نمایش نتایج: از شماره 1 تا 4 از مجموع 4

موضوع: ids on cisco

  
  1. #1
    نام حقيقي: منصوری

    عضو غیر فعال شناسه تصویری katsi_ppp
    تاریخ عضویت
    Dec 2008
    محل سکونت
    ایران
    نوشته
    228
    سپاسگزاری شده
    13
    سپاسگزاری کرده
    17

    Icon4 ids on cisco

    سلام دوستان می خواستم ببینم کسی راجب ids راه انداختن بر روی سویچها و روترها چیزی می دونه



    موضوعات مشابه:

  2. #2
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12

    چی می خوای بدونی راجبش ؟






  3. #3
    نام حقيقي: منصوری

    عضو غیر فعال شناسه تصویری katsi_ppp
    تاریخ عضویت
    Dec 2008
    محل سکونت
    ایران
    نوشته
    228
    سپاسگزاری شده
    13
    سپاسگزاری کرده
    17

    Icon12 hi

    سلام اقا ایمان ممنون میشم اطلاعات کلی راجب نحوه عمکرد و پیکربندی و کاربرد راهنمایی کنین

    best regards



  4. #4
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,547
    سپاسگزاری شده
    6795
    سپاسگزاری کرده
    1034
    نوشته های وبلاگ
    4
    نویسنده: ایمان منصوری
    منبع: وب سایت شخصی ایمان منصوری - راه اندازی Cisco IOS IPS

    در یکی از مقالات قبلی خودم " گذری بر IPS" توضیحات مختصری درباره سیستم های IPS/IDS دادم. امروزه با توجه به خطرات متعددی که هست از worm و ویروس گرفته تا exploit های نرم افزاری و حملات DOS و... همگی می توانند سلامت یک شبکه را خطر بیندازند. لذا استفاده از راه کار هایی که بتوانند تا حدی این حملات را شناسایی کرده و از بروز آنها جلوگیری کنند یک اجبار محسوب می شود. خوب شرکت های متعددی از خود سیسکو گرفته با محصولات IPS Sensor خودش ، Juniper IDP ، محصول Fortigate ، محصول IPSO از شرکت NOKIA ، CheckPoint IPS-1 و دو محصول سخت افزاری برتر Dragon و Tipping Point و تولیدات نرم افزاری که معروف ترین آنها Snort می باشد همگی و همگی به صورت جدی بروی Network IDS و Host IPS فعالیت می کنند. تمامی اینها (بجز Snort ) یک Appliance سخت افزاری هستند که باید خریداری شده و در جایگاه مناسب خود در شبکه قرار گیرند. اما از بحث اصلی زیاد دور شدم .... این مقاله درباره نحوه تنظیم یک محصول بسیار handy و کابردی سیسکو به نام IOS IPS است که بخشی از زیر ساختار امنیتی Self-Defending Networks سیسکو می باشد. محصول Cisco IOS IPS ساده ترین IPSسیسکو است که به صورت inlineبر روی روتر ها نصب شده و با استفاده از Deep Packet Inspection از حملات جلوگیری می کند. این محصول یک IPS از نوع signature-bases است که در حال حاضر از بیش از 2000 signatureپشتیبانی می کند. نحوه کارکرد IOS IPS بر پایه signature micro-engines یا همان SME ها بنا شده است. هر engine دسته ای از signature ها را یک گروه یا Category می کند. بطور مثال تمام signature های مربوط به HTTP زیر گروه HTTP Engine هستند.
    تا قبل از IOS نسخه 12.4(11)T تمامی signature های در یک فایل SDF قرار داشتند و به عنوان قالب نسخه 4.x معروف هستند. اما از نسخه 12.4(11)T از قالب 5.x استفاده می کند. در این نسخه signature ها بصورت xml یا یک فایل با پسوند pkg تعریف شده اند و لذا بر خلاف نسخه قبلی به صورت مجزا از یکدیگر قابل فعال و استفاده شدن هستند. بعلاوه در این نسخه قابلیت auto-update هم اضافه شده است. لیست کامل signature از این لینک قابل مشاهده است.
    و اما یک توضیح خلاصه راجع نحوه عملکرد IOS IPS . به یاد داشته باشید که چه برای packet های ingressو چه برای packetهای egress ابتدا Stateless IPS Detectionصورت می گیرد و بعد ACL ، NATو ... اعمال می شود. تمامی packet های ورودی به صورت parallel بر پایه یک سری regular expression چک می شوند . به همین دلیل است که قبل از استفاده تمامی signature های مورد نظر ابتدا compile شوند. اما بعد از اینکه یک packet در regex مربوطه match شد ، بر اساس تنطیمات انجام شده در signature مربوطه می تواند یک alarmارسال کند ، packetمربوطه را drop کند ، connection مربوطه را reset کند ( که مربوط به ارتباطات TCP-Based می باشد) ، آن ارتباط خاص و یا حتی تمامی flow های ip مربوط به attacker را deny کند. البته action پیش فرض برای تمامی signature ها تعریف شده است. اما براحتی قابل تغییر می باشد. یک نکته مهم آن هم اینکه حتی محتوای packet های fragment شده هم توسط IOS IPS اسکن خواهد شد. تمامی signature های قابل استفاده در IOS در دو گروه basic و advanced تعریف شده اند. هر چند category های دیگری هم وجود دارند. اما compile کردن آنها می تواند با error همراه باشد بدلیل اینکه IOSتوانایی compile کردن آنها را ندارد. اگر که روتر شما دارای 128MB از RAMدارد ، از IOS Basic و در صورت داشتن 256MB از RAM از IOS Advanced استفاده کنید. در صورتی که روتر RAM کافی نداشته باشد ، performance آن به صورت قابل توجهی کاهش پیدا می کند. در انتها اینکه برای مشاهده alarm های فرستاده شده از IOS IPS می توان از syslogاستفاده کرد و با اینکه از نرم افزارهایی مثل Cisco MARS یا Cisco IVE که از پروتکل SDEE پشتیبانی می کنند ، استفاده کرد.
    و حالا نوبتی هم که باشد ، زمان راه اندازی است. فقط به خاطر داشته باشید که این مراحل می بایست به ترتیب نوشته شده انجام شوند.
    1. ابتدا یک دایرکتوری بر روی روتر ایجاد کنید. از این فولدر برای نگهداری signature استفاده می شود.


    کد:
    ios-ips-rtr#mkdir flash:ips_sig
    Create directory filename (ips_sig)?
    Created dir flash:ips_sig


    2. در میان فایل هایی کپی می شوند ، یک فایل به نام sigdef-default.xml وجود دارد که محتوای آن توسط private key سیسکو sign شده است تا authenticity و integrity آن تایید شود. لذا نیاز است تا public key سیسکو در ios وارد شود تا digital signature موجود در master signature file تایید شود.
    کد:
    ios-ips-rtr(config)#crypto key pubkey-chain rsa ios-ips-rtr(config-pubkey-key)#named-key realm-cisco.pub signature ios-ips-rtr(config-pubkey-key)key-string Enter a public key as a hexidecimal number .... 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001 Quit
    3.در مرحله بعدی یک rule برای IPS باید تعریف شود. اما کابرد آن. این امکان وجود دارد که شما IPS Inspectionرا برای فقط یک ترافیک خاص اعمال کنید. اینکار توسط یک ACL انجام می شود . این ACL کجا معرفی می شود ؟؟ پس از نام Rule ی که تعریف شده و بعدا آنرا به یک interface باید اختصاص داد.

    کد:
     ios-ips-rtr(config)# ip ips name iosips

    4.گام بعدی معرفی محل استقرار فایل های signature به ios است. البته به خاطر داشته باشید که هنوز signtaure ها در روتر کپی نشده اند.

    کد:
     ios-ips-rtr(config)# ip ips config location disk0:ips

    5. خوب تصمیم داریم که در صورت هر گونه detection یک پیغام syslog هم ارسال شود.

    کد:
     ios-ips-rtr(config)# ip ips notify log

    6. خوب گام بعدی retire کردن تمامی signature ها می باشد. این بدان معناست که هیچ یک از signature ها بطور پیش فرض compile نشود. و سپس تعریف کنیم که فقط signature های گروه ios basic (که توسط روتر قابل compile هستند) باید unretire شوند.

    کد:
    ios-ips-rtr(config)#ip ips signature-category 
    ios-ips-rtr(config-ips-category)# category all 
    ios-ips-rtr(config-ips-category-action)# retired true 
    ios-ips-rtr(config-ips-category-action)# exit 
    ios-ips-rtr(config-ips-category)# category ios_ips basic 
    ios-ips-rtr(config-ips-category-action)# retired false 
    ios-ips-rtr(config-ips-category-action)# exit 
    ios-ips-rtr(config-ips-category)# exit 
    Do you want to accept these changes? [confirm]y


    7. حال باید rule تعریف شده را جهت inspection به یک interface اختصاص داد تا ترافیک ورودی یا خروجی را inspect کند.

    کد:
    ios-ips-rtr(config)#interface fast 0/1 
    ios-ips-rtr(config-if)#ip ips iosips in 
    ios-ips-rtr(config-if)#ip ips iosips out

    8. در گام نهایی هم می بایستی فایل signature مربوطه به روتر copy شوند تا load و compile شود. اینهم یک نمونه فایل signature که از سایت قایل دانلود است.

    کد:
    ios-ips-rtr#copy ftp://192.168.1.50/IOS-S349-CLI.pkg idconf !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    و تست نهاییییی ...
    signature شماره 2004 مربوط به ICMP echo Request هست. این هم یک لیست که برخی signature ها در آن مشخص شده است.

    کد:
    ios-ips-rtr#sh ip ips signature sigid 2004 subid 0 | in sig-name
      sig-name: ICMP Echo Request

    خوب برای نمونه این signature را enable می کنیم تا در صورت مشاهده هرگونه ICMP Echo Request یک پیغام syslog صادر کند.
    کد:
    
     
    ios-ips-rtr(config)#ip ips signature-definition ios-ips-rtr(config-sigdef)#signature 2004 0 ios-ips-rtr(config-sigdef-sig)#status ios-ips-rtr(config-sigdef-sig-status)#enabled true ios-ips-rtr(config-sigdef-sig-status)#retired false ios-ips-rtr(config-sigdef-sig)#engine ios-ips-rtr(config-sigdef-sig-engine)#event-action produce-alert

    و حالا ping نهایی ...

    000055: *
    کد:
    Mar 14 15:49:03.879: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:100 ICMP Echo Request [192.168.1.50:8 -> 192.168.1
    .2:0] VRF:NONE RiskRating:100


    نویسنده: ایمان منصوری
    منبع: وب سایت شخصی ایمان منصوری - راه اندازی Cisco IOS IPS


    محمد حکیمی
    hakimi [a t] gmail.com

کلمات کلیدی در جستجوها:

درباره ids

تاریخچه SME

درباره ipsids

مقاله در مورد ids ips

REALM CONFIG دانلود

نحوه عملکرد ids

توضیح درباره و ips idsidm ciscoتاریخجه IPS و IDSکانفیگ کردن وپیکربندی snortراه اندازی ipsidsکانفیگ IDS در سیسکوids and ips دربارهدرباره تخصصی ipsidsمقالات وتحقیقات درباره ids ipsios ids دانلوددرباره الگوریتم idssignature ips توضيح cisco IOS-S349-CLI.pkgios-s349-cli.pkgراه اندازی cisco ids inspection سیسکوios ips signature downloadموضوع idsالگوریتم ساختاری سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •