IKTK-96_Lab08_
.docxФГОБУ ВПО «Санкт-Петербургский государственный университет телекоммуникации им. проф. М.А. Бонч-Бруевича»
Кафедра защищенных систем связи
ОТЧЁТ
по лабораторной работе №5.4.1.2 на тему: «Настройка системы предотвращения вторжений (IPS) IOS с помощью интерфейса командной строки»
по дисциплине «Безопасность компьютерных систем»
Выполнили: студенты группы ИКТК-96
Сухомлинов Д.И.
Орлов М.А
Принял: доцент
Кушнир Д.В.
Addressing Table
Device |
Interface |
IP Address |
Subnet Mask |
Default Gateway |
Switch Port |
R1 |
G0/1 |
192.168.1.1 |
255.255.255.0 |
N/A |
S1 F0/1 |
S0/0/0 |
10.1.1.1 |
255.255.255.252 |
N/A |
N/A |
|
R2 |
S0/0/0 (DCE) |
10.1.1.2 |
255.255.255.252 |
N/A |
N/A |
S0/0/1 (DCE) |
10.2.2.2 |
255.255.255.252 |
N/A |
N/A |
|
R3 |
G0/1 |
192.168.3.1 |
255.255.255.0 |
N/A |
S3 F0/1 |
S0/0/0 |
10.2.2.1 |
255.255.255.252 |
N/A |
N/A |
|
Syslog |
NIC |
192.168.1.50 |
255.255.255.0 |
192.168.1.1 |
S1 F0/2 |
PC-A |
NIC |
192.168.1.2 |
255.255.255.0 |
192.168.1.1 |
S1 F0/3 |
PC-C |
NIC |
192.168.3.2 |
255.255.255.0 |
192.168.3.1 |
S3 F0/2 |
Цели
· Включите IOS IPS.
· Настроить ведение журнала.
· Изменить подпись IPS.
· Проверить IPS.
Предпосылки / Сценарий
Ваша задача - включить IPS на маршрутизаторе R1 для сканирования трафика, входящего в сеть 192.168.1.0.
Сервер с пометкой Syslog используется для регистрации сообщений IPS. Вы должны настроить маршрутизатор для идентификации сервера системного журнала для получения сообщений журнала. Отображение правильного времени и даты в сообщениях системного журнала жизненно важно при использовании системного журнала для мониторинга сети. Установите часы и настройте службу отметок времени для входа на маршрутизаторы. Наконец, разрешите IPS генерировать предупреждение и отбрасывать пакеты эхо-ответа ICMP на ходу.
Сервер и ПК настроены заранее. Маршрутизаторы также предварительно сконфигурированы следующим образом:
o Включить пароль: ciscoenpa55
o Пароль консоли: ciscoconpa55
o Имя пользователя и пароль SSH: SSHadmin / ciscosshpa55
o OSPF 101
Часть 1. Включение IOS IPS
Примечание. В Packet Tracer у маршрутизаторов уже есть импортированные файлы сигнатур. Это XML-файлы по умолчанию во флэш-памяти. По этой причине нет необходимости настраивать открытый криптографический ключ и выполнять импорт файлов подписи вручную.
Шаг 1. Включите пакет технологий безопасности.
а. На R1 введите команду show version, чтобы просмотреть информацию о лицензии Technology Package.
б. Если пакет Security Technology не был включен, используйте следующую команду, чтобы включить пакет.
c. Примите лицензионное соглашение с конечным пользователем.
d. Сохраните рабочую конфигурацию и перезагрузите маршрутизатор, чтобы активировать лицензию безопасности.
е. Убедитесь, что пакет Security Technology был включен с помощью команды show version.
Шаг 2. Проверьте подключение к сети.
а. Отправьте эхо-запрос с ПК-C на ПК-A. Пинг должен быть успешным.
б. Отправьте эхо-запрос с ПК-А на ПК-С. Пинг должен быть успешным.
Шаг 3: Создайте каталог конфигурации IOS IPS во флэш-памяти.
На R1 создайте каталог во флэш-памяти с помощью команды mkdir. Назовите каталог ipsdir.
Шаг 4: Настройте место хранения подписи IPS.
На R1 настройте место хранения подписи IPS как только что созданный каталог.
Шаг 5: Создайте правило IPS.
На маршрутизаторе R1 создайте имя правила IPS с помощью команды ip ips name name в режиме глобальной конфигурации. Назовите правило IPS iosips.
Шаг 6: Включите ведение журнала.
IOS IPS поддерживает использование системного журнала для отправки уведомления о событиях. Уведомление системного журнала включено по умолчанию. Если консоль ведения журнала включена, отображаются сообщения системного журнала IPS.
а. Включите системный журнал, если он не включен.
б. При необходимости используйте команду установки часов из привилегированного режима EXEC, чтобы сбросить часы.
c. Убедитесь, что служба отметок времени для ведения журнала включена на маршрутизаторе с помощью команды show run. Включите службу отметок времени, если она не включена.
d. Отправлять сообщения журнала на сервер системного журнала по IP-адресу 192.168.1.50.
Шаг 7. Настройте IOS IPS для использования категорий подписи.
Удалите категорию всех подписей с помощью удаленной команды true (все подписи в выпуске подписи). Отмените исключение категории IOS_IPS Basic с помощью удаленной команды false.
Шаг 8: Примените правило IPS к интерфейсу.
Примените правило IPS к интерфейсу с помощью команды ip ips name direction в режиме настройки интерфейса. Примените исходящее правило к интерфейсу G0 / 1 маршрутизатора R1. После включения IPS в консольную строку будут отправлены некоторые сообщения журнала, указывающие, что механизмы IPS инициализируются.
Примечание. Направление внутрь означает, что IPS проверяет только трафик, входящий в интерфейс. Точно так же out означает, что IPS проверяет только трафик, выходящий из интерфейса.
Часть 2: изменение подписи
Шаг 1. Измените действие подписи.
Отмените удаление подписи эхо-запроса (подпись 2004, идентификатор подписки 0), включите ее и измените действие подписи на предупреждение и сброс.
Шаг 2: Используйте команды show для проверки IPS.
Используйте команду show ip ips all для просмотра сводки состояния конфигурации IPS.
К каким интерфейсам и в каком направлении применяется правило iosips?
G0/1 outbound.
Шаг 3: Убедитесь, что IPS работает правильно.
а. С компьютера PC-C попытайтесь проверить связь с компьютером PC-A. Пинги прошли успешно? Объяснять.
Пинг не прошли. Это связано с тем, что правило IPS для действия по событию эхо-запроса было установлено на «denypacket-inline».
б. С компьютера PC-A попытайтесь проверить связь с компьютером PC-C. Пинги прошли успешно? Объяснять.
Пинг прошел успешно. Это связано с тем, что правило IPS не распространяется на эхо-ответ. Когда PC-A проверяет связь с PC-C, PC-C отвечает эхо-ответом.
Шаг 4: Просмотрите сообщения системного журнала.
а. Щелкните сервер системного журнала.
б. Выберите вкладку Services.
c. В левом меню навигации выберите SYSLOG, чтобы просмотреть файл журнала.
Шаг 5: Проверьте результаты.
