سیسکو Intrusion Prevention Systems-IPS راه حلی برای مقابله با تهدیدات : IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.
1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.
2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.
3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.
4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR
5- IPS نرم افزاری : در روتر های ISR کاربرد دارد
در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.
در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد
در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد
در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد
مزایا
معایب
در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند
وارد شدن به دستگاه: وارد شدن به IPS های سری 4200 ، 4300 و 4500 با استفاده از کابل کنسول انجام می شود. تنظیمات مربوط به ترمینال سرویس را به صورت زیر انجام می دهیم:
Stopbits : 1 flowcontrol : hardware speed : 9600
برای وارد شدن بهASA 5500 AIP SSM از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.
Asa#session 1
برای وارد شدن بهASA 5500-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.
Asa#session ips
برای وارد شدن بهASA 5585-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.
Asa#session 1
نکته : تنها یک یوزر با سطح دسترسی Service می توان رو دستگاه تعریف کرد
نکته : از نسخه IPS 5.0 به بعد یوزر cisco را نمی توان پاک کرد و فقط می توان ان را غیرفعال کرد. برای غیر فعال کردن از دستور no password cisco استفاده می کنیم اگر به هر شکل یوزر cisco را پاک کنیم دستگاه دیگر بوت نمی شود
1.برای اولین بار که وارد سنسور می شود از شما میخواهد که پسورد خود را عضو کنید.
2.دستور Setup را وارد کنید تا سیستم اماده سازی سنسور نمایان گردد.
Sensor#setup Current time: Sun Sep 7 19:50:45 2014 Setup Configuration last modified: Tue Sep 02 16:09:42 2014
3.در ابتدا یک نام برای سنسور از شما می خواهد که مقدار پیش فرض ان sensor می باشد با زدن کلید enter به مرحله بعد می رویم
Enter host name[Sensor]: ITPRO
4.برای دستگاه یک IP Address ، Subnet Mask و Gateway باید به صورت زیر تعریف کنیم:
Enter IP interface[10.0.0.1/8,10.0.0.2]: 192.168.1.2/24,192.168.1.1
که در اینجا IP دستگاه را برابر با 192.168.1.2/24 و گیت وی برابر 192.168.1.1 می باشد
5.سپس از ما می خواهد که Access list را تغییر دهیم با وارد کردن کلمه yes می توانیم مشخص کنیم چه ادرس هایی اجازه دسترسی به دستگاه را دارند.
Modify current access list?[no]: yes
در اینجا لیست Access list های موجود را نمایش می دهد
Current access list entries : [1] 10.0.0.0/8 [2] 172.0.0.0/16 Delete :
در ابتدا از شما می خواهد که Access list هایی که مد نظر شما نیست را با وارد کردن شمار سطر حذف کنید در غیر اینصورت در خط خالی کلید Enter را بزنید تا کلمه Permit ظاهر شود
Permit :
در جلوی این سطر می توانید Access list های مورد نظر را وارد کنید.
Permit : 192.168.1.0/24
6.اگر از ویژگی Global Correlation بخواهید استفاده کنید باید DNS را تنظیم کنید
Use DNS server for Global Correlation?[no]: yes
در اینجا از ما ادرس DNS را می خواهد
DNS server IP address[]:8.8.8.8
7.در صورت استفاده از Proxy Server برای ویژگی Global Correlation باید انرا معرفی کنیم
Use HTTP proxy server for Global Correlation?[no]:yes
آدرس و پورت مربوطه را وارد می کنیم:
HTTP proxy server IP address[]:192.168.3.11 HTTP proxy server port number[]:8080
8.در صورت نیاز به تغییر پارامترهای زمان yes را وارد می کنیم
Modify system clock settings?[no]: yes
در صورتی که بخواهیم Summer Time را تنظیم کنیم Yes را وارد می کنیم:
Modify summer time settings?[no]:no
اگر بخواهیم Time Zone را تغییر دهیم
Modify system timezone?[no]: yes Timezone[UTC]: UTC
اختلاف ساعت را وارد می کنیم
UTC Offset[330]: 330
در صورت داشتن NTP Server ادرس و در صورت داشتن Authentication انرا مشخص می کنیم:
Use NTP?[yes]: 192.168.1.11 NTP Server IP Address[]: Use NTP Authentication?[no]:no
9.سطح مشارکت در شبکه SensorBase را مشخص می کنیم
SensorBase Network Participation level?[off]:
SensorBase شبکه ای است که توسط سیسکو برای شناسایی حملات و راه های نفوذ ایجاد شده است که شما می تواند با تعیین یک سطح به ان در این شناسایی کمک کنید
10. بعد از مرحله فوق تنظیمات انجام شده به ما نمایش داده می شود و در انتهای ان چهار گزینه جهت انتخاب نمایش داده می شود
The following configuration was entered. service host network-settings host-ip 192.168.1.2/24,192.168.1.1 host-name ITPRO telnet-option disabled access-list 192.168.1.0/24 ftp-timeout 300 no login-banner-text dns-primary-server enable address 8.8.8.8 exit dns-secondary-server disabled dns-tertiary-server disabled http-proxy proxy-server address 192.168.3.11 port 8080 exit time-zone-settings offset 330 standard-time-zone-name UTC exit summertime-option disabled ntp-option enabled-ntp-unauthenticated ntp-server 192.168.1.11 exit exit service global-correlation network-participation off exit [0] Go to the command prompt without saving this config. [1] Return to setup without saving this config. [2] Save this configuration and exit setup. [3] Continue to Advanced setup. Enter your selection[3]:
گزینه های فوق به ترتیب به شرح زیر می باشد:
نکته : دستورات زیر جهت استفاده برای ماژول AIP می باشد این ماژول دارای دو اینترفیس گیگابیت می باشد که گیکابیت صفر به عنوان Management استفاده می شود
جهت آماده سازی پیشرفته مراحل زیر را دنبال کنید:
1. به سنسور Login کنید
asa# session 1
2. دستور Setup را وارد کنید تا سیستم آماده سازی سنسور نمایان شود
3. کلید Enter را بدون ایجاد تغییر در گزینه ها بزنید تا منوی دسترسی به آماده سازی پیشرفته ظاهر شود
[0] Go to the command prompt without saving this config. [1] Return to setup without saving this config. [2] Save this configuration and exit setup. [3] Continue to Advanced setup. Enter your selection[3]:
4. با انتخاب گزینه 3 وارد آماده سازی پیشرفته می شویم
5. در ابتدا وضعیت Telnet را باید مشخص کنید که به طور پیش فرض غیر فعال است
Enter telnet-server status[disabled]:
6. سپس پورت Web Server را مشخص می کنیم که مقدار پیش فرض 443 می باشد
Enter web-server port[443]:
7. برای تغییر اینترفیس ها و Virtual سنسور yes را وارد کنید.
Modify interface/virtual sensor configuration?[no]: yes Current interface configuration Command control: GigabitEthernet0/0 Unassigned: Virtual Sensor: vs0 Anomaly Detection: ad0 Event Action Rules: rules0 Signature Definitions: sig0 Monitored: GigabitEthernet0/1 [1] Edit Interface Configuration [2] Edit Virtual Sensor Configuration [3] Display configuration Option:
نکته: Virtual Sensor مجموعه از Police ها است که به یک جریان ترافیک نسبت میدهیم تا سیاست های مورد نظر ما را اجرا کند. همچنین می توان چندتا Virtual Senor به صورت مجازی در یک سنسور فیزیکی داشته باشیم و آنها را به جریان مختلف نسبت دهیم.
8. گزینه دوم را انتخاب می کنیم تا سنسور مجازی را تنظیم کنیم
[1] Remove virtual sensor. [2] Modify "vs0" virtual sensor configuration. [3] Create new virtual sensor. Option:
9. گزینه دوم را انتخاب می کنیم تا تنظیمات مربوط به VS0 را انجام دهیم (سنسور مجازی پیش فرض)
Virtual Sensor: vs0 Anomaly Detection: ad0 Event Action Rules: rules0 Signature Definitions: sig0 No Interfaces to remove. Unassigned: Monitored: [1] GigabitEthernet0/1 Add Interface:
10. عدد یک را وارد می کنیم تا اینترفیس گیگابیت 1 جهت مانیتور شدن اضافه شود
11. کلید Enter را بزنید تا به منوی قبل باز گردید
Virtual Sensor: vs0 Anomaly Detection: ad0 Event Action Rules: rules0 Signature Definitions: sig0 [1] Remove virtual sensor. [2] Modify "vs0" virtual sensor configuration. [3] Create new virtual sensor. Option:
12. در صورتی که بخواهید یک سنسور مجازی دیگر بسازید گزینه سه را انتخاب کنید
13. یک نام برای ان انتخاب کنید
Name[]: ITpro.ir
14. در اینجا می توانید یک Description برای ان در نظر بگیرید
Description[Created via setup by user jeffar]:
15. Anomaly Detection را مشخص می کنیم که در اینجا ما گزینه یک Anomaly Detection موجود استفاده می کنیم
Anomaly Detection Configuration [1] ad0 [2] Create a new anomaly detection configuration Option[1]:
16. Signature Definition را مشخص می کنیم
Signature Definition Configuration [1] sig0 [2] Create a new signature definition configuration Option[1]:
17. در اینجا گزینه دوم را انتخاب می کنیم تا یک signature definition جدید ایجاد کنیم
18. یک نام برای ان انتخاب کنید
Name[]: tosinso.com
19. گزینه یک Event رول پیش فرض را به ان اختصاص میدهیم
Event Action Rules Configuration [1] rules0 [2] Create a new event action rules configuration Option[1]:
20. اینترفیس گیگابیت یک را به ان اختصاص می دهیم
Virtual Sensor: ITpro.ir Anomaly Detection: ad0 Event Action Rules: rules0 Signature Definitions: tosinso.com Unassigned: Monitored: [1] GigabitEthernet0/1 Add Interface:
21. کلید Enter را می زنیم تا منوی قبلی ظاهر شود
Virtual Sensor: ITpro.ir Anomaly Detection: ad0 Event Action Rules: rules0 Signature Definitions: tosinso.com Monitored: GigabitEthernet0/1 [1] Remove virtual sensor. [2] Modify "test" virtual sensor configuration. [3] Modify "vs0" virtual sensor configuration. [4] Create new virtual sensor. Option:
22. کلید Enter را بزنید تا پیام زیر ظاهر شود
Modify default threat prevention settings?[no]:yes
23. اگر بخواهیم از بسته هایی با خطر ریسک بالا برای تمام سنسور جلوگیری شود از گزینه زیر استفاده می کنیم
Virtual sensor ITpro.ir is configured to prevent high risk threats in inline mode. (Risk Rating 90-100) Virtual sensor vs0 is configured to prevent high risk threats in inline mode. (Risk Rating 90-100) Do you want to enable automatic threat prevention on all virtual sensors?[no]:
24. در اینجا تنظیمات ما به پایان رسیده و تنظیمات به ما نمایش داده می شود و می توانیم تنظیمات را ذخیره کنیم
The following configuration was entered. service host network-settings host-ip 192.168.1.2/24,192.168.1.1 host-name ITPRO telnet-option disabled access-list 192.168.1.0/24 ftp-timeout 300 no login-banner-text dns-primary-server enable address 8.8.8.8 exit dns-secondary-server disabled dns-tertiary-server disabled http-proxy proxy-server address 192.168.3.11 port 8080 exit time-zone-settings offset 330 standard-time-zone-name UTC exit summertime-option disabled ntp-option enabled-ntp-unauthenticated ntp-server 192.168.1.11 exit exit service global-correlation network-participation off exit service web-server port 443 exit service analysis-engine virtual-sensor ITpro.ir description Created via setup by user jeffar signature-definition tosinso.com event-action-rules rules0 anomaly-detection anomaly-detection-name ad0 exit physical-interface GigabitEthernet0/1 exit exit service event-action-rules rules0 overrides override-item-status Enabled risk-rating-range 90-100 exit exit service event-action-rules tosinso.com overrides override- risk-rati exit exit [0] Go to [1] Retur [2] Save Enter you Enter your selection[2]:
در قسمت های قبل نحوی آماده سازی سنسور را با استفاده از دستور Setup دیدیم در اینجا می خواهیم برخی از دستورات قسمت های قبل را به صورت Command اجرا کنیم.
جهت تغییر نام سنسور دستورات زیر را وارد کنید:
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-name tosinso.com
در صورتی که بخواهید IP سنسور و Gateway را تغییر دهیم به صورت زیر عمل می کنیم
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# host-ip 192.0.2.1/24,192.0.2.2
اگر بخواهید Telnet را فعال یا غیر فعال کنیم از دستورات زیر استفاده می کنیم
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# telnet-option enabled
اگر Access-List که دسترسی به سنسور را مشخص می کند بخواهیم تغییر دهیم دستورات زیر را وارد می کنیم
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings
اضافه کردن:
sensor(config-hos-net)# access-list 192.0.2.110/32
حذف کردن:
sensor(config-hos-net)# no access-list 192.0.2.110/32
برای ایجاد login Banner به صورت زیر عمل می کنیم:
نکته: login Banner جهت نمایش یک متن در هنگام اتصال استفاده می شود(در اینجا itpro is best متن مورد نظر ماست)
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# login-banner-text itpro is best
اگر خواستید DNS ها یا Proxy Server را تغییر دهید از دستورات زیر استفاده کنید
sensor# configure terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# http-proxy proxy-server sensor(config-hos-net-pro)# address 10.10.10.1 sensor(config-hos-net-pro)# port 65 sensor(config-hos-net)# dns-primary-server enabled sensor(config-hos-net-ena)# address 10.10.10.1
تعیین زمان قطع ارتباط در صورت عدم استفاده:
نکته: اگر شما به دستگاه متصل شده باشید بعد از یک زمان مشخص در صورت عدم استفاده ارتباط شما قطع می شود با دستورات زیر می توانید این مدت زمان را مشخص کنید که براساس ثانیه است.
sensor# configure terminal sensor(config)# service authentication sensor(config-aut)# cli-inactivity-timeout 300
تعریف یوزر:
sensor# configure terminal sensor(config)# username tester privilege administrator Enter Login Password: ************ Re-enter Login Password: ************
ایجاد سیاست های تعیین رمز:
sensor# configure terminal sensor(config)# service authentication
با دستور زیر یوزر پس از 3 بار تلاش نا موفق قفل می شود
sensor(config-aut)# attemptLimit 3
تعیین شرایط پسورد:
sensor(config-aut)# password-strength
در پسورد حداقل با شش کاراکتر عددی وجود داشته باشد
sensor(config-aut-pas)# digits-min 6
در پسورد حداقل باید 3 کارکتر غیر عددی و حروف استفاده شود مانند * . !
sensor(config-aut-pas)# other-min 3
حداقل دارای 3 حرف بزرگ باشد
sensor(config-aut-pas)# uppercase-min 3
حداقل دارای 3 حرف کوچک باشد
sensor(config-aut-pas)# lowercase-min 3
از سه پسورد اخیر هم نمی توان استفاده کرد
sensor(config-aut-pas)# number-old-passwords 3
مشاهده تنظیمات دستگاه:
Sensor# show configuration
نکته: بعد از خروج از Service Mode پیغامی جهت ذخیره تغییرات به ما داده می شود
متدهای آنالیز و تجزیه و تحلی ترافیک در سیستم پیشگیری از نفوذ سیسکو چند نوع است؟
روش های Stateful Content Matching و Protocol Decoding و Event Correlation و Packet Header Matching و Packet Content Matching جزء دسته Signature Base هستند. روش های Statistical Modeling و Traffic Correlation و Rate Analysis جزء دسته Anomaly Base هستند.
روش های دور زدن IPS و مقابله با آن : در اینجا روش هایی که هکرها برای دور زدن IPS استفاده می کنند و روش های مقابله با ان گفته می شود.
مراحل آماده سازی به طور کلی :
ابتدا محل فیزیکی IPS باید مشخص شود.
نکته : در این حالت Native Vlan نمی توانیم داشته باشیم.
نکته: یک Vlan نمی تواند عضو چند vlan pair باشد
نکته: حداکثر 255 تا vlan پشتیبانی می شود.
نکته : در این روش Native Vlan پشتیبانی می شود
نکته : حداکثر 255 تا vlan پشتیبانی می شود
به دو دسته تقسیم می شوند: