ids on cisco

نویسنده: ایمان منصوری
منبع: [URL="http://mynetnote.com/site/cisco-articles/IOS-and-Cisco-Security/Implementing-Cisco-IOS-IPS.html"]وب سایت شخصی ایمان منصوری - راه اندازی Cisco IOS IPS[/URL]

در یکی از مقالات قبلی خودم " گذری بر IPS" توضیحات مختصری درباره سیستم های IPS/IDS دادم. امروزه با توجه به خطرات متعددی که هست از worm و ویروس گرفته تا exploit های نرم افزاری و حملات DOS و... همگی می توانند سلامت یک شبکه را خطر بیندازند. لذا استفاده از راه کار هایی که بتوانند تا حدی این حملات را شناسایی کرده و از بروز آنها جلوگیری کنند یک اجبار محسوب می شود. خوب شرکت های متعددی از خود سیسکو گرفته با محصولات IPS Sensor خودش ، Juniper IDP ، محصول Fortigate ، محصول IPSO از شرکت NOKIA ، CheckPoint IPS-1 و دو محصول سخت افزاری برتر Dragon و Tipping Point و تولیدات نرم افزاری که معروف ترین آنها Snort می باشد همگی و همگی به صورت جدی بروی Network IDS و Host IPS فعالیت می کنند. تمامی اینها (بجز Snort ) یک Appliance سخت افزاری هستند که باید خریداری شده و در جایگاه مناسب خود در شبکه قرار گیرند. اما از بحث اصلی زیاد دور شدم .... این مقاله درباره نحوه تنظیم یک محصول بسیار handy و کابردی سیسکو به نام IOS IPS است که بخشی از زیر ساختار امنیتی Self-Defending Networks سیسکو می باشد. محصول Cisco IOS IPS ساده ترین IPSسیسکو است که به صورت inlineبر روی روتر ها نصب شده و با استفاده از Deep Packet Inspection از حملات جلوگیری می کند. این محصول یک IPS از نوع signature-bases است که در حال حاضر از بیش از 2000 signatureپشتیبانی می کند. نحوه کارکرد IOS IPS بر پایه signature micro-engines یا همان SME ها بنا شده است. هر engine دسته ای از signature ها را یک گروه یا Category می کند. بطور مثال تمام signature های مربوط به HTTP زیر گروه HTTP Engine هستند.
تا قبل از IOS نسخه 12.4(11)T تمامی signature های در یک فایل SDF قرار داشتند و به عنوان قالب نسخه 4.x معروف هستند. اما از نسخه 12.4(11)T از قالب 5.x استفاده می کند. در این نسخه signature ها بصورت xml یا یک فایل با پسوند pkg تعریف شده اند و لذا بر خلاف نسخه قبلی به صورت مجزا از یکدیگر قابل فعال و استفاده شدن هستند. بعلاوه در این نسخه قابلیت auto-update هم اضافه شده است. لیست کامل signature از این لینک قابل مشاهده است.
و اما یک توضیح خلاصه راجع نحوه عملکرد IOS IPS . به یاد داشته باشید که چه برای packet های ingressو چه برای packetهای egress ابتدا Stateless IPS Detectionصورت می گیرد و بعد ACL ، NATو ... اعمال می شود. تمامی packet های ورودی به صورت parallel بر پایه یک سری regular expression چک می شوند . به همین دلیل است که قبل از استفاده تمامی signature های مورد نظر ابتدا compile شوند. اما بعد از اینکه یک packet در regex مربوطه match شد ، بر اساس تنطیمات انجام شده در signature مربوطه می تواند یک alarmارسال کند ، packetمربوطه را drop کند ، connection مربوطه را reset کند ( که مربوط به ارتباطات TCP-Based می باشد) ، آن ارتباط خاص و یا حتی تمامی flow های ip مربوط به attacker را deny کند. البته action پیش فرض برای تمامی signature ها تعریف شده است. اما براحتی قابل تغییر می باشد. یک نکته مهم آن هم اینکه حتی محتوای packet های fragment شده هم توسط IOS IPS اسکن خواهد شد. تمامی signature های قابل استفاده در IOS در دو گروه basic و advanced تعریف شده اند. هر چند category های دیگری هم وجود دارند. اما compile کردن آنها می تواند با error همراه باشد بدلیل اینکه IOSتوانایی compile کردن آنها را ندارد. اگر که روتر شما دارای 128MB از RAMدارد ، از IOS Basic و در صورت داشتن 256MB از RAM از IOS Advanced استفاده کنید. در صورتی که روتر RAM کافی نداشته باشد ، performance آن به صورت قابل توجهی کاهش پیدا می کند. در انتها اینکه برای مشاهده alarm های فرستاده شده از IOS IPS می توان از syslogاستفاده کرد و با اینکه از نرم افزارهایی مثل Cisco MARS یا Cisco IVE که از پروتکل SDEE پشتیبانی می کنند ، استفاده کرد.
و حالا نوبتی هم که باشد ، زمان راه اندازی است. فقط به خاطر داشته باشید که این مراحل می بایست به ترتیب نوشته شده انجام شوند.
1. ابتدا یک دایرکتوری بر روی روتر ایجاد کنید. از این فولدر برای نگهداری signature استفاده می شود.

[COLOR=Black][FONT=Lucida Console][LEFT] [code]ios-ips-rtr#mkdir flash:ips_sig
Create directory filename (ips_sig)?
Created dir flash:ips_sig[/code][/LEFT]
[/FONT][/COLOR]

2. در میان فایل هایی کپی می شوند ، یک فایل به نام sigdef-default.xml وجود دارد که محتوای آن توسط private key سیسکو sign شده است تا authenticity و integrity آن تایید شود. لذا نیاز است تا public key سیسکو در ios وارد شود تا digital signature موجود در master signature file تایید شود.
[code]
[LEFT] ios-ips-rtr(config)#crypto key pubkey-chain rsa
ios-ips-rtr(config-pubkey-key)#named-key realm-cisco.pub signature
ios-ips-rtr(config-pubkey-key)key-string
Enter a public key as a hexidecimal number ....
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
Quit

[/LEFT]
[/code]3.در مرحله بعدی یک rule برای IPS باید تعریف شود. اما کابرد آن. این امکان وجود دارد که شما IPS Inspectionرا برای فقط یک ترافیک خاص اعمال کنید. اینکار توسط یک ACL انجام می شود . این ACL کجا معرفی می شود ؟؟ پس از نام Rule ی که تعریف شده و بعدا آنرا به یک interface باید اختصاص داد.

[LEFT][code] ios-ips-rtr(config)# ip ips name iosips [/code][/LEFT]

4.گام بعدی معرفی محل استقرار فایل های signature به ios است. البته به خاطر داشته باشید که هنوز signtaure ها در روتر کپی نشده اند.

[LEFT][code] ios-ips-rtr(config)# ip ips config location disk0:ips [/code][/LEFT]

5. خوب تصمیم داریم که در صورت هر گونه detection یک پیغام syslog هم ارسال شود.

[LEFT][code] ios-ips-rtr(config)# ip ips notify log [/code][/LEFT]

6. خوب گام بعدی retire کردن تمامی signature ها می باشد. این بدان معناست که هیچ یک از signature ها بطور پیش فرض compile نشود. و سپس تعریف کنیم که فقط signature های گروه ios basic (که توسط روتر قابل compile هستند) باید unretire شوند. [COLOR=Black]

[/COLOR] [COLOR=Black][FONT=Lucida Console][LEFT] [code]ios-ips-rtr(config)#ip ips signature-category
ios-ips-rtr(config-ips-category)# category all
ios-ips-rtr(config-ips-category-action)# retired true
ios-ips-rtr(config-ips-category-action)# exit
ios-ips-rtr(config-ips-category)# category ios_ips basic
ios-ips-rtr(config-ips-category-action)# retired false
ios-ips-rtr(config-ips-category-action)# exit
ios-ips-rtr(config-ips-category)# exit
Do you want to accept these changes? [confirm]y[/code] [/LEFT]
[/FONT]

[/COLOR]7. حال باید rule تعریف شده را جهت inspection به یک interface اختصاص داد تا ترافیک ورودی یا خروجی را inspect کند. [COLOR=Black]

[/COLOR] [COLOR=Black][FONT=Lucida Console][LEFT] [code]ios-ips-rtr(config)#interface fast 0/1
ios-ips-rtr(config-if)#ip ips iosips in
ios-ips-rtr(config-if)#ip ips iosips out[/code][/LEFT]
[/FONT][/COLOR]
8. در گام نهایی هم می بایستی فایل signature مربوطه به روتر copy شوند تا load و compile شود. اینهم یک نمونه فایل [URL="http://www.mynetnote.net/site/download/cisco/ios-ips-signature/IOS-S349-CLI.pkg"]signature[/URL] که از سایت قایل دانلود است.

[code][LEFT] ios-ips-rtr#copy [URL]ftp://192.168.1.50/IOS-S349-CLI.pkg[/URL] idconf
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[/LEFT]
[/code]و تست نهاییییی ...
signature شماره 2004 مربوط به ICMP echo Request هست. این هم یک [URL="http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6634/prod_white_paper0900aecd8062ac75.html"]لیست[/URL] که برخی signature ها در آن مشخص شده است.[COLOR=Black]

[/COLOR] [COLOR=Black][FONT=Lucida Console][LEFT] [code]ios-ips-rtr#sh ip ips signature sigid 2004 subid 0 | in sig-name
sig-name: ICMP Echo Request[/code] [/LEFT]
[/FONT][/COLOR]
خوب برای نمونه این signature را enable می کنیم تا در صورت مشاهده هرگونه ICMP Echo Request یک پیغام syslog صادر کند.[code]
[COLOR=Black]
[/COLOR] [LEFT] ios-ips-rtr(config)#ip ips signature-definition[COLOR=Black]
ios-ips-rtr(config-sigdef)#signature 2004 0
ios-ips-rtr(config-sigdef-sig)#status
ios-ips-rtr(config-sigdef-sig-status)#enabled true
ios-ips-rtr(config-sigdef-sig-status)#retired false
ios-ips-rtr(config-sigdef-sig)#engine
ios-ips-rtr(config-sigdef-sig-engine)#event-action produce-alert[/COLOR] [/LEFT]
[/code][COLOR=Black]
و حالا ping نهایی ...
[/COLOR] [COLOR=Black]
[/COLOR] [COLOR=Black][FONT=Lucida Console][LEFT] 000055: *[code]Mar 14 15:49:03.879: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:100 ICMP Echo Request [192.168.1.50:8 -> 192.168.1
.2:0] VRF:NONE RiskRating:100[/code] [/LEFT]
[/FONT]
[/COLOR]
نویسنده: ایمان منصوری
منبع: [URL="http://mynetnote.com/site/cisco-articles/IOS-and-Cisco-Security/Implementing-Cisco-IOS-IPS.html"]وب سایت شخصی ایمان منصوری - راه اندازی Cisco IOS IPS[/URL]