ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -



Podobne dokumenty
ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.10 DHCP (Router, ASA) 1,5h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h


Wprowadzenie do obsługi systemu IOS na przykładzie Routera

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Ćwiczenie Konfiguracja i weryfikacja list kontroli dostępu w IPv6 Topologia

Interfejsy: Ethernet do połączenia z siecią LAN Serial do połączenia z siecią WAN. pełną konfigurację urządzenia. Zadanie

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

ZiMSK NAT, PAT, ACL 1

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

Laboratorium Użycie wiersza poleceń w celu zebrania informacji na temat urządzeń sieciowych

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

Budowa i konfiguracja sieci komputerowej cz.2

Ćwiczenie Rozwiązywanie problemów z konfiguracją i miejscem ustawienia listy ACL w sieci Topologia

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń)

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń) 1h

Ćwiczenie Konfiguracja routingu między sieciami VLAN

Systemy bezpieczeństwa sieciowego

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Topologia sieci. Cele nauczania.

Podstawy Sieci Komputerowych Laboratorium Cisco zbiór poleceń

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

7. Konfiguracja zapory (firewall)

Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Laboratorium - Dostęp do urządzeń sieciowych za pomocą SSH

Telefon AT 530 szybki start.

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Podstawowe polecenia konfiguracyjne dla Cisco IOS (Routery z serii 2600 IOS 12.1)

dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

Ćwiczenie Rozwiązywanie problemów związanych z konfiguracją NAT)

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Mobilna komunikacja VoIP

Wykaz zmian w programie SysLoger

Listy dostępu systemu Cisco IOS

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instrukcja obsługi rejestratorów XVR. Zapoznaj się przed użyciem

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Ćwiczenie Rozwiązywanie problemów związanych z DHCPv6

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Bezpieczeństwo Sieci Korporacyjnych, v1.0 Temat Laboratorium: IPS

MBUM #2 MikroTik Beer User Meeting

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Ćwiczenie Wykrywanie błędów w routingu między sieciami VLAN

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat hasła SOHO (ang. Small Office/Home Office).

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

Instrukcja do laboratorium 1. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

11. Autoryzacja użytkowników

Laboratorium 3.4.2: Zarządzanie serwerem WWW

1.1 Ustawienie adresów IP oraz masek portów routera za pomocą konsoli

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

Bezpieczeństwo Systemów Sieciowych

VLAN-Cisco. 1. Login/Hasło. 2. Połączenie z Cisco: Cisco: admin admin. Jest możliwe połączyć się za pomocą polecania minicom lub telnet.

Laboratorium Zabezpieczanie urządzeń sieciowych

PBS. Wykład Podstawy zabezpieczeń routerów

Telefon IP 620 szybki start.

Routing dynamiczny konfiguracja CISCO

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Warsztaty ewon. efive

Robaki sieciowe. + systemy IDS/IPS

SKRÓCONA INSTRUKCJA OBSŁUGI. Kamery IP W BOX

Transkrypt:

Imię Nazwisko ZADANIE.01 IDS / IPS - 1 -

212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk 212.191.89.0/26 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 212.191.89.224/28 ISP WRO VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 ISP GDA 212.191.89.208/28 dmz security-level 50 dmz security-level 50 outside security-level 0 212.191.89.128/26 outside security-level 0 212.191.89.64/26 subinterfaces, trunk 172.16+G.0.0/16 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80 VLAN Dyrekcja sec.lev.85 10.G.20.0/24 VLAN Pracownicy sec.lev.80-2 -

1. IDS / IPS (ASA) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Wybrać jedną sygnaturę typu attack lub info (dowolną, każdy swoją) i zapoznać się z atakiem, przed którym ona chroni. Skonfigurować system IPS tak aby: o wykrywał sygnatury typu attack lub info w sieci Pracownicy lub Dyrekcja lub outside o reagował na wykryte anomalie alarmem do serwera Syslog oraz resetem połączenia. Przeprowadzić testy akceptacyjne systemu IPS: o przeprowadzić atak i wykazać jego skuteczność (bez włączonego systemu IPS i podpiętej pod niego sygnatury chroniącej przed tym atakiem), o przeprowadzić ten sam atak (z włączonym systemem IPS i podpiętą do niego sygnaturą chroniącą przed tym atakiem) i wykazać skuteczność systemu IPS. Uwaga: W celu przeprowadzenia tego procesu może być potrzebny dodatkowy software (np. jeśli ktoś zdecyduje się np. na podatność w serwerze Apache musi go zainstalować (pamiętając o odpowiedniej wersji!) i pokazać/wykazać co się z nim stanie po przeprowadzeniu ataku). Wydaje się, że najłatwiejsze są ataki na poziomie L3 znikoma potrzeba dodatkowego software (poza prostymi programami pozwalającymi dany atak przeprowadzić). - 3 -

Materiał pomocniczy Konfiguracja IPS na ASA Zdefiniowanie polityki systemu IPS (rodzaj sygnatur: info, attack; reakcja w przypadku wykrycia dopasowania do sygnatury: alarm, drop, reset): ASA(config)# ip audit name policy_name {info attack} action {alarm drop reset} Przypisanie skonfigurowanej polityki systemu IPS do wybranego interfejsu: ASA(config)# ip audit interface interface_name policy_name Wyłączenie sygnatury o wybranym ID: ASA(config)# ip audit signature sig_id disable Weryfikacja działania systemu IPS Sprawdzenie liczników systemu IPS: ASA(config)# show ip audit count Sprawdzenie konfiguracji systemu IPS: ASA(config)# show running-config - 4 -

2. IDS / IPS (router) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Zainstalować Cisco IOS IPS na Router: o Utworzyć regułę IPS o dowolnej nazwie. o Skonfigurować IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF). o Określić umiejscowienie sygnatur SDF (utworzyć w pamięci flash dowolny folder i podać go jako miejsce przechowywania sygnatur). o Wybrać/Włączyć kategorie sygnatur, które będą obsługiwane/analizowane przez Router. o Dodać utworzoną regułę IPS do wybranego interfejsu. o Pobrać i załadować plik z sygnaturami IOS IPS do Router. o Dodać sygnatury wyłącznie z kategorii ios_ips o Zarządzać (tuning) sygnaturami czyli ustalić politykę dotyczącą wybranych sygnatur (włączenie, wyłączenie, działanie) i wykazać różnicę w działaniu. W tym celu wybrać dowolne sygnatury (tak wiele jak liczna jest podgrupa), omówić je i pokazać w praktyce jak przebiega atak i jak IPS przed nim chroni gdy wybrana sygnatura jest włączona: http://tools.cisco.com/security/center/search.x?currentpage=1&toggle=2&sea rch=signature&keywords=&selectedcriteria=o&date1=&date2=&severity=1+- +5&urgency=1+- +5&sigDate1=&sigDate2=&alarmSeverity=All&release=&signatureVendors=All Skonfigurować serwer logowania Syslog albo SDEE. Zweryfikować konfigurację użyć poleceń show, clear, debug. Materiał pomocniczy - 5 -

Instalacja Cisco IOS IPS na Router Utworzenie reguły IPS o dowolnej nazwie, za pomocą której reguła zostanie później dodana do wybranego interfejsu: Router(config)# ip ips name nazwa [list acl] ACL z regułami permit określa, który ruch będzie sprawdzany przez IPS; z regułami deny, który ruch nie będzie sprawdzany. Konfiguracja IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF): crypto key pubkey-chain rsa named-key realm-cisco.pub signature key-string 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001 quit exit exit Określenie umiejscowienia pliku z sygnaturami SDF (jeśli brak tego polecenia zostaną użyte sygnatury wbudowane w IOS): Router(config)# ip ips config location url - 6 -

Wybranie kategorii sygnatur, które będą obsługiwane/analizowane przez Router: Router(config)# ip ips signature-category Router(config-ips-category)# category? adware/spyware Adware/Spyware (more sub-categories) all All Categories attack Attack (more sub-categories) ddos DDoS (more sub-categories) dos DoS (more sub-categories) email Email (more sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network Services (more sub-categories) os OS (more sub-categories) other_services Other Services (more sub-categories) p2p P2P (more sub-categories) reconnaissance Reconnaissance (more sub-categories) releases Releases (more sub-categories) viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories) web_server Web Server (more sub-categories) Ze względu na bardzo duża liczbę sygnatur należy w pierwszej kolejności wyłączyć wszystkie sygnatury w kategorii all: Router(config-ips-category-action)# retired true A następnie włączyć tylko wybrane kategorie: Router(config-ips-category-action)# retired false Dodanie reguły IPS do wybranego interfejsu: Router(config-if)# ip ips nazwa {in out} - 7 -

Pobranie i załadowanie pliku z sygnaturami IOS IPS do Router: Router# copy tftp://adres_ip/nazwa_pliku idconf Zarządzanie sygnaturami czyli ustalenie polityki dotyczącej wybranych sygnatur: Retire sygnatura albo kategoria sygnatur nie zostanie skompilowana (brak możliwości jej używania) Unretire - sygnatura albo kategoria sygnatur zostanie skompilowana (będzie możliwość jej używania) Przykład: sygnatura 6130 z subsygnaturą 10 (brak kompilacji): - 8 -

router(config)# ip ips signature definition router(config sigdef)# signature 6130 10 router(config sigdef sig)# status router(config sigdef sig status)# retired true Przykład: kategoria IOS IPS Basic (kompilacja): router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# retired false Enable tylko poprawnie skompilowana i włączona sygnatura będzie generować działania. Disable - poprawnie skompilowana i wyłączona sygnatura nie będzie generować działań. Przykład: sygnatura 6130 z subsygnaturą 10 (wyłączenie): router(config)# ip ips signature definition router(config sigdef)# signature 6130 10 router(config sigdef sig)# status router(config sigdef sig status)# enabled false Przykład: kategoria IOS IPS Basic (włączenie wszystkich sygnatur): router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# enabled true Signature Actions - 9 -

Zmiana działania po wykryciu zgodności ruchu z sygnaturą. Przykład: sygnatura 6130 z subsygnaturą 10: router(config)# ip ips signature definition router(config sigdef)# signature 6130 10 router(config sigdef sig)# engine router(config sigdef sig engine)# event action produce alert router(config sigdef sig engine)# event action deny packet inline router(config sigdef sig engine)# event action reset tcp connection Przykład: kategoria IOS IPS Basic: router(config)# ip ips signature category router(config ips category)# category ios_ips basic router(config ips category action)# event action produce alert router(config ips category action)# event action deny packet inline router(config ips category action)# event action reset tcp connection - 10 -

Konfiguracja serwera logowania Syslog albo SDEE Wybór i konfiguracja serwer logowania zdarzeń z systemu IPS (Syslog albo SDEE): Router(config)# ip ips notify {log sdee} Weryfikacja konfiguracji Polecenia show: Router# show ip ips configuration Router# show ip ips signatures [detailed count] Router# show ip ips interface Polecenia clear: Router# clear ip ips configuration Router# clear ip ips statistics Router# clear ip sdee Polecenia debug: Router# debug ip ips? 3. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. - 11 -

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres