01 oktober, 2008

Cisco: Aktivera Cisco IOS Intrusion Prevention System i GNS3

Introduktion
Nu kommer jag förklara hur man får igång en Cisco router med Intrusion Prevention System (IPS) aktiverat. Det är ett system som används i brandväggar, cisco routrar med flera för att känna igen hot och stoppa dem innan de förstör data och tjänster eller tar sig in i företagets nätverk.

Att tänka på
Guiden fungerar givetvis på riktiga Cisco routrar och alltså inte bara GNS3 som kör en virtuell emulering av Cisco IOS.

Exempel
Ett exempel är Ping of Death som går ut på att man skickar extremt många ping-anrop (ICMP paket) till exempelvis en Cisco router. När IPSen känner av attacken med specifika signaturer så blockeras trafiken. Givetvis är en IPS mer avancerad än så här men detta är bara ett smakprov så att ni ska få en bättre uppfattning av vad det är vi ska göra.

Tips! GNS3 har jag skrivit om förut som om ni inte vet vad det är föreslår jag att ni söker igenom bloggen med sökfunktionen.

Då kör vi igång
För att sätta upp en IPS i GNS3 behöver vi en speciell typ av Cisco IOS. Det IOS jag använder mig av är följande:
Cisco IPS IOS: c7200-advipservicesk9-mz.124-2.T.bin
Idle-PC: 0x610eae7c
0x610eaedc
0x602558f4 (*)
Ni kan testa om Idle-PC värdet fungerar för er men om finner ett bättre värde som sänker CPU belastningen i datorn under körning får ni gärna tipsa mig. Skriv bara en kommentar till artikeln så lägger jag in det i artikeln. Tänk på att ett Idle-PC värde är kopplat till ett specifikt IOS och alltså inte en speciell dator som GNS3/Dynamips körs på.

Vilken typ av IOS
Det är ett IOS (v12.4-2) som kör Advanced IP Services med krypteringsmodulen (K9) inlagd, vilket låter oss köra VPN. Jag använder mig av modell c7200 men det finns även andra modeller som fungerar.

Hur får man tag på IOS?
Det finns olika sätt men det officiella sättet är att man har ett giltigt Cisco Support kontrakt. Då kan man ladda ner nya IOS direkt från Ciscos webbsida www.cisco.com. Det är olagligt att distribuera IOS på annat sätt så fråga inte mig om ni kan få ett specifikt IOS.

Aktivera IPS
Ladda först in IOSet i vald routermodell i GNS3, starta routern och logga in. För att aktivera IPS måste man först skapa en "IPS Regel" (eng. IPS Rule). Det görs i global configuration mode. Sedan måste man även välja ett gränssnitt som är riktat mot oförlitliga (eng. Untrusted) destinationer, samt välja ingående eller utgående trafikkontroll (eng. Inbound/Outbound). Jag visar ett exempel här nedanför.

Först måste ni skapa en topologi i GNS3.

(Klicka på bilden för att förstora)

Router> enable
Router# configure terminal
Router(config)# hostname IPSFirewall

IPSFirewall(config)# ! Definiera IPS regeln som innehåller alla signaturer
IPSFirewall(config)# ip ips name myipsrule

IPSFirewall(config)# interface fastethernet 0/0
IPSFirewall(config-if)# ip address 192.168.1.1 255.255.255.0

IPSFirewall(config-if)# ! Välj vilken trafik som ska kontrolleras
IPSFirewall(config-if)# ip ips myipsrule in

IPSFirewall(config-if)# description Check inbound traffic for threats and attacks from Untrusted destination
IPSFirewall(config-if)# no shutdown
IPSFirewall(config-if)# ^Z

IPSFirewall# ! Verifiera
IPSFirewall# show ip ips all

Här visar jag en bild på när jag konfigurerar en c7200 router i GNS3 med terminalen Tera Term. (OffTopic) Jag ska byta terminal till Putty SSH snart för Tera Term äter CPU ibland.

(Klicka på bilden för att förstora)

På bilden ser ni några kommandon jag skickat till routern och sedan får man svar från IPS modulen som meddelar att signaturerna är inladdade. Ni ser även hur jag aktiverar IPS ingående trafik på fastethernet gränssnittet.

Nu har vi installerat en IPS på vår router och är på så vis skyddade mot många externa hot. Det var allt för den här gången.

Källor
Labbmanualen för Cisco instruktörer en_CCNP2_ILM_v501 (PDF dokument hh.se), kapitel 6, Configuring IPS with CLI

Inga kommentarer:

Välkomna till bloggen

Välkomna ska ni vara kära besökare. Jag skriver om IT för att det är kul och för att jag vill dela med mig av information och kunskap. Jag försöker hålla bloggen så kategoriserad som möjligt för att ni enklare ska hitta intressanta länkar och artiklar.