.

Konfigurationer

  • Syslog och NTP server
  • IP Address: 192.168.10.3
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.10.1
  • DNS server: 0.0.0.0
  • PC1
  • IP Address: 192.168.10.4
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.10.1
  • DNS server: 0.0.0.0
  • PC2
  • IP Address: 192.168.10.5
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.10.1
  • DNS server: 0.0.0.0
  • Switch konfiguration
  • S1(config)# interface vlan 1
  • S1(config-if)# ip address 192.168.10.2 255.255.255.0
  • S1(config-if)# no shutdown
  • S1(config-if)# exit
  • S1(config)# ip default-gateway 192.168.10.1
  • S1(config-if)# end
  • S1# copy running-config startup-config

Extern host

  • IP Address: 190.82.100.82
  • Subnet Mask: 255.255.255.0
  • Default Gateway: 192.168.10.1
  • DNS server: 0.0.0.0

IPS konfiguration:

  • Aktivera en demo-licens 
  • R1(config)# license boot module c1900 technology-package securityk9
  • R1(config)# exit
  • Acceptera modulens license genom att skriva "Yes"
  • R1# copy running-config startupconfig
  • R1# reload
  • Skapa en katalog för IPS-konfiguration
  • R1# mkdir digintoIPS
  • Ange sökvägen till IPS-konfigurationsplats (digintoIPS)
  • R1(config)# ip ips config location flash:digintoIPS
  • Skapa en IPS-policy med ett namn, t.ex. iosps
  • R1(config)# ip ips name iosips
  • Aktivera notifiering via Syslog. IP-händelser loggas och skickas till SYSLOG-servern
  • R1(config)# ip ips notify log
  • R1(config)# logging 192.168.10.3
  • R1(config)# logging trap debugging
  • Konfigurera IPS att stänga ned vid fel så att nätverkstrafik blockeras.
  • R1(config)# ip ips fail closed
  • Hantera signaturkategorier. Inaktivera först alla signaturer och aktivera sedan specifika grundläggande signatur.
  • R1(config)# ip ips signature-category
  • R1(config-ips-category)#category all
  • R1(config-ips-category-action)#retired true
  • R1(config-ips-category-action)# exit
  • R1(config-ips-category)#category ios_ips basic
  • R1(config-ips-category-action)#retired false
  • R1(config-ips-category-action)# exit
  • R1(config-ips-category)# exit
  • Acceptera ändringarna genom att trycka på Enter [confirm]
  • Aktivera IPS på interfacet g0/1
  • R1(config)# interface g0/1
  • R1(config-if)# ip ips iosips out
  • R1(config-if)# exit
  • Konfigurera en specifik signatur
  • R1(config)# ip ips signature-definition
  • Aktivera signatur 2004 (retired false och enabled true) för ICMP Echo Request övervakning
  • R1(config-sigdef)# signature 2004 0
  • Obs. Om signatur 2004 upptäcker en attack, kommer trafiken att blockeras.
  • R1(config-sigdef-sig)# status
  • R1(config-sigdef-sig-status)# retired false
  • R1(config-sigdef-sig-status)# enabled true
  • R1(config-sigdef-sig-status)# exit
  • Definiera och tillämpa åtgärder för signaturen
  • R1(config-sigdef-sig)# engine
  • R1(config-sigdef-sig-engine)# event-action deny-packet-inline
  • Slutför och tillämpa konfigurationen (exit flera ggr)
  • R1(config-sigdef-sig-engine)# exit
  • R1(config-sigdef-sig)# exit
  • R1(config-sigdef)# exit
  • Do you want to accept these changes? [confirm]?
  • Acceptera ändringarna genom att trycka på Enter [confirm]
  • R1(config)#

Efter att du har avslutat signaturkonfigurationen och accepterat de gjorda ändringarna, bör du testa att pinga från den externa IP-adressen 190.82.100.82 till en intern host. När IPS blockerar denna trafik, kommer routern att skicka loggmeddelanden till Syslog-servern.

Att pinga från en host i det lokala nätverket till en extern enhet kommer att fungera normalt, medan ping-förfrågningar från externa enheter till interna enheter ska blockeras omedelbart, och dessa blockeringar kommer att loggas av IPS och skickas till Syslog-servern för vidare analys.

Loggdetaljer

  • %IPS-4-SIGNATURE:

    • Detta är källan till loggen, vilket indikerar att IPS (Intrusion Prevention System) har upptäckt en händelse relaterad till en signatur.
    • Siffran "4" representerar allvarlighetsnivån enligt Cisco-loggnivåer, där "4" motsvarar warning.

  • Sig:2004 Subsig:0:

    • Sig:2004: Indikerar att signatur 2004 har aktiverats. Denna specifika signatur övervakar ICMP Echo Requests (ping-förfrågningar).
    • Subsig:0: Representerar en underkategori av signaturen. Om det bara finns en underkategori, visas "0".

  • Sev:25:

    • Severity (Sev): Anger signaturens allvarlighetsnivå. Skalan är från 0 till 100, där högre värden indikerar allvarligare hot. En nivå på 25 innebär ett måttligt hot.

  • [190.82.100.82 -> 192.168.10.4:0]:

    • 190.82.100.82: Käll-IP-adressen för trafiken som utlöste signaturen (angriparen).
    • 192.168.10.4: Destinations-IP-adressen för trafiken (målenheten).
    • :0: Anger ingen specifik port i detta fall, vilket är vanligt för ICMP-trafik.

  • RiskRating:25:

    • En riskbedömning för händelsen baserad på flera faktorer, inklusive allvarlighetsnivå och sannolik påverkan. Skalan är från 0 till 100, där 25 indikerar en låg till måttlig risk.

Labb 31: SNMP och Syslog          Inledning till VLAN