ZADANIE.05
Transkrypt
ZADANIE.05
ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Imię Nazwisko ZADANIE.05 IDS / IPS -1- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa ISP LDZ 212.191.89.192/28 dmz security-level 50 outside security-level 0 ISP BACKBONE 79.96.21.160/28 212.191.89.0/26 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 VLAN Dyrekcja 10.G.20.0/24 sec.lev.85 VLAN Pracownicy ISP WRO 212.191.89.224/28 ISP GDA sec.lev.80 212.191.89.208/28 dmz security-level 50 outside security-level 0 dmz security-level 50 outside security-level 0 212.191.89.128/26 subinterfaces, trunk subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja VLAN Dyrekcja sec.lev.85 212.191.89.64/26 10.G.20.0/24 sec.lev.85 VLAN Pracownicy 10.G.20.0/24 VLAN Pracownicy sec.lev.80 sec.lev.80 -2- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa 1. IDS / IPS (ASA) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Skonfigurować system IPS tak aby: o wykrywał sygnatury typu attack w sieci Pracownicy, o wykrywał sygnatury typu attack w sieci Dyrekcja, o wykrywał sygnatury typu info oraz attack w sieci outside, o reagował na wykryte anomalie alarmem do serwera Syslog oraz resetem połączenia. Przeprowadzić testy akceptacyjne systemu IPS, w tym celu wykorzystać przykładowe naruszenia reguł bezpieczeństwa: o sygnatura info: zwykły ping do interfejsu ASA, o sygnatura attack: ping z dużą liczbą bajtów (konieczna fragmentacja) do interfejsu ASA, o sygnatury info i attack: skanowanie z użyciem narzędzia takiego jak NMapWin. -3- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa -4- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Materiał pomocniczy Konfiguracja IPS na ASA Zdefiniowanie polityki systemu IPS (rodzaj sygnatur: info, attack; reakcja w przypadku wykrycia dopasowania do sygnatury: alarm, drop, reset): ASA(config)# ip audit name policy_name {info | attack} action {alarm | drop | reset} Przypisanie skonfigurowanej polityki systemu IPS do wybranego interfejsu: ASA(config)# ip audit interface interface_name policy_name Wyłączenie sygnatury o wybranym ID: ASA(config)# ip audit signature sig_id disable Weryfikacja działania systemu IPS Sprawdzenie liczników systemu IPS: ASA(config)# show ip audit count Sprawdzenie konfiguracji systemu IPS: ASA(config)# show running-config -5- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa 2. IDS / IPS (router) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Zainstalować Cisco IOS IPS na Router: o Utworzyć regułę IPS o dowolnej nazwie. o Skonfigurować IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF). o Określić umiejscowienie sygnatur SDF (utworzyć w pamięci flash dowolny folder i podać go jako miejsce przechowywania sygnatur). o Wybrać/Włączyć kategorie sygnatur, które będą obsługiwane/analizowane przez Router. o Dodać utworzoną regułę IPS do wybranego interfejsu. o Pobrać i załadować plik z sygnaturami IOS IPS do Router. o Dodać sygnatury wyłącznie z kategorii ios_ips o Zarządzać (tuning) sygnaturami czyli ustalić politykę dotyczącą wybranych sygnatur (włączenie, wyłączenie, działanie) i wykazać różnicę w działaniu. W tym celu wybrać dowolne sygnatury (tak wiele jak liczna jest podgrupa), omówić je i pokazać w praktyce jak przebiega atak i jak IPS przed nim chroni gdy wybrana sygnatura jest włączona: http://tools.cisco.com/security/center/search.x?currentPage=1&toggle=2&sea rch=Signature&keyWords=&selectedCriteria=O&date1=&date2=&severity=1++5&urgency=1++5&sigDate1=&sigDate2=&alarmSeverity=All&release=&signatureVendors=All Skonfigurować serwer logowania Syslog albo SDEE. Zweryfikować konfigurację – użyć poleceń show, clear, debug. -6- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Materiał pomocniczy Instalacja Cisco IOS IPS na Router Utworzenie reguły IPS o dowolnej nazwie, za pomocą której reguła zostanie później dodana do wybranego interfejsu: Router(config)# ip ips name nazwa [list acl] ACL z regułami permit określa, który ruch będzie sprawdzany przez IPS; z regułami deny, który ruch nie będzie sprawdzany. Konfiguracja IOS IPS Crypto Key (klucz kryptograficzny dla sygnatur SDF): crypto key pubkey-chain rsa named-key realm-cisco.pub signature key-string 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001 quit exit exit Określenie umiejscowienia pliku z sygnaturami SDF (jeśli brak tego polecenia zostaną użyte sygnatury wbudowane w IOS): Router(config)# ip ips config location url -7- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Wybranie kategorii sygnatur, które będą obsługiwane/analizowane przez Router: Router(config)# ip ips signature-category Router(config-ips-category)# category ? adware/spyware Adware/Spyware (more sub-categories) all All Categories attack Attack (more sub-categories) ddos DDoS (more sub-categories) dos DoS (more sub-categories) email Email (more sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network Services (more sub-categories) os OS (more sub-categories) other_services Other Services (more sub-categories) p2p P2P (more sub-categories) reconnaissance Reconnaissance (more sub-categories) releases Releases (more sub-categories) viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories) web_server Web Server (more sub-categories) Ze względu na bardzo duża liczbę sygnatur należy w pierwszej kolejności wyłączyć wszystkie sygnatury w kategorii all: Router(config-ips-category-action)# retired true A następnie włączyć tylko wybrane kategorie: Router(config-ips-category-action)# retired false Dodanie reguły IPS do wybranego interfejsu: Router(config-if)# ip ips nazwa {in | out} -8- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Pobranie i załadowanie pliku z sygnaturami IOS IPS do Router: Router# copy tftp://adres_IP/nazwa_pliku idconf Zarządzanie sygnaturami czyli ustalenie polityki dotyczącej wybranych sygnatur: Retire – sygnatura albo kategoria sygnatur nie zostanie skompilowana (brak możliwości jej używania) Unretire - sygnatura albo kategoria sygnatur zostanie skompilowana (będzie możliwość jej używania) -9- ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Przykład: sygnatura 6130 z subsygnaturą 10 (brak kompilacji): router(config)# ip ips signature−definition router(config−sigdef)# signature 6130 10 router(config−sigdef−sig)# status router(config−sigdef−sig−status)# retired true Przykład: kategoria IOS IPS Basic (kompilacja): router(config)# ip ips signature−category router(config−ips−category)# category ios_ips basic router(config−ips−category−action)# retired false Enable – tylko poprawnie skompilowana i włączona sygnatura będzie generować działania. Disable - poprawnie skompilowana i wyłączona sygnatura nie będzie generować działań. Przykład: sygnatura 6130 z subsygnaturą 10 (wyłączenie): router(config)# ip ips signature−definition router(config−sigdef)# signature 6130 10 router(config−sigdef−sig)# status router(config−sigdef−sig−status)# enabled false Przykład: kategoria IOS IPS Basic (włączenie wszystkich sygnatur): router(config)# ip ips signature−category router(config−ips−category)# category ios_ips basic router(config−ips−category−action)# enabled true - 10 - ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Signature Actions Zmiana działania po wykryciu zgodności ruchu z sygnaturą. Przykład: sygnatura 6130 z subsygnaturą 10: router(config)# ip ips signature−definition router(config−sigdef)# signature 6130 10 router(config−sigdef−sig)# engine router(config−sigdef−sig−engine)# event−action produce−alert router(config−sigdef−sig−engine)# event−action deny−packet−inline router(config−sigdef−sig−engine)# event−action reset−tcp−connection Przykład: kategoria IOS IPS Basic: router(config)# ip ips signature−category router(config−ips−category)# category ios_ips basic router(config−ips−category−action)# event−action produce−alert router(config−ips−category−action)# event−action deny−packet−inline router(config−ips−category−action)# event−action reset−tcp−connection - 11 - ZADANIE.05 Procesy Bezpieczeństwa Sieciowego v.2011alfa Konfiguracja serwera logowania Syslog albo SDEE Wybór i konfiguracja serwer logowania zdarzeń z systemu IPS (Syslog albo SDEE): Router(config)# ip ips notify {log | sdee} Weryfikacja konfiguracji Polecenia show: Router# show ip ips configuration Router# show ip ips signatures [detailed | count] Router# show ip ips interface Polecenia clear: Router# clear ip ips configuration Router# clear ip ips statistics Router# clear ip sdee Polecenia debug: Router# debug ip ips ? 3. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. - 12 -