Escolar Documentos
Profissional Documentos
Cultura Documentos
Instrucciones:
-
R1
El objetivo de esta prctica es comprobar el funcionamiento de un IPS con una firma bsica la
cual har saltar una alerta que informar de la recepcin de respuestas de eco.
Lanzaremos pings desde la mquina PC a INTERNET, pasando por el router R1 que tiene el rol
de IPS inline.
Sacamos un router c7200 en el GNS3
TEMA 5: IPS
Para que el SDM sea capaz de ejecutar funciones IPS, la consola de Java ha de tener al menos 256 MB
de capacidad. Para ello, deberemos dirigirnos al panel de control, abrir la consola de Java, pestaa
Java> Ver> y en Parmetros del entorno de ejecucin escribir Xmx512m.
Abrimos el SDM y nos conectamos al router IPS mediante HTTP o el SDM launcher.
Nos autenticamos con las credenciales del usuario de nivel 15 (sern varias veces).
Nos vamos a Configurar>Prevencin de Intrusiones>Iniciar el Asistente de Reglas IPS.
Aceptamos la habilitacin del protocolo SDEE de notificacin de alertas.
Nos debe aparecer un asistente igual al de la figura.
TEMA 5: IPS
Leemos el contenido de la
ventana y pulsamos Siguiente.
TEMA 5: IPS
En Elegir categora, seleccionamos basic, para que el router no se ralentice demasiado. Seleccionando
basic provocamos que se usen menos firmas por el IOS IPS.
Pulsamos Siguiente>Finalizar.
Ahora el proceso tardar un tiempo en completarse, puesto que se han de mandar los comandos al
router, se ha de descargar el fichero de firmas del tftp y se ha de descomprimir dicho fichero en el
router. Se puede comprobar en la interfaz del programa 3CDaemon si la descarga se est llevando a
cabo.
Ahora, para comprobar la eficiencia del uso de la firma 2000, haremos un ping desde PC a INTERNET, y
el mismo, como es de suponer, ser satisfactorio, ya que dicha firma est deshabilitada por defecto.
Para modificar esta conducta, nos vamos a la pestaa Editar IPS>Firmas.
Seleccionamos All Categories y organizamos la lista por ID de firma. Localizamos entonces la firma
2000 y comprobamos que la misma est deshabilitada (tiene un icono rojo a su izquierda).
Seleccionamos dicha firma, clic derecho y escogemos Acciones. Marcamos Deny packet inline y
Produce Alert. Hacemos clic en Activar, en el men superior(si es necesario habilitaremos su
compilacin). Hacemos clic en Aplicar cambios. Este proceso tambin puede tardar unos minutos.
Configuraremos correctamente tambin los mensajes syslog y SDEE. Los mensajes SDEE son mostrados
directamente por el SDM y, aunque tambin puede mostrar los mensajes syslog, haremos que los
mismos sean recibidos por nuestro servidor syslog de PC.
Para ello, en R1 escribimos los siguientes comandos:
configure terminal
logging enable
logging host IP
logging trap informational
Si ahora probamos a hacer el ping desde PC a INTERNET, veremos cmo el mismo no es satisfactorio y,
adems el syslog recibir alertas de una firma que se ha disparado a causa de encontrar coincidencias.
El riesgo IPS de las solicitudes de echo-reply (severity level) es relativamente bajo (25), pudiendo
oscilar en valores de 0 a 100.
TEMA 5: IPS
TEMA 5: IPS