5. Kết cấu của đề tài
3.3 Các bước mô phỏng
Trên GNS3, xây dựng mô hình giống mô hình mô phỏng. Đặt ip cho các thiết bị như trên mô hình mô phỏng.
Trên router IPS cấu hình cho phép từ bên ngoài Internet truy cập vào Web server bằng câu lệnh:
24
IPS(config )#ip nat inside source static tcp 192.168.1.200 80 209.165.200.1 80 Sau khi đặt ip cho các thiết bị, ta NAT(Network Address Translation) trên router IPS và router R2 cho phép ra Internet. Bên cạnh đó ta cấu hình cho phép chạy SDM trên router IPS như sau:
IPS(config )#ip http server
IPS(config )#ip http secure-server IPS(config )#ip http authentication local
IPS(config )#username cisco privilege 15 password 0 cisco IPS(config )#line vty 0 4
IPS(config-line )#privilege level 15 IPS(config -line)#login local
IPS(config -line)#transport input telnet IPS(config -line)#transport input telnet ssh
Tại máy sdm-ips chỉnh ip và default gerway về router IPS
Hình 3.2 Chỉnh IP và Default gateway cho máy sdm-ips
Trên máy sdm-ips cài đặt gói java và tool SDM cho computer và chạy cisco SDM. Tại màn hình SDM Launcher chọn ip của router IPS:192.168.1.1
25
Hình 3.3 IP của router IPS chạy SDM
Màn hình internet explorer xuất hiện sau khi bấm Launch ở bước trên,kích phải chuột chọn Allow Blocked Content
Hình 3.4 Cho phép chạy pop up
26
Hình 3.5 Hộp thoại cảnh báo
Màn hình đăng nhập chứng thực xuất hiện, đăng nhập với user & pass có level 15
Hình 3.6 Chứng thực tài khoản đăng nhập
27
Hình 3.7 Cảnh báo secure từ internet explorer Xuất hiện cảnh báo, chọn yes để tiếp tục
Hình 3.8 Cảnh báo
Sau khi chọn Yes đợi khoảng vài giây để load trang SDM từ router đến máy tính
Xuất hiện màn hình đăng nhập ,tiếp tục đăng nhập với username và pass level 15
28
Hình 3.9 Yêu cầu chứng thực
Giao diện SDM của router IPS, hiển thị các tính năng có trên router, chọn Configure để bắt đầu cấu hình IPS
Hình 3.10 Giao diện SDM
Kích chọn tính năng instruction prevention để cấu hình cho IPS,kích chọn “launch ips rule winzard” để bắt đầu tạo một ips mới
29
Hình 3.11 Tính năng IPS trên router
Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu hình tính năng Cisco IOS IPS, chọn OK
Hình 3.12 Thông báo khi chạy IPS
Nhấp vào "Next" dưới cùng của giao diện dẫn đến trang tiếp theo trong Wizard IPS .Tại đây ta chọn các interface trên router mà chúng ta muốn kích hoạt tính năng IPS. Cisco khuyến cáo nên cho phép hướng cả trong và ngoài khi kích hoạt IPS. Click "Next" khi đã kết thúc việc chọn lựa.
30
Hình 3.13 Màn hình IPS Wizard
Hình 3.14 Chọn các interface chúng ta muốn IPS lọc các gói tin
Màn hình tiếp theo cho thấy vị trí SDF của Wizard IPS. Để cấu hình file SDF, nhấp vào "Add ..." nút bên phải của danh sách
31
Hình 3.15 Mô tả cách nạp signature
Cửa sổ “Add a signature location” xuất hiện chọn secify sdf using url và chọn tftp (để thực hiện được quá trình copy File .sdf này ở pc chạy tftp ), hoặc có thể bỏ qua bước này để chọn add file .SDF từ pc.
Hình 3.16 Chọn vị trí signature
Kế đến màn hình tổng kết các quá trình cấu hình rule và nạp signature chọn finish để kết thúc các bước trên.
32
Hình 3.17 Kết thúc quá trình cài đặt IPS
Để kiểm tra các signature được nạp trên router, ta chọn theo đường dẫn: Configure-> Intrusion Prevention -> Edit IPS -> Signatures
Từ giao diện này có thể định nghĩa thêm signature sau khi kích hoạt default SDF. Có thể định nghĩa thêm các signature bằng cách import như sau:
Configure-> Intrusion Prevention -> Edit IPS -> Signatures -> Import
Chọn nút nhấn “import” trong thanh công cụ trên cùng của bảng danh sách chữ ký. Kế tiếp chọn “from pc” để chỉ đường dẫn tới file chửa ký.
Tại màn hình này cũng có thể chỉnh lại hoạt động của chữ ký bằng cách kích chọn vào chữ ký->action và chọn lựa hành động mong muốn.
33
Hình 3.18 Hiển thị các signature và cấu hình signature
Sau khi cấu hình và chỉnh sửa hoàn tất tính năng IPS trên giao diện SDM ,truy cập vào command line trên router và kiểm tra thử bằng câu lệnh: show ip ips all
34
Thử nghiệm tấn công từ chối dịch vụ(DOS) từ máy Attacker vào địa chỉ 209.165.200.1 (IP để bên ngoài truy cập vào Web server) để kiểm tra IPS có hoạt động hay không
Hình 3.20 Router IPS thông báo khi bị tấn công DOS
Tương tự như vậy, ta tiến hành dùng tool Hyenae trên máy Client (có IP là 192.168.2.10) tấn công theo hình thức DHCP Spoofing bằng cách liên tục gửi các gói tin DHCP Discover.
Hình 3.21 Router IPS thông báo khi bị tấn công DHCP spoofing