《硬件IPS配置及初始化.docx》由会员分享,可在线阅读,更多相关《硬件IPS配置及初始化.docx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、硬件IPS实验拓扑:R1R1IDS1f 1/0Cl拓扑说明:这里的swl为傻瓜式的以太网交换机,因为默认pc是无法直接连打破IDS上面去的。上面就是本次实验的实验拓扑,因为这个是硬件ips的配置,我们没有硬件来做实验,所以只能用虚拟化的实验环境,51此网站的平安证书有问题。此网站出具的平安证书不是由受信任的证书颁发机构颁发的.平安证书问题可能显示试图欺骗你或截获你向服务器发送的数据.建议关闭此网页,并且不要继续浏览该网站。,单击此处关闭该网页。G, 不用管,继续浏览此网站继续浏览此网站(不推荐)。详细信息翻开以后就能看到这个页面,点击下面的Run DIM ,然后根据提示下载IDM管理工具,我们
2、下载到桌面即可。账户(W 文件0 查看M 照(0) IMCD初觊*. PS Device Manager - itit硼浏览器看赅 i看新闻 一用_ B铁路客户Gtgc。:一点灵屋 工M |宁听音乐3消息盒子 ,CISCOCisco IPS Device ManagerVersion 6.00 2007 Cisco SystemsCisco Systems. Inc. Cisco. Cisco Systems and Cisco Systems logo are registered trademarks of Cisco Systems. Inc. and/or its affiliates
3、 in th* U.S. and certain other countries.Run IDM点这里运行IDM ,他会弹出对话框,提示下载CISCOCisc(ManeCisc(ManeVersion (0 2007 Cisco SystemsRun IDMRun IDM点这里,就会弹出下载框,下到桌面即可Cisco Systems. Inc. Cisco. Cisco Systems and Cisco Systems logo are registered trademarks of Cisco Systems. Inc. and/or its affiliates in the U.S.
4、 and certain other countries.然后我们双击桌面上面的图标警告平安该应用程序的数字签名存在错误。是否要运行该应用程 序?名称:IDM on 192. 168.2. 100发行者:Cisco Systems从: s:/192.168.2.100祐t1比发;Tl11 6l ! A.上运行 取消J该数字签名是澧过可传还书生成的,但是已过期.更多信息00.接下来就会提示你输入用户名和密码了,这里的用户名和密码就是我们前面创立的用户名和密码员ICisco IDM Launcher v1.5(17)Username: vofeiOK Close臬 Cisco IDM Launch
5、er 比比点击OK我们就能翻开硬件IPS图形化的管理界面了,虽然都是字母组成,但是勉强还是能看懂滴。我们找到上面的configuration ,然后找到interface ,将gO/1和gO/2接口都激活There is no license key installed on the sensor.vofeiadministrator现在我们已经将端口激活了,那是否就代表现在R1和R2之间就能通信了呐?我们接下来就可以翻开R1和R2 ,分别配置IP地址,将他们配置在同一个网段。Rl(config)#int fal/ORl(config-if)#no shR2(config)#int fal/0
6、R2(config-if)#no sh我们用RI ping R2试试:Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 12.12.12.2, timeout is 2 seconds:Success rate is 0 percent (0/5)很显然现在RI和R2现在是无法通讯的,尽管他们在同一个网段,因为此时的端口还没有监控流量,我们知道,如果一个IPS端口没有分析流量,也 就是这个IPS当前还没有工作,就会认为这个端口是fault失效状态PS状态有两种,一种是fault open (当发现ips为失效状态,就将
7、端口全部开放), fault close (当发现ips为失效状态,就W端口全部关闭),默认是fault close的,也就是当IPS没有工作时,就会拒绝所有的流量。所以接下来我们要做的工作就是将接口启用监控模式,但是首先我们要创立interface pairs ,将两个接口绑定到一个监控组,一个接口收,一个接口发, 两个接口互为收发,如果有多个接口,就要选择我们要用的两个接口作为一个监控组,否那么一个接口是无法正常工作的。下面我们还要将两个接口放入到一个监控组,找到卜nterface pairs|,然后点add添加一个监控组用的是GNS3来模拟的,版本为GNS3 8.6的版本。首先我们要在G
8、NS3中的选择编辑一首选项左侧Qume找到IDS ,然后按照下面的图来配置首选项一般Dynamips Capture Qemu VirtualBoxQemu常规设置Qemu客户机FIX JunOS ASA IDS AW+ID设置标示符名称:二进制迨像1 Qtda): 二进制造像2 (hda): 内存:网卡数:网卡模块:Qemu选项:名字随便写一.一.这里加两个榛像G:ips imageips-disk2. img|1024 HiB内存-费要大一点,这里推荐1024 图3室环境中网卡数大于51式。都可能出问题,这里推荐3-smbios type=l? product=IDS-4215使用KVM
9、(R支持Linux主机)上面二进制镜像的地址在G:ips imageips-diskl.img G:ips imageips-disk2.img ,注意镜像文件一定要是非中文的目录。HomeConfigurationSensor SetupS NetworkAllowed Hosts0 Q SSH画o 2,山,山MonitoringBackForwardRefreshHelpCISCOInterface PairsYou can create logical nterface pair(s) for the available sensing interfaces. You can edit/
10、delete the existing interface pair(s) by selecting the row(s) and clicking Edit or Delete.Authorized KeysKnown Host Keys Sensor KeyQ Certificates 袁 Trusted Hosts 翅 Server CertificateInterface Pair NamePaired InterfacesDescriptionSelect AllEditrL梨 Time :拿 Users 令 Interface Configuration8 SummaryInter
11、facesDelete接下来点应用,然后生效,不报错就代表成功,如果报错,就说明前面的实验环境搭建有问题ApplyResetInterface PairslVLAN PairsVLAN GroupsBypassTraffic Flow Notificatk唱 Analysis Engine:霎I Virtual Sensors 毅I Global Variables Pobcies3 & Signature Definitions耕 siflO3 l;0 Event Action Rules 伊 rulesO-霹 Anomaly Detections察ladOA Blocking” 我 Blo
12、cking Properties好了以后R l应该就能ping通R2 了Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 12.12.12.2, timeout is 2 seconds:Success rate is 80 percent (4/5), round-trip min/avg/max = 20/33/44 msRI#先别得意,现在我们只是做到了两个接口能够互为收发流量,接口上面应用监控,因为ips从6.0开始就可以,一个IPS可以划分多个虚拟的逻辑 IPS ,每个IPS相互独立,这种IPS就叫做VS
13、( virtual sensors虚拟sensors ),本来应该我们添加的interface pairs可以直接和下面的signature definitions中的sigO相连的,如果同时使用多个VS ,那么我们就可以先?口 vs中vsO连,然后在和sigO相连。所以我们现在就要找到Analysis Engine中的vir以al sensors ,然后点Fie HelpdetailsHomeCISCOConfigurationHelp8)MonitoringRefreshBack Forward接下来我们就可以找到polivies中找到signature defintions中的sigO
14、,这个才是最重要的,因为所有的签名都在里面,默认有50000多个签名,在这里我们可以进行更大粒度的网络规划。0忙File HepHomeOj Sensor SetupNetwork,淞 Alowed HostsB Q SSH箱 Authorized Keys 建 Known Host Keys 算 Sensor KeyB Q Certificates;耍 Trusted Hosts 翎 Server Certificate集me卷I Users Interface Configuration? S) Summary,为 Interfaces0 Interface Pairs. 1 l VLAN
15、 Pars1 日 VLAN Groups,R Bypass,处 Traffic Flow Notificatic 电 Analysis Engine Virtual SensorsGlobal VariablesPoiaes白 田 Signature DennlbonsS g;D Event Action Rufe 1 i.伊 rulesOE 尬 Anomaly Detections /adOA Blocking黎 Blockng Properties0O 。| ?ConfigurationMontoringBack Forward RefreshHelpCISCOSignature Conf
16、igurabon Custom Signature Vizard Signature VariaMes MiscellaneousSelect By. Active Signatures), Sugg ID NameEnabledSeveritySetect Al10000 IP options-Bad Option ListYesInformationai aActions10040 IP options-Loose Source RouteNoHigh10060 IP options-Strict Source RouteYesHighECtt10070 IPv6 over Pv4 or
17、IPv6Nomfamatk)nai11010 Unknown P ProtocolYesinformationRestore Defaults11020 Impossible IP PacketYesHigh11040 IP Localhost Source SpoofYesHighEnable11070 RFC 1918 Addresses SeenNoInformational11080 IP Packet wih Proto 11YesHighDisable11093 Cisco IOS Interface DoSNoMedium110911092 Cisco IOS Interface
18、 DoS1 Cisco IOS Interface DoSNoNoMediumMediumAdd11090 Cisco OS Interface DoSNoMediumCkxie12000 IP Fragmentation Buffer FullYesihformationai12010 IP Fragment OverlapNoIhformationaiDelete12020 IP Fragment Overrun - Datagram T.YesHighVAppResetSigO通过这里的signature我们也可以做一个小小的实验来演示一下IPS的强大功能就是当R1要使用telnet登录
19、到R2时只要IPS扫描到有vofei这个关键字,就W链接终端,并发出警告。怎么来实验,请看我下面细细道来:首先我们还是在这个页面找到custom Singature wizard,鼠标选中,然后点击下面的start the wirzrd开始向导然后我们开启IDSOf 1/0直接点开始IDSl配置显示/隙藏设备名修改设备名添加更改标示符 改变控制台酱口Console抓包 7D 暂停 停止 重我 小心 姆除进去以后我们就输入密码,这里的用户名是cisco密码为net527F面就是ips初始化的配置sensor# conf tHomeMonrtoringConfigurationBack Forwa
20、rdRefreshCISCO& Sensor SetupS NetworkAllowed Hostsa -Q SSHAuthorized KeysKnown Host KeysSensor Key CertificatesTrusted HostsServer CertificateTimeUsersInterface ConfigurationW Summary Interfaces ,S Interface Pairs 1 VLAN Pairs VLAN Groups 邕 BypassSi Traffic Flow Notificatic 唱 Analysis Engine Virtual
21、 Sensors 真)Global Variables岫 PoliciesEJ r Signature Definitions初 sigO|上 |;0 Event Action Rules伊 ruiesO日益 Anomaly Detections我adOA Blocking% Blocking PropertiessigOSignature Configuration Custom Signature Vizard Signature Variables Miscellaneous找到自定义签名向导A custom signature can affect the performance of
22、 the sensor. Each time a signature is added, you should analyze its impact on the performance of the sensor.To establish a baseline and test the impact of a signature, configure the Missed Packets Threshold and Notification Interval on the Interface Conti duration - Traffic Flow Notifications DaneL
23、Then allow the sensor to run with the current signature set to see if the sensor is handling the load. Adjust the values if needed, then add a single custom signature and monitor Event Viewer for any status notifications.Start the VizardApply这里是的意思是是否要用signature引擎中现有的签名模板来进行自定义签名,这yes , 3Engine弓 |擎中
24、找到String TCP ,就是TCP字符串。也就是说如果在TCP中发现什么什么字符串,就执行下面的什么动作。选中以后点NEXTString TCPString UDP 7良JCustom Signature WizardWelcomei/Velcome to the Custom Signature VMzard. This wizard will guide you through the process of defining a custom signature.Do you know which Signature Engine you want to use for the cus
25、tom signature?) YesSelect Engine: Atomic IPvAtomic IPa一 厢Service Service MSRPC Service RPC State (SMTP,.) String ICMPFinishCancel Help坦Custom Signature WizardCustom Signature WizardAlert ResponseYou can assign the following values to this signature that reflect both your confidence in the fidelity o
26、f the signature and the severity of the attack it represents. The Signature Fidelity Rating is any number from Oto 100, with 100 reflecting the most confidence in this signature. This number is used to help calculate the Risk Rating, which helps determine what actions result from the firing of this
27、signature.Signature Fidelity Rating: 100风险等级为 100FinishCancelHelpSeverity of the Alert:High v 警告级别为高Custom Signature WizardAlert BehaviorThe sensor sends the first alert for each address set. and then a summary of all the alerts that occur on this address set over the next 15 seconds.The summary ale
28、rt contains the same information as the original alert and provides an interval summary that shows the number of total alerts per time interval. A summary counts signature firings on attacker address.The sensor will not automatically upgrade (or downgrade) to global summarization mode.Advanced.To ac
29、cept this alert behavior and create the custom signature, click Finish. To change the alert behavior, click Advanced.在这里点高级Alert BehaviorCustom Signature WizardTKa uacucr uacrluFinishCancelPagesIlCustom Signature WizardAlert BehaviorAdvanced Alert Behavior Wizard.接下来我们就在R2上面创立两个用户,一个是带vofei这个关键字,另外一
30、个不带vofie这个关键字,然后开启vty本地登录,用于telnet测试sensor(config)# service host 主机的服务网络服务网络服务sensor(config-hos)# network-settingssensor(config-hos-net)# host-name vofei 主机名sensor(config-hos-net)# 酉己置 IP 力口网关,中间用逗号隔开sensor(config-hos-net)# 允许这个网段开启sensor(config-hos-net)# telnet-option disabled 既然是做平安就应该关闭telnet这种不加
31、密的管理协议这里我们可以用show setting命令来查看我们的配置。sensor(config-hos-net)# show settingsnetwork-settingshost-ip: 192. 168. 2. 100/24, 192. 168. 2. 254 default: 192. 168. 1. 2/24, 192. 168. 1. 1 host-name: vofei default: sensor telnet-option: disabled default: disabled access-list (min: 0, max: 512, current: 1)R2(c
32、onfig)#username vofei pass vofeiR2(config)#username fangjuan pass fangjuanR2(config)#line vty 0 4R2(config-line)#login local然后我们到RI上面用telnet登录上去Trying 12.12.12.2 . openuser Access verification username:现在我们发现是能够登上去的然后我们先用fangjuan这个用户登录上去试试Trying 12.12.12.2 open user Access verificationUsername: fang
33、juanPassword:R2现在fangjuan是能够登上去的。那我们试试vofei这个用户Trying 12.12.12.2 . openuser Access verificationusername: vofeconnection to 12.12.12.2 closed by foreign host呃,看来还是vofei这个用户面相不好,名字还没打玩,链接就被中断了,可怜的孩子,其实也不能怪他,因为这个telnet链接里面有vofei这个关键字,IPS扫描到以后就会执行我们事先制定的动作。我们到IPS的监控页面看看Event Viewer# TypeSensor UTC TimeE
34、vent IDEvents一1 alert:high:652013影12 月 25 日下午午时49. telnetDetails.这里就是我们刚刚执行的事件双击可以查看完整的事件内容。用originator:hostld: vofeiappName: sensorAppapplnstanceld: 391time: 2013年 12月25日下午 12时4g分36秒 offset=0 timeZone=UTCsignature: description=telnet id=60000 version=custom type= other created=20000101subsigld: 0si
35、gDetails: My Sig InfomarsCategory: Info/MiscinterfaceGroup: vsOvlan: 0participants:attacker:addr: 12.12.12.1 locality=OUTport: 61931target:addr: 12.12.12.2 locality=OUTport: 23os: idSource=unknown type= unknown relevance=relevantactions:tcpResetSent: true droppedPacket: true iteniadFIfliir truuClose
36、network-address: 192.168. 2.0/24ftp-timeout: 300 seconds login-banner-text: sensor(config-hos-net)# exitsensor(config-hos)# exitApply Changes?yes:退出的时候他会提示你是否应用,那当然选yes硬件IPS中也有保存配置的命令,就是下面的,但是在虚拟环境中一般不推荐使用,那个慢呐,生产环境当然是可以的copy current-config backup-config-保存酉己置的命令现在我们要为这个设备创立一个管理的用户,方便我们以后远程的对这个设备进行管
37、理,我们可以用show user来查看当前的用户。sensor# show users -一查看用户CLI ID User Privilege421421cisco administrator* 431 cisco administrator现在我们来创立一个名为vofei的管理账户,密码为vofeil23o注意,这里的用户名和密码不能相同,否那么不能创立的。sensor(config)# username vofei privilege administrator password vofei 123此时应该能ping通真实网卡的64 bytes64 bytes64 bytes64 byte
38、sfrom 192. 168. 2. 1from 192. 168. 2. 1from 192. 168. 2. 1from 192. 168. 2. 1PING 192. 168. 2. 1 (192. 168. 2. 1): 56 data bytesicmp_seq=0 ttl=64 time=7. 0 msicmp_seq=l ttl=64 time=l. 1 msicmp seq=2 ttl=64 time=l. 5 msicmp seq=3 ttl=64 time=l. 0 ms192.168. 2.1 ping statistics4 packets transmitted, 4
39、 packets received, 0% packet loss round-trip min/avg/max = 1.0/2. 6/7. 0 mssensor#我们知道,硬件IPS应该是一种图形化界面的,所以一些初始化的配置是通过命令行,但是IPS的调试是在图形化界面中 进行的。因为IPS的图形化是用java翻开的,所以这里我们要在自己的机器里面装java的运行环境,软件地点: F:jre-6u4-windows-i586-p.exe,这个软件的安装就不用多说了哈,直接双击然后下一步到底。这个还不是主要的,要想实验能顺利进行下去,我们还得到控制面板中将java的内存给大一点,步骤如下:所有
40、控制面板项1 W 控制面板所有控制面板项文件编辑查看(V)工具(T)帮助(H)调整计算机的设置调整计算机的设置翻开控制面板,找到java回 Dolby Advanced Odio回 Dolby Advanced Odio图 JavaJ32 二Windows 7文件恢复QI Flash Player (32 位) 电RemoteApp和桌面连接 侬 Windows Defender殳Internet选项SmartAudio0 Windows防火墙XJava小应用程序 触time设置在浏览器中执行小应蒯鄢寸,将使用此Runtimt设置。翻开java,然后点击查看Java应用程序Runtime设置他
41、田Tav网络巨讣协议(THIP)巨讣T.va由田程座或小由田OH ,点击查看,然后在java Runtime参数里面写上-Xmx512 即可。Felne接下来我们就可以翻开浏览器,在地址栏输入我们前面配置的管理IP地址, s:192.168.2.100 ,注意,一定是 S的方式翻开才行。IPS Device Manager -休止符的浏览器i目收藏I网址导航Q欢迎使用账户文件Q 查看Q).收藏工具帮-* 3 IPS Device ManagerIM | C听音乐 消息盒子 看视频IS new看新闻拜用 j 截图一CISCO在这里输入管理接口的地址,一定要加 s ,如果报证书错误就不用管,还出法如果是用IE浏览器翻开的,这里可能会报证书问题,就像下面的,我们大可以不用管