Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập Simulating Cisco IPS

Tập đoàn Hệ thống Cisco là một tập đoàn lớn về các thiết bị liên quan đến mạng máy tính cũng như là về bảo mật. Trong đó, bộ cảm biến Cisco IPS là một trong những thiết bị phần cứng và là một trong những thành phần chính của Hệ thống IDSIPS, góp phần giúp đảm bảo an ninh mạng máy tính. Với đề tài Simulating Cisco IPS, nhóm sẽ mô phỏng một số tính năng của Cảm biến IPS 4215. II. Một số khái niệm  IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh.   IDS là gì?: (Intrusion Detection System) là một thống giám sát lưu thông mạng, các hoạt

z

1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

Khoa Mạng máy tính và truyền thông

BÁO CÁO ĐỒ ÁN

Môn học: Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

Đề tài: Simulating Cisco IPS

Mục lục

I. Giới thiệu đề tài

II. Một số khái niệm

III. Cấu hình cơ bản IPS 4215

1. Thực hiện cấu hình cơ bản qua cổng Console

2. Cấu hình dùng HTTPS:

IV. Một số tính năng chính

1. Thực hiện tính năng IDS trên IPS 4215

2. Thực hiện tính năng IPS trên IPS 4215

3. Tạo Sigature phát hiện Telnet

V. Tài liệu tham khảo

I. Giới thiệu đề tài

Tập đoàn Hệ thống Cisco là một tập đoàn lớn về các thiết bị liên quan đến mạng máytính cũng như là về bảo mật Trong đó, bộ cảm biến Cisco IPS là một trong những thiết bị phầncứng và là một trong những thành phần chính của Hệ thống IDS/IPS, góp phần giúp đảm bảo

an ninh mạng máy tính

Với đề tài Simulating Cisco IPS, nhóm sẽ mô phỏng một số tính năng của Cảm biến IPS 4215

3

II. Một số khái niệm

• IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System) được định nghĩa là

một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thểngăn chặn các nguy cơ gây mất an ninh

• IDS là gì?: (Intrusion Detection System) là một thống giám sát lưu thông mạng, các hoạt

động khả nghi và cảnh báo cho hệ thống, nhà quản trị

• Bộ cảm biến Cisco IPS được tích hợp trong nhiều loại thiết bị của Cisco:

- Thiết bị IPS độc lập (chuyên dụng): các bộ cảm biến dòng Cisco IPS 4200

- Cisco AIM-IPS, NME-IPS được tích hợp trong các bộ định tuyến Cisco (router)

- Dòng sản phẩm ASA 5500 được tích hợp IPS

• Cảm biến IPS 4215 thuộc dòng cảm biến Cisco IPS 4200 Đây là các bộ cảm biến IPS độclập và chuyên dụng Các thiết bị này có thể vận chuyển thông lượng lên tới 4Gbps

• Chức năng cảm biến IPS:

- Cảm biến IPS phân tích các packet khi chúng đi vào cổng (interface) của cảm biến

-Cảm biến so sánh lưu lượng xấu với các signature của IPS để đưa ra các phản ứng thích hợp: ngưng lưu lượng, gửi cảnh báo cho người quản trị mạng

III. Cấu hình cơ bản IPS 4215

• Mô tả: thực hiện các bước cấu hình cơ bản để cho phép quản trị IPS 4215 dùng IDM.

1. Thực hiện cấu hình cơ bản qua cổng Console

Yêu cầu:

- Phần mềm tạo máy ảo WMWARE.

- Source Cisco IPS 4215

Bước 1: Open CiscoIPS trên wmware

 Trên wmware ta có 3 cổng mạng, trong đó:

Bước 3: Cấu hình địa chỉ IP cho Cisco IPS Thêm địa chỉ vào access-list

Bước 1: Cài đặt Java 6 trên máy giám sát.

Bước 2: Cấu hình địa chỉ IP trên máy giám sát cùng lớp mạng với Cisco IPS Cụ thể IP của

máy giám sát là 10.215.219.200

 Sau đó, tiến hành ping thử đến Cisco IPS

7

 Ping thành công.

Bước 3: Vào Internet Explorer truy cập địa chỉ IP của IPS: https://10.215.219.234

Bước 4: Giao diện cài đặt chương trình sẽ hiện ra Thực hiện các bước dưới sau.

Chọn OK

 Chọn Yes

9

 Gõ tài khoản đăng nhập Cisco IPS 4215 Chọn OK.

 Phần mềm Cisco IDM bắt đầu khởi động

 Giao diện chương trình sau khi cài đặt hoàn tất.

Tại phần Network ta thấy một số thông tin của Cisco IPS 4215:

- Hostname: Tên của Cisco IPS 4215

- IP Address: địa chỉ IP của Cisco IPS 4215

- Web Server Settings:

“Web server port: 443” là cổng kết nối https đến Cisco IPS

- Remote Access: Đánh dấu vào Enable Telnet để bật tắt telnet cho Cisco IPS

13

IV. Một số tính năng chính

1. Thực hiện tính năng IDS trên IDS 4215

- Mô tả: Đưa ra cảnh báo khi máy victim bị attacker scan port

- Thực hiện:

Bước 1: Tại máy attacker ta tải công cụ NMAP để thực hiện scan port máy victim

 Mở NMAP, mục Target ta điền địa chỉ IP máy victim, mục Profile ta chọn tính năng làscan port Sau đó ta nhấn scan.

Chương trình bắt đầu scan port Bước 2: Quay lại máy giám sát, mở Cisco IDM, chọn mục Monitoring  Events  View

15

 Ta thấy Cisco IPS 4215 phát hiện được và đưa ra các cảnh báo như phát hiện gói ICMP, phát hiện scan port TCP, sử dụng công cụ NMAP …

 Các cảnh báo này được thực hiện từ các Sig ID 3002, 5575, 2004, 3040, 3046 và 3041 Mặc định Cisco IPS 4215 đã bật sẵn các Sig này



2. Thực hiện tính năng IPS trên IDS 4215

- Mô tả: Thực hiện cảnh báo khi máy victim nhận được gói ICMP Echo Request.

 Kế tiếp ta click phải chuột chọn Actions… hộp thoại Assign Actions hiện ra ta tick vào

ô Produce Verbose Alert và chọn OK để bật tính năng cảnh báo khi có hành động ICMP Echo Request Sau cùng chọn Apply.

17

Bước 2: Tại máy attacker ta tiến hành ping đến máy victim

Bước 3: Quay lại máy giám sát, mở Cisco IDM chọn Monitoring, chọn Events, chọn

View để xem các cảnh báo

 Ta thấy lúc 8:26 Cisco IPS 4215 phát hiện gói ping và đưa ra cảnh báo ICMP Echo Request Để xem chi tiết cảnh báo này ta nhấn vào Details…

19

 Ta thấy, thông tin chi tiết hiển thị địa chỉ IP máy attacker là 192.168.1.2 gửi gói IMCP đếnmáy victim có địa chỉ 192.168.1.3.

Phần triggerPacket là nội dung gói tin đã gửi và gửi từ cổng giga0/1

Nếu muốn loại bỏ gói ICMP gửi đến ta có thể chọn thêm mục Deny Packet Inline trong mụcActions của Sig ID 2004

Lúc này gói ICMP sẽ bị loại bỏ và không ping được.

3. Tạo Sigature phát hiện Telnet

- Mô tả: cảnh báo khi attacker thực hiện telnet vào máy victim

- Thực hiện:

Bước 1: Tại máy giám sát, mở Cisco IDM, chọn Configuration, mục Signature

Definition chọn Custom Signature Wizard, nhấn Start the Wizard

21

 Thực hiện các bước sau:

Chọn Yes, sau đó Next

Tại dòng Signature ID điền số ID cho Sig 60001, Signature Name là tên Sig Sau đó nhấn Next

Sau đó ta cấu hình như sau

23

Ta chọn Yes để xác nhận Add Sig mới tạo.

Ta thấy Sig vừa tạo có trong danh sách Sig

Bước 2: Thực hiện telnet từ máy attaacker đến máy victim Ta nhận được thông báo

telnet thất bại.

Bước 3: Kiểm tra cảnh báo, mở Cisco IDM chọn Monitoring  Events  View

Ta thấy Cisco IPS 4215 đã phát hiện được Attack Telnet

Cụ thể ta thấy attacker địa chỉ IP là 192.168.1.2 thực hiện telnet đến victim 192.168.1.3

ở cổng 23, thực hiện qua cổng mạng giga 0/1

V. Tài liệu tham khảo

- Cisco Intrusion Prevention System Sensor CLI Configuration Guide for IPS 6.1

- CCSP Labpro – IPS & CSMARS

- đặt-virtual-cisco-ips-trên-vmware-6

http://www.vnpro.org/forum/forum/ccnp-security-®-ccsp/ips/18535-cần-trợ-giúp-cài-29