ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -

Wielkość: px

Rozpocząć pokaz od strony:

Download "ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -"

Julia Komorowska
8 lat temu
Przeglądów:

1 Imię Nazwisko ZADANIE.01 IDS / IPS - 1 -

2 /28 ISP LDZ dmz security-level 50 ISP BACKBONE /28 outside security-level 0 subinterfaces, trunk / G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev G.10.0/ /28 ISP WRO VLAN Dyrekcja sec.lev G.20.0/24 VLAN Pracownicy sec.lev.80 ISP GDA /28 dmz security-level 50 dmz security-level 50 outside security-level /26 outside security-level /26 subinterfaces, trunk G.0.0/16 subinterfaces, trunk G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev G.99.0/24 VLAN Admin sec.lev G.10.0/24 10.G.10.0/24 VLAN Dyrekcja sec.lev G.20.0/24 VLAN Pracownicy sec.lev.80 VLAN Dyrekcja sec.lev G.20.0/24 VLAN Pracownicy sec.lev

191.89.128/26 outside security-level 0 212.191.89.64/26 subinterfaces, trunk 172.16+G.0.0/16 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 10.

3 1. IDS / IPS (ASA) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Wybrać jedną sygnaturę typu attack lub info (dowolną, każdy swoją) i zapoznać się z atakiem, przed którym ona chroni. Skonfigurować system IPS tak aby: o wykrywał sygnatury typu attack lub info w sieci Pracownicy lub Dyrekcja lub outside o reagował na wykryte anomalie alarmem do serwera Syslog oraz resetem połączenia. Przeprowadzić testy akceptacyjne systemu IPS: o przeprowadzić atak i wykazać jego skuteczność (bez włączonego systemu IPS i podpiętej pod niego sygnatury chroniącej przed tym atakiem), o przeprowadzić ten sam atak (z włączonym systemem IPS i podpiętą do niego sygnaturą chroniącą przed tym atakiem) i wykazać skuteczność systemu IPS. Uwaga: W celu przeprowadzenia tego procesu może być potrzebny dodatkowy software (np. jeśli ktoś zdecyduje się np. na podatność w serwerze Apache musi go zainstalować (pamiętając o odpowiedniej wersji!) i pokazać/wykazać co się z nim stanie po przeprowadzeniu ataku). Wydaje się, że najłatwiejsze są ataki na poziomie L3 znikoma potrzeba dodatkowego software (poza prostymi programami pozwalającymi dany atak przeprowadzić)

Skonfigurować system IPS tak aby: o wykrywał sygnatury typu attack lub info w sieci Pracownicy lub Dyrekcja lub outside o reagował na wykryte anomalie alarmem do serwera Syslog oraz resetem

4 Materiał pomocniczy Konfiguracja IPS na ASA Zdefiniowanie polityki systemu IPS (rodzaj sygnatur: info, attack; reakcja w przypadku wykrycia dopasowania do sygnatury: alarm, drop, reset): ASA(config)# ip audit name policy_name {info attack} action {alarm drop reset} Przypisanie skonfigurowanej polityki systemu IPS do wybranego interfejsu: ASA(config)# ip audit interface interface_name policy_name Wyłączenie sygnatury o wybranym ID: ASA(config)# ip audit signature sig_id disable Weryfikacja działania systemu IPS Sprawdzenie liczników systemu IPS: ASA(config)# show ip audit count Sprawdzenie konfiguracji systemu IPS: ASA(config)# show running-config - 4 -

wybranego interfejsu: ASA(config)# ip audit interface interface_name policy_name Wyłączenie sygnatury o wybranym ID: ASA(config)# ip audit signature sig_id disable

5 2. IDS / IPS (router) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Zainstalować Cisco IOS IPS na Router: o Utworzyć regułę IPS o dowolnej nazwie. o Skonfigurować IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF). o Określić umiejscowienie sygnatur SDF (utworzyć w pamięci flash dowolny folder i podać go jako miejsce przechowywania sygnatur). o Wybrać/Włączyć kategorie sygnatur, które będą obsługiwane/analizowane przez Router. o Dodać utworzoną regułę IPS do wybranego interfejsu. o Pobrać i załadować plik z sygnaturami IOS IPS do Router. o Dodać sygnatury wyłącznie z kategorii ios_ips o Zarządzać (tuning) sygnaturami czyli ustalić politykę dotyczącą wybranych sygnatur (włączenie, wyłączenie, działanie) i wykazać różnicę w działaniu. W tym celu wybrać dowolne sygnatury (tak wiele jak liczna jest podgrupa), omówić je i pokazać w praktyce jak przebiega atak i jak IPS przed nim chroni gdy wybrana sygnatura jest włączona: rch=signature&keywords=&selectedcriteria=o&date1=&date2=&severity=1+- +5&urgency=1+- +5&sigDate1=&sigDate2=&alarmSeverity=All&release=&signatureVendors=All Skonfigurować serwer logowania Syslog albo SDEE. Zweryfikować konfigurację użyć poleceń show, clear, debug. Materiał pomocniczy - 5 -

o Określić umiejscowienie sygnatur SDF (utworzyć w pamięci flash dowolny folder i podać go jako miejsce przechowywania sygnatur).

6 Instalacja Cisco IOS IPS na Router Utworzenie reguły IPS o dowolnej nazwie, za pomocą której reguła zostanie później dodana do wybranego interfejsu: Router(config)# ip ips name nazwa [list acl] ACL z regułami permit określa, który ruch będzie sprawdzany przez IPS; z regułami deny, który ruch nie będzie sprawdzany. Konfiguracja IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF): crypto key pubkey-chain rsa named-key realm-cisco.pub signature key-string D0609 2A F70D F A C19E93 A8AF124A D6CC7A A BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B D 20F AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D AE 2F56D EF3C 80CA4F4D 87BFCA3B BFF668E A5 CF31CB6E B4B094D3 F quit exit exit Określenie umiejscowienia pliku z sygnaturami SDF (jeśli brak tego polecenia zostaną użyte sygnatury wbudowane w IOS): Router(config)# ip ips config location url - 6 -

Konfiguracja IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF): crypto key pubkey-chain rsa named-key realm-cisco.

7 Wybranie kategorii sygnatur, które będą obsługiwane/analizowane przez Router: Router(config)# ip ips signature-category Router(config-ips-category)# category? adware/spyware Adware/Spyware (more sub-categories) all All Categories attack Attack (more sub-categories) ddos DDoS (more sub-categories) dos DoS (more sub-categories) (more sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network Services (more sub-categories) os OS (more sub-categories) other_services Other Services (more sub-categories) p2p P2P (more sub-categories) reconnaissance Reconnaissance (more sub-categories) releases Releases (more sub-categories) viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories) web_server Web Server (more sub-categories) Ze względu na bardzo duża liczbę sygnatur należy w pierwszej kolejności wyłączyć wszystkie sygnatury w kategorii all: Router(config-ips-category-action)# retired true A następnie włączyć tylko wybrane kategorie: Router(config-ips-category-action)# retired false Dodanie reguły IPS do wybranego interfejsu: Router(config-if)# ip ips nazwa {in out} - 7 -

sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network

Pobranie i załadowanie pliku z sygnaturami IOS IPS do Router: Router# copy tftp://adres_ip/nazwa_pliku idconf Zarządzanie sygnaturami czyli ustalenie polityki dotyczącej wybranych sygnatur: Retire

8 Pobranie i załadowanie pliku z sygnaturami IOS IPS do Router: Router# copy tftp://adres_ip/nazwa_pliku idconf Zarządzanie sygnaturami czyli ustalenie polityki dotyczącej wybranych sygnatur: Retire sygnatura albo kategoria sygnatur nie zostanie skompilowana (brak możliwości jej używania) Unretire - sygnatura albo kategoria sygnatur zostanie skompilowana (będzie możliwość jej używania) Przykład: sygnatura 6130 z subsygnaturą 10 (brak kompilacji): - 8 -

sygnatur nie zostanie skompilowana (brak możliwości jej używania) Unretire - sygnatura albo kategoria sygnatur

9 router(config)# ip ips signature definition router(config sigdef)# signature router(config sigdef sig)# status router(config sigdef sig status)# retired true Przykład: kategoria IOS IPS Basic (kompilacja): router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# retired false Enable tylko poprawnie skompilowana i włączona sygnatura będzie generować działania. Disable - poprawnie skompilowana i wyłączona sygnatura nie będzie generować działań. Przykład: sygnatura 6130 z subsygnaturą 10 (wyłączenie): router(config)# ip ips signature definition router(config sigdef)# signature router(config sigdef sig)# status router(config sigdef sig status)# enabled false Przykład: kategoria IOS IPS Basic (włączenie wszystkich sygnatur): router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# enabled true Signature Actions - 9 -

włączona sygnatura będzie generować działania. Disable - poprawnie skompilowana i wyłączona sygnatura nie będzie generować działań.

10 Zmiana działania po wykryciu zgodności ruchu z sygnaturą. Przykład: sygnatura 6130 z subsygnaturą 10: router(config)# ip ips signature definition router(config sigdef)# signature router(config sigdef sig)# engine router(config sigdef sig engine)# event action produce alert router(config sigdef sig engine)# event action deny packet inline router(config sigdef sig engine)# event action reset tcp connection Przykład: kategoria IOS IPS Basic: router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# event action produce alert router(config ips category action)# event action deny packet inline router(config ips category action)# event action reset tcp connection

engine)# event action produce alert router(config sigdef sig engine)# event action deny packet inline router(config sigdef sig engine)# event action reset tcp connection Przykład:

11 Konfiguracja serwera logowania Syslog albo SDEE Wybór i konfiguracja serwer logowania zdarzeń z systemu IPS (Syslog albo SDEE): Router(config)# ip ips notify {log sdee} Weryfikacja konfiguracji Polecenia show: Router# show ip ips configuration Router# show ip ips signatures [detailed count] Router# show ip ips interface Polecenia clear: Router# clear ip ips configuration Router# clear ip ips statistics Router# clear ip sdee Polecenia debug: Router# debug ip ips? 3. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/ /whatever

Router# show ip ips interface Polecenia clear: Router# clear ip ips configuration Router# clear ip ips statistics Router# clear ip sdee Polecenia

Podobne dokumenty

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 - Imię Nazwisko ZADANIE.01 NIPS (Network Intrusion Prevention System) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26