I den här laborationen ska du konfigurera ett nätverk med tre routrar (1941), två switchar (2960), två datorer och en Syslog-server. Nätverket använder RIP version 2 för dynamisk routing.
Ett IPS, Intrusion Prevention System, är en säkerhetsfunktion som används för att övervaka och skydda nätverkstrafik. IPS analyserar inkommande och utgående paket för att upptäcka attacker, misstänkt aktivitet och skadlig trafik.
Till skillnad från ett IDS (Intrusion Detection System), som endast upptäcker och varnar om attacker, kan ett IPS även stoppa trafiken automatiskt. IPS arbetar därför aktivt med att skydda nätverket.
IPS använder regler som kallas signaturer. En signatur beskriver hur en specifik attack eller ett misstänkt trafikmönster ser ut. När nätverkstrafik matchar en signatur kan IPS reagera genom att skapa en varning, logga händelsen eller blockera trafiken.
Vanliga typer av attacker som IPS kan upptäcka är ping floods, SYN floods, port scanning och olika typer av malware-trafik. IPS kan även identifiera försök till informationsinsamling och andra säkerhetshot.
I Cisco IOS kan IPS köras direkt på en router. Administratören väljer vilket interface som ska analyseras och i vilken riktning trafiken ska kontrolleras.
- Om IPS konfigureras med kommandot in analyseras trafiken när den kommer in på interfacet.
- Om out används analyseras trafiken när den lämnar interfacet.
IPS arbetar ofta tillsammans med en Syslog-server. När en attack upptäcks kan IPS skicka loggmeddelanden till Syslog-servern så att administratören kan övervaka nätverket och analysera säkerhetshändelser.
Topologi
Konfigurationer
S1 konfiguration
- S1(config)# no ip domain-lookup
- S1(config)# service password-encryption
- S1(config)# enable secret ensecP@55
- S1(config)# username admin1 privilege 15 secret admin1P@55
- S1(config)# username admin2 privilege 10 secret admin2P@55
- S1(config)# line console 0
- S1(config-line)# login local
- S1(config-line)# logging synchronous
- S1(config-line)# exec-timeout 30 0
- S1(config-line)# exit
- S1(config)# line vty 0 4
- S1(config-line)# login local
- S1(config-line)# logging synchronous
- S1(config-line)# exec-timeout 30 0
- S1(config-line)# transport input all
- S1(config-line)# exit
- S1(config)# interface vlan 1
- S1(config-if)# ip address 192.168.1.2 255.255.255.0
- S1(config-if)# no shutdown
- S1(config-if)# exit
- S1(config-if)# ip default-gateway 192.168.1.1
- S1(config-if)# end
- S1#
S2 konfiguration
- S2(config)# no ip domain-lookup
- S2(config)# service password-encryption
- S2(config)# enable secret ensecP@55
- S2(config)# username admin1 privilege 15 secret admin1P@55
- S2(config)# username admin2 privilege 10 secret admin2P@55
- S2(config)# line console 0
- S2(config-line)# login local
- S2(config-line)# logging synchronous
- S2(config-line)# exec-timeout 30 0
- S2(config-line)# exit
- S2(config)# line vty 0 4
- S2(config-line)# login local
- S2(config-line)# logging synchronous
- S2(config-line)# exec-timeout 30 0
- S2(config-line)# transport input all
- S2(config-line)# exit
- S2(config)# interface vlan 1
- S2(config-if)# ip address 192.168.1.2 255.255.255.0
- S2(config-if)# no shutdown
- S2(config-if)# exit
- S2(config-if)# ip default-gateway 192.168.1.1
- S2(config-if)# end
- S2#
PC1
- IPv4 Address: 192.168.1.4
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.1.1
- DNS server: 0.0.0.0
PC2
- IPv4 Address: 192.168.2.4
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.2.1
- DNS server: 0.0.0.0
Syslog Server
- IPv4 Address: 192.168.1.3
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.1.1
- DNS server: 0.0.0.0
R1 konfiguration
- R1(config)# interface g0/1
- R1(config-if)# description Connected to S1
- R1(config-if)# ip address 192.168.1.1 255.255.255.0
- R1(config-if)# no shutdown
- R1(config-if)# exit
- R1(config)# interface g0/0
- R1(config-if)# description Connected to R2
- R1(config-if)# ip address 10.1.1.1 255.255.255.252
- R1(config-if)# no shutdown
- R1(config-if)# exit
- R1(config)# router rip
- R1(config-router)# version 2
- R1(config-router)# no auto-summary
- R1(config-router)# network 192.168.1.0
- R1(config-router)# network 10.1.1.0
- R1(config-router)# exit
- Syslog
- R1(config)# service timestamps log datetime msec
- R1(config)# logging on
- R1(config)# logging host 192.168.1.3
- R1(config)# logging trap
Dessa kommandon används för att konfigurera Syslog på R1.
- Först aktiveras tidsstämplar så att loggmeddelanden får datum och tid med millisekunder.
- Därefter aktiveras loggning på routern.
- Kommandot logging host 192.168.1.3 anger adressen till Syslog-servern som ska ta emot loggarna.
- Med kommandot logging trap (informational) bestäms vilken nivå av loggmeddelanden som ska skickas till servern.
R2 konfiguration
- R2(config)# interface g0/0
- R2(config-if)# description Connected to R1
- R2(config-if)# ip address 10.1.1.2 255.255.255.252
- R2(config-if)# no shutdown
- R2(config-if)# exit
- R2(config)# interface g0/1
- R2(config-if)# description Connected to R3
- R2(config-if)# ip address 10.2.2.2 255.255.255.252
- R2(config-if)# no shutdown
- R2(config-if)# exit
- R2(config)# router rip
- R2(config-router)# version 2
- R2(config-router)# no auto-summary
- R2(config-router)# network 10.1.1.0
- R2(config-router)# network 10.2.2.0
- R2(config-router)# exit
- R2(config)# end
- R2#
R3 konfiguration
- R3(config)# interface g0/0
- R3(config-if)# description Connected to S2
- R3(config-if)# ip address 192.168.2.1 255.255.255.0
- R3(config-if)# no shutdown
- R3(config-if)# exit
- R3(config)# interface g0/1
- R3(config-if)# description Connected to R2
- R3(config-if)# ip address 10.2.2.1 255.255.255.252
- R3(config-if)# no shutdown
- R3(config-if)# exit
- R3(config)# router rip
- R3(config-router)# version 2
- R3(config-router)# no auto-summary
- R3(config-router)# network 192.168.2.0
- R3(config-router)# network 10.2.2.0
- R3(config-router)# exit
- R3(config)# end
- R3#
IPS-konfiguration på R1
- Verifiera om säkerhetspaketet behöver aktiveras
- Kontrollera först routerns licensstatus:
R1# show version- Om säkerhetspaketet inte är aktivt, aktivera det med följande kommando:
R1(config)# license boot module c1900 technology-package securityk9- Acceptera licensvillkoren genom att skriva yes.
- Spara konfigurationen:
R1# copy running-config startup-config- Starta sedan om routern:
R1# reload- Efter omstart, kontrollera igen med:
R1# show version
- Konfigurera IOS IPS
- Skapa en katalog där IPS-filerna ska sparas
R1# mkdir ipsdir
- Ange var IPS-filer och signaturinformation ska lagras
R1# configure terminalR1(config)# ip ips config location flash:ipsdir
- Skapa en IPS-policy
R1(config)# ip ips name iosips- Här skapas IPS-policyn med namnet
iosips.
- Aktivera IPS-loggning till Syslog
R1(config)# ip ips notify log- Detta gör att IPS-händelser skickas till routerns loggsystem och vidare till Syslog-servern.
- Konfigurera och aktivera IPS-signaturkategorier
R1(config)# ip ips signature-categoryR1(config-ips-category)# category all- Stäng först av alla signaturer:
R1(config-ips-category-action)# retired trueR1(config-ips-category-action)# exit- Aktivera sedan kategorin med grundläggande IPS-signaturer:
R1(config-ips-category)# category ios_ips basicR1(config-ips-category-action)# retired falseR1(config-ips-category-action)# exitR1(config-ips-category)# exit
- Applicera IPS-policyn på ett interface
R1(config)# interface g0/1R1(config-if)# ip ips iosips in- Kommandot gör att inkommande trafik på
G0/1analyseras av IPS. R1(config-if)# exit
- Skapa en katalog där IPS-filerna ska sparas