ZADANIE.05

ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Imię
Nazwisko
ZADANIE.05
IDS / IPS
-1-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
ISP
LDZ
212.191.89.192/28
dmz
security-level 50
outside
security-level 0
ISP BACKBONE
79.96.21.160/28
212.191.89.0/26
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
10.G.10.0/24
VLAN Dyrekcja
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
ISP
WRO
212.191.89.224/28
ISP
GDA
sec.lev.80
212.191.89.208/28
dmz
security-level 50
outside
security-level 0
dmz
security-level 50
outside
security-level 0
212.191.89.128/26
subinterfaces, trunk
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
VLAN Admin
sec.lev.95
10.G.10.0/24
10.G.10.0/24
VLAN Dyrekcja
VLAN Dyrekcja
sec.lev.85
212.191.89.64/26
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
10.G.20.0/24
VLAN Pracownicy
sec.lev.80
sec.lev.80
-2-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
1. IDS / IPS (ASA)
Zadania
 Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią.
 Skonfigurować system IPS tak aby:
o wykrywał sygnatury typu attack w sieci Pracownicy,
o wykrywał sygnatury typu attack w sieci Dyrekcja,
o wykrywał sygnatury typu info oraz attack w sieci outside,
o reagował na wykryte anomalie alarmem do serwera Syslog oraz
resetem połączenia.
 Przeprowadzić testy akceptacyjne systemu IPS, w tym celu wykorzystać
przykładowe naruszenia reguł bezpieczeństwa:
o sygnatura info: zwykły ping do interfejsu ASA,
o sygnatura attack: ping z dużą liczbą bajtów (konieczna
fragmentacja) do interfejsu ASA,
o sygnatury info i attack: skanowanie z użyciem narzędzia
takiego jak NMapWin.
-3-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
-4-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Materiał pomocniczy
Konfiguracja IPS na ASA
 Zdefiniowanie polityki systemu IPS (rodzaj sygnatur: info, attack;
reakcja w przypadku wykrycia dopasowania do sygnatury: alarm, drop,
reset):
ASA(config)# ip audit name policy_name {info |
attack} action {alarm | drop | reset}
 Przypisanie skonfigurowanej polityki systemu IPS do wybranego
interfejsu:
ASA(config)# ip audit interface interface_name
policy_name
 Wyłączenie sygnatury o wybranym ID:
ASA(config)# ip audit signature sig_id disable
Weryfikacja działania systemu IPS
 Sprawdzenie liczników systemu IPS:
ASA(config)# show ip audit count
 Sprawdzenie konfiguracji systemu IPS:
ASA(config)# show running-config
-5-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
2. IDS / IPS (router)
Zadania
 Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią.
 Zainstalować Cisco IOS IPS na Router:
o Utworzyć regułę IPS o dowolnej nazwie.
o Skonfigurować IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur
SDF).
o Określić umiejscowienie sygnatur SDF (utworzyć w pamięci flash
dowolny folder i podać go jako miejsce przechowywania sygnatur).
o Wybrać/Włączyć kategorie sygnatur, które będą
obsługiwane/analizowane przez Router.
o Dodać utworzoną regułę IPS do wybranego interfejsu.
o Pobrać i załadować plik z sygnaturami IOS IPS do Router.
o Dodać sygnatury wyłącznie z kategorii ios_ips
o Zarządzać (tuning) sygnaturami czyli ustalić politykę dotyczącą
wybranych sygnatur (włączenie, wyłączenie, działanie) i wykazać
różnicę w działaniu.
W tym celu wybrać dowolne sygnatury (tak wiele jak liczna jest
podgrupa), omówić je i pokazać w praktyce jak przebiega atak i jak
IPS przed nim chroni gdy wybrana sygnatura jest włączona:
http://tools.cisco.com/security/center/search.x?currentPage=1&toggle=2&sea
rch=Signature&keyWords=&selectedCriteria=O&date1=&date2=&severity=1++5&urgency=1++5&sigDate1=&sigDate2=&alarmSeverity=All&release=&signatureVendors=All
 Skonfigurować serwer logowania Syslog albo SDEE.
 Zweryfikować konfigurację – użyć poleceń show, clear, debug.
-6-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Materiał pomocniczy
Instalacja Cisco IOS IPS na Router
 Utworzenie reguły IPS o dowolnej nazwie, za pomocą której reguła
zostanie później dodana do wybranego interfejsu:
Router(config)# ip ips name nazwa [list acl]
ACL z regułami permit określa, który ruch będzie sprawdzany przez IPS;
z regułami deny, który ruch nie będzie sprawdzany.
 Konfiguracja IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF):
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
exit
exit
 Określenie umiejscowienia pliku z sygnaturami SDF (jeśli brak tego
polecenia zostaną użyte sygnatury wbudowane w IOS):
Router(config)# ip ips config location url
-7-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
 Wybranie kategorii sygnatur, które będą obsługiwane/analizowane przez
Router:
Router(config)# ip ips signature-category
Router(config-ips-category)# category ?
adware/spyware
Adware/Spyware (more sub-categories)
all
All Categories
attack
Attack (more sub-categories)
ddos
DDoS (more sub-categories)
dos
DoS (more sub-categories)
email
Email (more sub-categories)
instant_messaging
Instant Messaging (more sub-categories)
ios_ips
IOS IPS (more sub-categories)
l2/l3/l4_protocol
L2/L3/L4 Protocol (more sub-categories)
network_services
Network Services (more sub-categories)
os
OS (more sub-categories)
other_services
Other Services (more sub-categories)
p2p
P2P (more sub-categories)
reconnaissance
Reconnaissance (more sub-categories)
releases
Releases (more sub-categories)
viruses/worms/trojans
Viruses/Worms/Trojans (more sub-categories)
web_server
Web Server (more sub-categories)
Ze względu na bardzo duża liczbę sygnatur należy w pierwszej kolejności
wyłączyć wszystkie sygnatury w kategorii all:
Router(config-ips-category-action)# retired true
A następnie włączyć tylko wybrane kategorie:
Router(config-ips-category-action)# retired false
 Dodanie reguły IPS do wybranego interfejsu:
Router(config-if)# ip ips nazwa {in | out}
-8-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
 Pobranie i załadowanie pliku z sygnaturami IOS IPS do Router:
Router# copy tftp://adres_IP/nazwa_pliku idconf
 Zarządzanie sygnaturami czyli ustalenie polityki dotyczącej wybranych
sygnatur:
Retire – sygnatura albo kategoria sygnatur nie zostanie skompilowana
(brak możliwości jej używania)
Unretire - sygnatura albo kategoria sygnatur zostanie skompilowana
(będzie możliwość jej używania)
-9-
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Przykład: sygnatura 6130 z subsygnaturą 10 (brak kompilacji):
router(config)# ip ips signature−definition
router(config−sigdef)# signature 6130 10
router(config−sigdef−sig)# status
router(config−sigdef−sig−status)# retired true
Przykład: kategoria IOS IPS Basic (kompilacja):
router(config)# ip ips signature−category
router(config−ips−category)# category ios_ips basic
router(config−ips−category−action)# retired false
Enable – tylko poprawnie skompilowana i włączona sygnatura będzie
generować działania.
Disable - poprawnie skompilowana i wyłączona sygnatura nie będzie
generować działań.
Przykład: sygnatura 6130 z subsygnaturą 10 (wyłączenie):
router(config)# ip ips signature−definition
router(config−sigdef)# signature 6130 10
router(config−sigdef−sig)# status
router(config−sigdef−sig−status)# enabled false
Przykład: kategoria IOS IPS Basic (włączenie wszystkich sygnatur):
router(config)# ip ips signature−category
router(config−ips−category)# category ios_ips basic
router(config−ips−category−action)# enabled true
- 10 -
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Signature Actions
Zmiana działania po wykryciu zgodności ruchu z sygnaturą.
Przykład: sygnatura 6130 z subsygnaturą 10:
router(config)# ip ips signature−definition
router(config−sigdef)# signature 6130 10
router(config−sigdef−sig)# engine
router(config−sigdef−sig−engine)# event−action
produce−alert
router(config−sigdef−sig−engine)# event−action
deny−packet−inline
router(config−sigdef−sig−engine)# event−action
reset−tcp−connection
Przykład: kategoria IOS IPS Basic:
router(config)# ip ips signature−category
router(config−ips−category)# category ios_ips basic
router(config−ips−category−action)# event−action
produce−alert
router(config−ips−category−action)# event−action
deny−packet−inline
router(config−ips−category−action)# event−action
reset−tcp−connection
- 11 -
ZADANIE.05
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Konfiguracja serwera logowania Syslog albo SDEE
 Wybór i konfiguracja serwer logowania zdarzeń z systemu IPS (Syslog
albo SDEE):
Router(config)# ip ips notify {log | sdee}
Weryfikacja konfiguracji
 Polecenia show:
Router# show ip ips configuration
Router# show ip ips signatures [detailed | count]
Router# show ip ips interface
 Polecenia clear:
Router# clear ip ips configuration
Router# clear ip ips statistics
Router# clear ip sdee
 Polecenia debug:
Router# debug ip ips ?
3. Czynności końcowe
 Zgrać konfiguracje urządzeń na serwer TFTP.
 Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever.
- 12 -