ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка системы предотвращения вторжений IOS (IPS) с помощью CLI»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
· Включите IP-адреса IOS.
· Настройте ведение журнала.
· Измените подпись IP-адреса.
· Проверьте IP-адреса.
Ваша задача состоит в том, чтобы включить IP-адреса на R1 для сканирования трафика, поступающего в сеть 192.168.1.0.
Сервер с надписью Syslog используется для регистрации сообщений IPS. Необходимо настроить маршрутизатор так, чтобы он идентифицировал сервер системного журнала для получения сообщений журнала. Отображение правильного времени и даты в сообщениях системного журнала жизненно важно при использовании системного журнала для мониторинга сети. Установите часы и настройте службу меток времени для входа в систему на маршрутизаторах. Наконец, включите IP-адреса для создания предупреждения и удаления встроенных пакетов эхо-ответа ICMP.
Сервер и компьютеры были предварительно настроены. Маршрутизаторы также были предварительно настроены следующим образом:
o Включить пароль: ciscoenpa55
o Пароль консоли: ciscoconpa55
o Имя пользователя и пароль SSH: SSHadmin / ciscosshpa55
o OSPF 101
Шаг 1: Включите пакет технологий безопасности.
a. На R1 выполните команду show version, чтобы просмотреть информацию о лицензии технологического пакета.
b. Если пакет технологий безопасности не был включен, используйте следующую команду, чтобы включить пакет:
R1(config)# license boot module c1900 technology-package securityk9
c. Примите лицензионное соглашение с конечным пользователем.
d. Сохраните текущую конфигурацию и перезагрузите маршрутизатор, чтобы включить лицензию безопасности.
e. Убедитесь, что пакет технологий безопасности включен с помощью команды показать версию.
Шаг 2: Проверьте подключение к сети.
a. Пинг с PC-C на PC-A. Пинг должен быть успешным.
b. Пинг с PC-А на PC-С. Пинг должен быть успешным.
Шаг 3: Создайте каталог конфигурации IPS IOS во flash.
На R1 создайте каталог во flash с помощью команды mkdir. Назовите каталог ipsdir.
Шаг 4: Настройте расположение хранилища подписей IPS.
На R1 настройте хранилище подписей IPS в качестве каталога, который вы только что создали.
Шаг 5: Создайте правило IPS.
На R1 создайте имя правила IPS с помощью команды ip ips name name в режиме глобальной конфигурации. Назовите правило IPS ios ips.
Шаг 6: Включите ведение журнала.
IOS IPS поддерживает использование системного журнала для отправки уведомлений о событиях. Уведомление о системном журнале включено по умолчанию. Если включена консоль ведения журнала, отображаются сообщения системного журнала IPS.
a. Включите системный журнал, если он не включен.
b. При необходимости используйте команду clock set из привилегированного режима EXEC для сброса часов.
c. Убедитесь, что служба отметок времени для ведения журнала включена на маршрутизаторе с помощью команды show run. Включите службу меток времени, если она не включена.
d. Отправляйте сообщения журнала на сервер системного журнала по IP-адресу 192.168.1.50.
Шаг 7: Настройте IP-адреса IOS для использования категорий подписей.
Удалите категорию all signature с помощью команды retired true (все подписи в выпуске signature). Отмените базовую категорию IOS_IPS с удаленной командой false.
R1(config)# ip ips signature-категорияR1(config-ips-category)# category allR1(config-ips-category-action)# retired trueR1(config-ips-category-action)# выходR1(config-ips-category)# category ios_ips basicR1(config-ips-category-action)# retired falseR1(config-ips-category-action)# выходR1(config-ips-cateogry)# выходХотите ли вы принять эти изменения? [подтверждение] <Ввод>
Шаг 8: Примените правило IPS к интерфейсу.
Примените правило IPS к интерфейсу с помощью команды ip ips name direction в режиме конфигурации интерфейса. Примените исходящее правило на интерфейсе G0/1 R1. После включения IP-адресов некоторые сообщения журнала будут отправлены в строку консоли, указывающую, что инициализируются механизмы IP-адресов.
Примечание: Направление в означает, что IPS проверяет только трафик, идущий в интерфейс. Аналогично, out означает, что IPS проверяет только трафик, выходящий из интерфейса.
R1(config)# интерфейс g0/1R1(config-if)# ip ips iosips out
Часть 2: Изменение подписи
Шаг 1: Измените событие-действие подписи.
Отключите сигнатуру эхо-запроса (signature 2004, subsig ID 0), включите ее и измените действие сигнатуры на alert and drop.
R1(config)# ip ips подпись-определениеR1(config-sigdef)# подпись 2004 0R1(config-sigdef-sig)# статусR1(config-sigdef-sig-status)# retired falseR1(config-sigdef-sig-status)# включено trueR1(config-sigdef-sig-status)# выходR1(config-sigdef-sig)# движокR1(config-sigdef-sig-engine)# event-action product-alertR1(config-sigdef-sig-engine)# event-action deny-packet-inlineR1(config-sigdef-sig-engine)# выходR1(config-sigdef-sig)# выходR1(config-sigdef)# выходХотите ли вы принять эти изменения? [подтверждение] <Ввод>
Шаг 2: Используйте команды show для проверки IP-адресов.
Используйте команду show ip ips all для просмотра сводки состояния конфигурации IPS.
К каким интерфейсам и в каком направлении применяется правило iosips?
G0/1 исходящий.
Шаг 3: Убедитесь, что IPS работает правильно.
а) С ПК-С попытайтесь пинговать ПК-А. Были ли пинги успешными? Объяснять.
Пинг должен потерпеть неудачу. Это происходит потому, что правило IPS для event-action эхо-запроса было установлено на “denypacket-inline”.
б. С ПК-А попытайтесь пинговать ПК-С. Были ли пинги успешными? Объяснять.
Пинг должен быть успешным. Это происходит потому, что правило IPS не распространяется на эхо-ответ. Когда PC-A пингует PC-C, PC-C отвечает эхо-ответом.
Шаг 4: Просмотр сообщений системного журнала.
a. Щелкните сервер системного журнала.
b. Выберите вкладку Службы.
c. В левом меню навигации выберите SYSLOG для просмотра файла журнала.