Configuración Básica IPS, Packet Tracer

Enviado por hannah_em el Vie, 19/05/2017 - 03:16
Configuración Básica IPS, Packet Tracer

Topologia Propuesta:

Topologia Propuesta

*Se utilizaron routers 2811.

En este laboratorio se configurará el cisco IOS IPS, el cual es parte de una característica del IOS Firewall de cisco. Esta nos permite examinar algunos patrones de ataques y alertar o mitigar cuando estos ocurren. El IPS por si solo, no es suficiente para convertir un router en un Firewall para internet, pero cuando le añadimos otras características de seguridad, podemos tener una poderosa defensa. En este ejemplo se activa la protección a la firma 2004 (signature) la cual corresponde al echo request, se realizan pruebas ICMP para verificar su funcionamiento.

El IPS trabaja en base a firmas (signatures), las cuales son un grupo de patrones específicos o características de un único paquete o de un grupo de paquetes. El administrador puede activar, deshabilitar, personalizar y crear nuevas firmas que agrupen las necesidades de la red, donde el sensor (IPS/IDS) esté trabajando.

Configuración en R1:

En un comienzo revisamos la memoria flash del equipo, donde almacenaremos archivos del IPS.
R1#show flash: System flash directory:
File  Length   Name/status
  3   50938004 c2800nm-advipservicesk9-mz.124-15.T1.bin
  2   28282    sigdef-category.xml
  1   227537   sigdef-default.xml
[51193823 bytes used, 12822561 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)

 

Con mkdir, creamos la carpeta "ips" para almacenar firmas y configuraciones del IPS.  También se realizan configuraciones básicas de conectividad entre los equipos.

R1#mkdir ips
Create directory filename [ips]?
Created dir flash:ipsssor board System flash (Read/Write)
R1#conf t
R1(config)#int fas 0/0
R1(config-if)#ip add 10.1.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#int fas 0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#ex
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

 

Con ip ips name creamos la regla con el nombre "ccna" la cual posteriormente activaremos en la interfaz. Luego indicamos la memoria flash como lugar de almacenamiento de configuraciones. Finalmente se definen las categorías de firmas que usaremos (estas firmas están predefinidas en categorías, lo que facilita su clasificación y agrupación).

PRECAUCION: La categoria all contiene todas las firmas disponibles en el dispositivo, si no desactivamos (unretired) esta categoría, el router podría quedar sin memoria. Una buena practica es desactivarlas antes de utilizar otra categoría.

R1(config)#ip ips name ccna
R1(config)#ip ips config location flash:
R1(config)#ip ips signature-category 
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true 
R1(config-ips-category-action)#exit
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false 
R1(config-ips-category-action)#exit 
R1(config-ips-category)#exit
Do you want to accept these changes? [confirm]
Applying Category configuration to signatures ...
%IPS-6-ENGINE_BUILDING: atomic-ip - 288 signatures - 6 of 13 engines
%IPS-6-ENGINE_READY: atomic-ip - build time 30 ms - 
packets for this engine will be scanned


Finalmente aplicamos la regla "ccna" creada anteriormente en la interfaz, ademas podemos escoger la dirección del  trafico a inspeccionar (in: trafico de entrada/ out: trafico de salida).

R1(config)#int fas 0/1
R1(config-if)#ip ips ccna in
R1(config-if)#
%IPS-6-ENGINE_BUILDS_STARTED:  00:09:39 UTC mar. 01 1993
%IPS-6-ENGINE_BUILDING: atomic-ip - 3 signatures - 1 of 13 engines
%IPS-6-ENGINE_READY: atomic-ip - build time 8 ms - packets for this engine will be scanned
%IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 8 ms
R1(config-if)#ip ips ccna out

 

Configuración en R2

Se realizan configuraciones básicas de conectividad.

R2(config)#int fas 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no sh 
R2(config-if)#int fas 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no sh 
R2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.1
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1

 

Configuración en R3

Se realizan configuraciones básicas de conectividad.

R3(config)#int fas 0/1
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no sh 
R3(config-if)#int fas 0/0
R3(config-if)#ip address 192.168.3.1 255.255.255.0
R3(config-if)#no shutdown 
R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2

 

Equipo Terminal

Se realiza ping desde el PC al Server.

 >C:\>ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data: Reply from 192.168.1.3: bytes=32 time=11ms TTL=125
Reply from 192.168.1.3: bytes=32 time=11ms TTL=125
Reply from 192.168.1.3: bytes=32 time=12ms TTL=125
Reply from 192.168.1.3: bytes=32 time=11ms TTL=125

 

Configuración en R1

Cuando utilizamos IOS CLI de cisco, podemos modificar el estado de las firmas y definir acciones a una firma o a un grupo de firmas basadas en categorías. El siguiente ejemplo muestra como desactivar (unretire) la firma de echo request, habilitándola, cambiando su acción a alerta (alert) y denegando paquetes entrantes.

R1(config)#ip ips signature-definition 
R1(config-sigdef)#signature 2004 0
R1(config-sigdef-sig)#status 
R1(config-sigdef-sig-status)#retired false 
R1(config-sigdef-sig-status)#enabled true 
R1(config-sigdef-sig-status)#exit
R1(config-sigdef-sig)#engine 
R1(config-sigdef-sig-engine)#event-action produce-alert 
R1(config-sigdef-sig-engine)#event-action deny-packet-inline 
R1(config-sigdef-sig-engine)#exit
R1(config-sigdef-sig)#exit
R1(config-sigdef)#exit
Do you want to accept these changes? [confirm]
%IPS-6-ENGINE_BUILDS_STARTED:  
%IPS-6-ENGINE_BUILDING: atomic-ip - 303 signatures - 3 of 13 engines
%IPS-6-ENGINE_READY: atomic-ip - build time 480 ms - packets for this engine will be scanned
%IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 648 ms

 

Equipo Terminal

Probamos el ping realizado anteriormente desde PC a server y el IPS actua según lo configurado.

 C:\>ping 192.168.1.3 Pinging 192.168.1.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.3:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

 

Respuesta equipo R1

R1#
%IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:25  [192.168.3.3 -> 192.168.1.3:0] RiskRating:25
 %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:25  [192.168.3.3 -> 192.168.1.3:0] RiskRating:25
 %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:25  [192.168.3.3 -> 192.168.1.3:0] RiskRating:25
 %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:25  [192.168.3.3 -> 192.168.1.3:0] RiskRating:25