ID: 6847

Название работы: Налаштування контекстного контролю доступу

Категория: Лабораторная работа

Предметная область: Информатика, кибернетика и программирование

Описание: Налаштування контекстного контролю доступу Завдання роботи: Навчитися налаштовувати правила контекстного контролю доступу на маршрутизаторах Топологія Сценарій Контекстний контроль доступу (CBAC - Context Based Access Control) є...

Язык: Украинкский

Дата добавления: 2013-01-08

Размер файла: 173 KB

Работу скачали: 3 чел.

Налаштування контекстного контролю доступу

Завдання роботи:

•  Навчитися налаштовувати правила контекстного контролю доступу на маршрутизаторах

Топологія

Сценарій

Контекстний контроль доступу (CBAC - Context Based Access Control) є інструментом динамічного аналізу протоколів передачі даних і захисту від деяких типів мережних атак. Механізм CBAC повинен застосовуватися разом із іншими механізмами захисту, оскільки самого по собі контекстного контролю доступу не достатньо для ефективного захисту мережі. У даному лабораторному середовищі INSIDE - внутрішній маршрутизатор мережі, OUTSIDE - зовнішній маршрутизатор Internet або ISP, FW - мережний екран захищуваної  мережі.

1. Адресація

Налаштуйте послідовні і loopback інтерфейси з адресами, вказаними на топології. Для послідовних каналів при необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте зв'язок із сусідніми хостами.

INSIDE(config)# interface serial0/0/0

INSIDE(config-if)# ip address 172.16.12.1 255.255.255.0

INSIDE(config-if)# clockrate 64000

INSIDE(config-if)# no shutdown

FW(config)# interface serial0/0/0

FW(config-if)# ip address 172.16.12.2 255.255.255.0

FW(config-if)# no shutdown

FW(config-if)# interface serial0/0/1

FW(config-if)# ip address 192.168.23.2 255.255.255.0

FW(config-if)# clockrate 64000

FW(config-if)# no shutdown

OUTSIDE(config)# interface serial0/0/1

OUTSIDE(config-if)# ip address 192.168.23.3 255.255.255.0

OUTSIDE(config-if)# no shutdown

2. Статичні маршрути

На маршрутизаторах INSIDE і OUTSIDE налаштуйте маршрути за замовчуванням, що вказують на маршрутизатор FW. FW не вимагає налаштування маршрутів, оскільки всі мережі в даній топології підключені до нього безпосередньо.

INSIDE(config)# ip route 0.0.0.0 0.0.0.0 172.16.12.2

OUTSIDE(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Після налаштування маршрутизації всі адреси мережі мають бути досяжні, інакше проведіть діагностику і усуньте наявні несправності.

З метою захисту корпоративної мережі і використання приватної адрессациі, зазвичай на межі такої мережі застосовується трансляція мережних адрес (Network Address Translation, NAT). У нашому випадку маршрутизатор OUTSIDE, як граничний пристрій мережі провайдера, має статичний маршрут, що направляє трафік до мережі клієнта. У даному сценарії не настроюватимемо NAT і, для простоти, обмежимося маршрутами за замовчуванням.

3. Telnet - доступ

Для перевірки зв'язку з віддаленими пристроями використовуватимемо протокол Telnet. Щоб активувати Telnet-доступ до маршрутизатора,  задайте пароль доступу до VTY - ліній. Активуйте Telnet на маршрутизаторах INSIDE і OUTSIDE і задайте пароль «cisco».

INSIDE(config)# line vty 0 4

INSIDE(config-line)# password cisco

INSIDE(config-line)# login

OUTSIDE(config)# line vty 0 4

OUTSIDE(config-line)# password cisco

OUTSIDE(config-line)# login

4. Налаштування правил IP Inspect

CBAC перевіряє стан деяких протоколів передачі даних і відстежує TCP- з'єднання і UDP- потоки з метою визначити, чи є трафік, що приходить ззовні, відповіддю на пакети, відправлені з внутрішньої мережі. Для відомих протоколів CBAC також може аналізувати дані прикладного рівня з метою перевірки коректності роботи відповідних протоколів. Трафік, який не пройшов через CBAC, обробляється згідно правилам ACL відповідного інтерфейсу. Іншими словами, якщо список контролю доступу деякого інтерфейсу забороняє весь вхідний трафік, то механізм CBAC дозволяє пропускати деякий трафік, що імовірно є відповіддю на пакети, відправлені з довіреної мережі.

Основне налаштування CBAC полягає в створенні правил, що описують відстежувані з'єднання і потоки. Для цього використовується команда ip inspect name name protocol. Створимо правило з ім'ям «myrules» і застосуємо його до інтерфейсу Serial0/0/0 у вхідному напрямі. Щоб подивитися, які протоколи може обробляти механізм CBAC в даній версії IOS, введемо команду «ip inspect name ?»

FW(config)# ip inspect name myrules ?

802-11-iapp IEEE 802.11 WLANs WG IAPP

ace-svr ACE Server/Propagation

aol America-Online

appfw Application Firewall

appleqtc Apple QuickTime

bgp Border Gateway Protocol

<OUTPUT OMITTED>

FW(config)# ip inspect name myrules tcp

FW(config)# ip inspect name myrules udp

Іноді буває необхідно змінювати значення таймаутів, використовуваних CBAC при аналізі різних протоколів. Команда ip inspect udp idle-time timeout в режимі глобальної конфігурації дозволяє змінити проміжок часу, протягом якого зберігатиметься інформація про «відстежувані» потоки. Встановимо розмір UDP таймауту рівним 60 секундам (значення за замовчуванням дорівнює 30).

FW(config)# ip inspect udp idle-time 60

Інші параметри налаштування можуть набувати різних значень в залежності від протоколів. Наприклад, ви можете налаштувати CBAC видавати застереження тільки для деяких протоколів, що може знадобитися при відладці або з метою протоколювання. Подивіться «протокольні» опції інспекції:

FW(config)# ip inspect name myrules tcp ?

alert Turn on/off alert

audit-trail Turn on/off audit trail

router-traffic Enable inspection of sessions to/from the router

timeout Specify the inactivity timeout time

<cr>

Для протоколювання повідомлень механізмів безпеки в захищених мережах може застосовуватися Syslog сервер. Налаштування alert і audit trail дозволяють, відповідно, видавати попередження і протоколювати інформацію про інспектовані потоки, що задовольняють тимчасовим правилам ACL, створюваним з метою пропуску зворотнього трафіка через міжмережний екран. За замовчуванням CBAC видає застереження про всі інспектовані протоколи на консоль маршрутизатора. Щоб відключити попереджувальні повідомлення, використовуйте команду ip inspect alert-off. Глобальна команда ip inspect audit-trail дозволяє включити протоколювання повідомлень (за замовчуванням вимкнуто). Параметр timeout дозволяє задати величину таймауту окремо для кожного протоколу. Встановіть розмір таймауту для протоколу ICMP рівну 5 секундам, відключіть повідомлення протоколу HTTP і ввімкніть протоколювання повідомлень про інспекцію FTP.

FW(config)# ip inspect name myrules icmp timeout 5

FW(config)# ip inspect name myrules http alert off

FW(config)# ip inspect name myrules ftp audit-trail on

Щоб застосувати створені правила до мережного інтерфейсу, скористайтеся командою режиму налаштування інтерфейсу ip inspect name direction. Застосуйте правила «myrules» до внутрішнього (довіреного) інтерфейсу FW у вхідному напрямку, після чого весь трафік, ініційований з внутрішньої мережі, проходитиме обробку IP inspect.

FW(config)# interface serial0/0/0

FW(config-if)# ip inspect myrules in

*Застосування правив IP inspect у вихідному напрямку до зовнішнього інтерфейсу матиме той-самий результат.

5. Блокування небажаного зовнішнього трафіку

Налаштуємо розширений ACL з метою заборони трафіку, що приходить із зовнішньої мережі. Такий ACL обов'язково має бути заданий як розширений ACL, оскільки CBAC додаватиме в нього тимчасові правила, що дозволяють зворотній трафік. У заборонних правилах вкажіть опцію deny. Застосуйте створений ACL до зовнішнього інтерфейсу у вхідному напрямку.

*Якщо дана версія IOS не підтримує інспекцію протоколу ICMP, вам потрібно буде додати перед заборонними правилами ACL правило access-list 100 permit icmp any any, що дозволяє проходження такого трафіку.

*Якби в даній топології для забезпечення зв'язності застосовувалася EIGRP маршрутизація, потрібно було б додати правило, що дозволяє EIGRP трафік access-list 100 permit eigrp any 224.0.0.*.

FW(config)# access-list 100 deny ip any any log

FW(config)# interface serial0/0/1

FW(config-if)# ip access-group 100 in

6. Перевірка роботи CBAC

Перевіримо Telnet доступ з OUTSIDE до INSIDE:

OUTSIDE# telnet 172.16.12.1

Trying 172.16.12.1 ...

% Destination unreachable; gateway or host down

OUTSIDE#

На консолі FW повинне з'явитися відповідне попередження. Джерелом цього повідомлення є не CBAC, а ACL, що забороняє даний пакет.

FW#

*Feb 18 02:11:11.823: %SEC-6-IPACCESSLOGP: list 100 denied tcp 192.168.23.3(0)

-> 172.16.12.1(0), 1 packet

Тепер спробуйте підключитися Telnet з INSIDE на OUTSIDE. Залишіть сесію відкритою, щоб перевірити її стан на FW.

INSIDE# telnet 192.168.23.3

Trying 192.168.23.3 ... Open

User Access Verification

Password:

OUTSIDE>

Введіть команду show ip inspect all, щоб подивитись налаштування і статистику CBAC. Зверніть увагу на інформацію про відкриту сесію Telnet.

FW# show ip inspect all

Session audit trail is disabled

Session alert is enabled

one-minute (sampling period) thresholds are [400:500] connections

max-incomplete sessions thresholds are [400:500]

max-incomplete tcp connections per host is 50. Block-time 0 minute.

tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec

tcp idle-time is 3600 sec -- udp idle-time is 30 sec

dns-timeout is 5 sec

Inspection Rule Configuration

Inspection name myrules

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

icmp alert is on audit-trail is off timeout 5

http alert is off audit-trail is off timeout 3600

ftp alert is on audit-trail is on timeout 3600

Interface Configuration

Interface Serial0/0/0

Inbound inspection rule is myrules

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

icmp alert is on audit-trail is off timeout 5

http alert is off audit-trail is off timeout 3600

ftp alert is on audit-trail is on timeout 3600

Outgoing inspection rule is not set

Inbound access list is not set

Outgoing access list is not set

Established Sessions

Session 458348C4 (172.16.12.1:54736)=>(192.168.23.3:23) tcp SIS_OPEN

Виконайте на FW команду show ip inspect detail і прогляньте докладну інформацію про дане з’єднання.

FW# show ip inspect sessions detail

Established Sessions

Session 458348C4 (172.16.12.1:54736)=>(192.168.23.3:23) tcp SIS_OPEN

Created 00:03:25, Last heard 00:03:23

Bytes sent (initiator:responder) [37:79]

In SID 192.168.23.3[23:23]=>172.16.12.1[54736:54736] on ACL 100 (11

matches)

Після цього закрийте Telnet - сесію.

OUTSIDE> exit

[Connection to 192.168.23.3 closed by foreign host]

INSIDE#

*Якщо ваша версія IOS не підтримує інспекцію протоколу ICMP, пропустіть останній крок.

Ввімкніть виведення  debug - повідомлень про ICMP – інспекцїю на консоль маршрутизатора: debug ip inspect protocol (через велику кількість повідомлень, що видаються, не рекомендується проводити таку відладку в не учбових мережах). 

FW# debug ip inspect icmp

INSPECT ICMP Inspection debugging is on

З INSIDE виконайте ping маршрутизатора OUTSIDE (у протилежному напрямку ping не буде успішним, оскільки заборонений ACL. В цьому випадку заборонені пакети також викличуть debug - повідомлення).

INSIDE# ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms

FW#

*Feb 18 02:23:29.591: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.591: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.591: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.619: CBAC: ICMP Echo Reply pkt 192.168.23.3 => 172.16.12.1

*Feb 18 02:23:29.647: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.675: CBAC: ICMP Echo Reply pkt 192.168.23.3 => 172.16.12.1

*Feb 18 02:23:29.703: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.735: CBAC: ICMP Echo Reply pkt 192.168.23.3 => 172.16.12.1

*Feb 18 02:23:29.763: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.791: CBAC: ICMP Echo Reply pkt 192.168.23.3 => 172.16.12.1

*Feb 18 02:23:29.819: CBAC: ICMP Echo pkt 172.16.12.1 => 192.168.23.3

*Feb 18 02:23:29.847: CBAC: ICMP Echo Reply pkt 192.168.23.3 => 172.16.12.1

FW# undebug all

Результат налаштування

INSIDE# show run

hostname INSIDE

!

interface Serial0/0/0

ip address 172.16.12.1 255.255.255.0

clock rate 64000

no shutdown

!

ip route 0.0.0.0 0.0.0.0 172.16.12.2

!

line vty 0 4

password cisco

login

end

FW# show run

hostname FW

!

ip inspect name myrules tcp

ip inspect name myrules udp

ip inspect name myrules icmp timeout 5

ip inspect name myrules http alert off

ip inspect name myrules ftp audit-trail on

ip inspect udp idle-time 60

!

interface Serial0/0/0

ip address 172.16.12.2 255.255.255.0

ip inspect myrules in

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

ip access-group 100 in

clock rate 64000

no shutdown

!

access-list 100 deny ip any any log

end

OUTSIDE# show run

hostname OUTSIDE

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2

!

line vty 0 4

password cisco

login

end

Лабораторна робота №4.2

Налаштування системи запобігання мережних атак (IPS)

Завдання роботи:

•  Налаштувати Cisco IOS IPS на інтерфейсі маршрутизатора
•  Вимкнути зайві сигнатури IPS
•  Перевірити налаштування IPS

Топологія

Сценарій

У даній роботі ви налаштуєте систему запобігання атакам (Intrusion Prevention System, IPS) що входить до складу Cisco IOS Firewall. IPS аналізує трафік, що проходить через міжмережний екран, і при відповідності поведінки деякого трафіку одному із заданих патернів (шаблонів) мережних атак видає попередження і/або  блокує такий трафік.

У цьому сценарії TRUSTED -  внутрішній маршрутизатор мережі, що захищається, FW - прикордонний маршрутизатор між мережею, що захищається і зовнішньою, і UNTRUSTED - зовнішній маршрутизатор.  FW, виконуючи роль міжмережного екрану,  стежитиме за пакетами, що приходять із зовнішньої мережі.

Зауважимо, що самої по собі IPS не достатньо, щоб забезпечити безпеку мережі, що захищається, проте разом із іншими засобами захисту IPS здатна забезпечувати необхідний рівень безпеки.

1. Адресація

Налаштуйте послідовні інтерфейси із адресами, вказаними на топології. Для послідовних каналів при необхідності задайте clock rate і виконайте команду no shutdown. Командою ping перевірте зв'язок з сусідніми хостами.

TRUSTED(config)# interface serial0/0/0

TRUSTED(config-if)# ip address 192.168.12.1 255.255.255.0

TRUSTED(config-if)# clockrate 64000

TRUSTED(config-if)# no shutdown

FW(config)# interface serial0/0/0

FW(config-if)# ip address 192.168.12.2 255.255.255.0

FW(config-if)# no shutdown

FW(config-if)# interface serial0/0/1

FW(config-if)# ip address 192.168.23.2 255.255.255.0

FW(config-if)# clockrate 64000

FW(config-if)# no shutdown

UNTRUSTED(config)# interface serial0/0/1

UNTRUSTED(config-if)# ip address 192.168.23.3 255.255.255.0

UNTRUSTED(config-if)# no shutdown

2. Статичні маршрути

На маршрутизаторах INSIDE і OUTSIDE налаштуйте маршрути за замовчуванням, що вказують на маршрутизатор FW. FW не вимагає налаштування маршрутів, оскільки всі мережі в даній топології підключені до нього безпосередньо.

TRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2

UNTRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Після налаштування маршрутизації всі адреси мережі мають бути досяжні, інакше проведіть діагностику і усуньте наявні перепони.

З метою захисту корпоративної мережі і використання приватної адресації, зазвичай на межі  мережі використовується трансляція адрес (Network Address Translation, NAT). У нашому випадку маршрутизатор OUTSIDE, як граничний пристрій мережі провайдера, має статичний маршрут, що направляє трафік до мережі клієнта. У даному сценарії не буде налаштовано NAT і, для простоти, обмежимося маршрутами за замовчуванням.

3. Налаштування правил IPS

На маршрутизаторі FW глобальною командою ip ips name name задайте правило IPS із назвою "myips".

Для задання правил IPS, що перевіряють тільки трафік, відповідний деякому ACL, може застосовуватися та ж команда у форматі ip ips name name list list (у даній роботі користуватися цією можливістю не будемо).

FW(config)# ip ips name myips

*У лабораторній роботі не буде застосовуватись можливість завантаження файлів сигнатур (signature definition file  - SDF), а будуть використані набори сигнатур, що входять до складу IOS Firewall.

У реальних системах захисту глобальною командою ip ips sdf location location ви зможете задати необхідний файл SDF (параметр location повинен вказувати на ім'я  SDF файлу на flash-диску маршрутизатора, наприклад "128mb.sdf").

Командою ip ips name direction в режимі налаштування інтерфейсу застосуйте створене правило IPS до мережного інтерфейсу маршрутизатора. Правила IPS можуть бути застосовані до інтерфейсу як у вхідному, так і у вихідному напрямку.

Як тільки IPS буде активована, на консоль маршрутизатора буде виданий ряд повідомлень, які інформують, що засоби IPS працюють на маршрутизаторі.

FW(config)# interface serial0/0/1

FW(config-if)# ip ips myips in

*Feb 19 09:16:09.923: %IPS-6-BUILTIN_SIGS: Configured to load builtin

signatures

*Feb 19 09:16:10.067: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from

builtin

*Feb 19 09:16:10.075: %IPS-6-ENGINE_BUILDING: OTHER - 3 signatures - 1 of 15

engines

*Feb 19 09:16:10.075: %IPS-6-ENGINE_READY: OTHER - 0 ms - packets for this

engine will be scanned

*Feb 19 09:16:10.075: %IPS-6-ENGINE_BUILDING: MULTI-STRING - 0 signatures - 2

of 15 engines

*Feb 19 09:16:10.075: %IPS-6-ENGINE_BUILD_SKIPPED: MULTI-STRING - there are no

new signature definitions for this engine

*Feb 19 09:16:10.075: %IPS-6-ENGINE_BUILDING: STRING.ICMP - 0 signatures - 3

of 15 engines

*Feb 19 09:16:10.075: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.ICMP - there are no

new signature definitions for this engine

<OUTPUT OMITTED>

4. Зміна поведінки IPS за замовчуванням

З маршрутизатора FW зробіть ping за адресою маршрутизатора TRUSTED. Вкажіть достатньо велике число ICMP повідомлень, що відправляються.

UNTRUSTED# ping 192.168.12.1 repeat 100

Type escape sequence to abort.

Sending 100, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!…!!

Success rate is 100 percent (100/100), round-trip min/avg/max = 56/56/88 ms

Після цього на консоль FW буде видано велику кількість попереджень. Спочатку кожному виявленню сигнатури атаки відповідає одне попередження, проте, після 62 таких повідомлень, IPS видає тільки сумарні попередження.

FW#

*Feb 19 09:30:41.823: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req

[192.168.23.3:0 -> 192.168.12.1:0]

*Feb 19 09:30:41.879: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req

[192.168.23.3:0 -> 192.168.12.1:0]

*Feb 19 09:31:11.823: %IPS-4-SIG_SUMMARY: Sig:2004 Subsig:0 Global Summary:

100 alarms in this interval

Глобальна команда ip ips signature number disable дозволяє відключити використання деякої сигнатури.

У виданих попередженнях повідомлялося про вірогідну атаку ICMP. Відключіть використання цієї сигнатури, що має номер 2004.

FW(config)# ip ips signature 2004 disable

%IPS Signature 2004:0 is disabled

Знов виконайте ping з UNTRUSTED до TRUSTED. На цей раз сигнатура вірогідної мережної атаки в потоці трафіку виявлена не буде і, відповідно, не будуть видані застереження.

UNTRUSTED# ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms

Для перевірки поточного налаштування IPS скористайтеся командою show ip ips all. Зверніть увагу, що окрім сигнатури, відключеної вами раніше, деякі інші сигнатури відключені за замовчуванням.

FW# show ip ips all

Configured SDF Locations: none

Builtin signatures are enabled and loaded

Last successful SDF load time: 09:29:43 UTC Feb 19 2007

IPS fail closed is disabled

Fastpath ips is enabled

Quick run mode is enabled

Event notification through syslog is enabled

Event notification through SDEE is disabled

Total Active Signatures: 132

Total Inactive Signatures: 0

Signature 2004:0 disable

Signature 1107:0 disable

IPS Rule Configuration

IPS name myips

Interface Configuration

Interface Serial0/0/1

Inbound IPS rule is myips

Outgoing IPS rule is not set

Для централізованого зберігання і обробки службових повідомлень, на маршрутизаторі може бути налаштований syslog протокол, що дозволяє передавати такі повідомлення на деяку спеціальну станцію (syslog сервер).

*Створення додаткових сигнатур

Використання Web-оболонки SDM (Security Device Manager) надає розширені можливості управління базою сигнатур, зокрема створення нових сигнатур атак, шляхом їх опису за допомогою регулярних виразів.

Результат налаштування

TRUSTED# show run

hostname TRUSTED

!

interface Serial0/0/0

ip address 192.168.12.1 255.255.255.0

clock rate 64000

no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.12.2

end

FW# show run

hostname FW

!

ip ips signature 2004 0 disable

ip ips name myips

!

interface Serial0/0/0

ip address 192.168.12.2 255.255.255.0

no shutdown

!

interface Serial0/0/1

ip address 192.168.23.2 255.255.255.0

ip ips myips in

clock rate 64000

no shutdown

!

end

UNTRUSTED# show run

hostname UNTRUSTED

!

interface Serial0/0/1

ip address 192.168.23.3 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2

end