Tập đoàn Hệ thống Cisco là một tập đoàn lớn về các thiết bị liên quan đến mạng máy tính cũng như là về bảo mật. Trong đó, bộ cảm biến Cisco IPS là một trong những thiết bị phần cứng và là một trong những thành phần chính của Hệ thống IDSIPS, góp phần giúp đảm bảo an ninh mạng máy tính. Với đề tài Simulating Cisco IPS, nhóm sẽ mô phỏng một số tính năng của Cảm biến IPS 4215. II. Một số khái niệm IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS là gì?: (Intrusion Detection System) là một thống giám sát lưu thông mạng, các hoạt
z ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Khoa Mạng máy tính truyền thơng BÁO CÁO ĐỒ ÁN Mơn học: Hệ thống tìm kiếm, phát ngăn ngừa xâm nhập Đề tài: Simulating Cisco IPS GVHD: Th.S Hồ Hải Lớp: NT204.G11 Nhóm Thực hiện: Nguyễn Thanh Tâm 12520909 Đặng Thái Hoà 12520596 Nguyễn Tuấn Anh 12520010 Hoàng Đức Minh 11520231 Lâm Minh Trí 12520454 Mục lục I II III IV V I Giới thiệu đề tài Một số khái niệm Cấu hình IPS 4215 Thực cấu hình qua cổng Console Cấu hình dùng HTTPS: Một số tính Thực tính IDS IPS 4215 Thực tính IPS IPS 4215 Tạo Sigature phát Telnet Tài liệu tham khảo Giới thiệu đề tài Tập đoàn Hệ thống Cisco tập đoàn lớn thiết bị liên quan đến mạng máy tính bảo mật Trong đó, cảm biến Cisco IPS thiết bị phần cứng thành phần Hệ thống IDS/IPS, góp phần giúp đảm bảo an ninh mạng máy tính Với đề tài Simulating Cisco IPS, nhóm mơ số tính Cảm biến IPS 4215 II Một số khái niệm • IPS gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System) định nghĩa - phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh • IDS gì?: (Intrusion Detection System) thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị • Bộ cảm biến Cisco IPS tích hợp nhiều loại thiết bị Cisco: - Thiết bị IPS độc lập (chuyên dụng): cảm biến dòng Cisco IPS 4200 Cisco AIM-IPS, NME-IPS tích hợp định tuyến Cisco (router) Dòng sản phẩm ASA 5500 tích hợp IPS • Cảm biến IPS 4215 thuộc dòng cảm biến Cisco IPS 4200 Đây cảm biến IPS độc lập chuyên dụng Các thiết bị vận chuyển thơng lượng lên tới 4Gbps • Chức cảm biến IPS: Cảm biến IPS phân tích packet chúng vào cổng (interface) cảm biến - Cảm biến so sánh lưu lượng xấu với signature IPS để đưa phản ứng thích hợp: ngưng lưu lượng, gửi cảnh báo cho người quản trị mạng III Cấu hình IPS 4215 • Mơ tả: thực bước cấu hình phép quản trị IPS 4215 dùng IDM Thực cấu hình qua cổng Console Yêu cầu: - Phần mềm tạo máy ảo WMWARE - Source Cisco IPS 4215 Bước 1: Open CiscoIPS wmware Trên wmware ta có cổng mạng, đó: Cổng Vmnet2 cổng Giga1 Cổng Vmnet3 cổng Giga2 Cổng lại cổng Management Bước 2: Đăng nhập Cisco IPS Login: cisco Password: ciscoips4215 Bước 3: Cấu hình địa IP cho Cisco IPS Thêm địa vào access-list Cấu hình dùng HTTPS: Cisco IDM phần mềm quản lý, giám sát Cisco IPS với giao diện đồ họa Yêu cầu: - Máy giám sát chạy Windows XP - Phần mềm Java - Internet Explorer 6 Bước 1: Cài đặt Java máy giám sát Bước 2: Cấu hình địa IP máy giám sát lớp mạng với Cisco IPS Cụ thể IP máy giám sát 10.215.219.200 Sau đó, tiến hành ping thử đến Cisco IPS Ping thành công Bước 3: Vào Internet Explorer truy cập địa IP IPS: https://10.215.219.234 Bước 4: Giao diện cài đặt chương trình Thực bước sau Chọn OK Chọn Yes Gõ tài khoản đăng nhập Cisco IPS 4215 Chọn OK Phần mềm Cisco IDM bắt đầu khởi động 10 Mở NMAP, mục Target ta điền địa IP máy victim, mục Profile ta chọn tính scan port Sau ta nhấn scan Chương trình bắt đầu scan port Bước 2: Quay lại máy giám sát, mở Cisco IDM, chọn mục Monitoring Events View 15 Ta thấy Cisco IPS 4215 phát đưa cảnh báo phát gói ICMP, phát scan port TCP, sử dụng công cụ NMAP … Các cảnh báo thực từ Sig ID 3002, 5575, 2004, 3040, 3046 3041 Mặc định Cisco IPS 4215 bật sẵn Sig Thực tính IPS IDS 4215 - Mô tả: Thực cảnh báo máy victim nhận gói ICMP Echo Request - Thực hiện: Bước 1: Tại máy giám sát, mở Cisco IDM, mục Signature Definition chọn Signature Configuration Ta dùng Sig ID 2004 để kiểm tra Chọn Sig ID 2004 chọn Enable để bật tính kiểm tra gói ICMP 16 Kế tiếp ta click phải chuột chọn Actions… hộp thoại Assign Actions ta tick vào ô Produce Verbose Alert chọn OK để bật tính cảnh báo có hành động ICMP Echo Request Sau chọn Apply 17 Bước 2: Tại máy attacker ta tiến hành ping đến máy victim 18 Bước 3: Quay lại máy giám sát, mở Cisco IDM chọn Monitoring, chọn Events, chọn View để xem cảnh báo Ta thấy lúc 8:26 Cisco IPS 4215 phát gói ping đưa cảnh báo ICMP Echo Request Để xem chi tiết cảnh báo ta nhấn vào Details… 19 Ta thấy, thông tin chi tiết hiển thị địa IP máy attacker 192.168.1.2 gửi gói IMCP đến máy victim có địa 192.168.1.3 Phần triggerPacket nội dung gói tin gửi gửi từ cổng giga0/1 Nếu muốn loại bỏ gói ICMP gửi đến ta chọn thêm mục Deny Packet Inline mục Actions Sig ID 2004 20 Lúc gói ICMP bị loại bỏ không ping - Tạo Sigature phát Telnet Mô tả: cảnh báo attacker thực telnet vào máy victim Thực hiện: Bước 1: Tại máy giám sát, mở Cisco IDM, chọn Configuration, mục Signature Definition chọn Custom Signature Wizard, nhấn Start the Wizard 21 Thực bước sau: Chọn Yes, sau Next Tại dòng Signature ID điền số ID cho Sig 60001, Signature Name tên Sig Sau nhấn Next 22 Sau ta cấu sau 23 24 25 Ta chọn Yes để xác nhận Add Sig tạo Ta thấy Sig vừa tạo có danh sách Sig 26 27 Bước 2: Thực telnet từ máy attaacker đến máy victim Ta nhận thông báo telnet thất bại Bước 3: Kiểm tra cảnh báo, mở Cisco IDM chọn Monitoring Events View Ta thấy Cisco IPS 4215 phát Attack Telnet 28 Cụ thể ta thấy attacker địa IP 192.168.1.2 thực telnet đến victim 192.168.1.3 cổng 23, thực qua cổng mạng giga 0/1 V Tài liệu tham khảo - Cisco Intrusion Prevention System Sensor CLI Configuration Guide for IPS 6.1 - CCSP Labpro – IPS & CSMARS - http://www.vnpro.org/forum/forum/ccnp-security-®-ccsp/ips/18535-cần-trợ-giúp-cài- đặt-virtual-cisco-ips-trên-vmware-6 29 ... CƠNG NGHỆ THƠNG TIN Khoa Mạng máy tính truyền thông BÁO CÁO ĐỒ ÁN Môn học: Hệ thống tìm kiếm, phát ngăn ngừa xâm nhập Đề tài: Simulating Cisco IPS GVHD: Th.S Hồ Hải Lớp: NT204.G11 Nhóm Thực hiện: ... thiết bị Cisco: - Thiết bị IPS độc lập (chuyên dụng): cảm biến dòng Cisco IPS 4200 Cisco AIM -IPS, NME -IPS tích hợp định tuyến Cisco (router) Dòng sản phẩm ASA 5500 tích hợp IPS • Cảm biến IPS 4215... khả phát xâm nhập ngăn chặn nguy gây an ninh • IDS gì?: (Intrusion Detection System) thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị • Bộ cảm biến Cisco IPS