جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

کاملترین آموزش گام به گام IPS سیسکو به زبان ساده

سیسکو Intrusion Prevention Systems-IPS راه حلی برای مقابله با تهدیدات : IPS در واقع نسخه جدید IDS سیستم تشخیص نفوذ است با این تفاوت که علاوه بر شناسایی حملات و ترافیک آلوده توانایی مسدود کردن و جلوگیری از این حملات را دارد. IPS بسته دریافتی را از لایه دوم تا لایه هفتم با جزئیات بیشتری نسبت به فایروال مورد بررسی قرار می دهد تا بتواند حملات پیچیده را شناسایی و متوقف کند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. آموزش گام به گام IPS سیسکو قسمت 1 : معرفی ماژول های IPS
    1. انواع IPS های شرکت سیسکو
    2. انواع Mode های IPS
    3. معرفی promiscuous Mode در IPS های سیسکو
    4. معرفی inline mode در IPS های سیسکو
    5. تکنیک های بررسی ترافیک
    6. تکنیک Signature Based
    7. تکنیک Policy Based
    8. تکنیک Anomaly Based
  2. آموزش گام به گام IPS سیسکو قسمت 2 : آماده سازی Sensor ها
    1. یوزرها در IPS از نظر سطح دسترسی به چهار دسته زیر تقسیم می شوند:
  3. آموزش گام به گام IPS سیسکو قسمت 3 : تنظیمات پیشرفته Sensor ها
  4. آموزش گام به گام IPS سیسکو قسمت 4 : دستورات مقدماتی IPS سیسکو
  5. آموزش گام به گام IPS سیسکو قسمت 5 : روشهای بررسی ترافیک در IPS
  6. آموزش گام به گام IPS سیسکو قسمت 6 : جلوگیری از دور خوردن IPS
    1. روش های دور زدن IPS
    2. روش های مقابله با این دور زدن های IPS
  7. آموزش گام به گام IPS سیسکو قسمت  7 : اصطلاحات معمول در IPS سیسکو
    1. محل قرارگیری IPS در شبکه کجاست؟
    2. انواع Mode های inline
  8. آموزش گام به گام IPS سیسکو قسمت 8 : انواع Action و Signature
    1. انواع دسته بندی Signature ها
    2. انواع Signature
    3. انواع Action ها
    4. انواع Detective
    5. انواع Preventive 

آموزش گام به گام IPS سیسکو قسمت 1 : معرفی ماژول های IPS

انواع IPS های شرکت سیسکو

1- IPS 4200 , 4300 , 4500 : یک دستگاه مستقل که این وظیفه را برای ما انجام می دهد.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

2- ماژول AIP : این ماژول در فایروال های ASA استفاده می شود.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

3- ماژول IDSM2 : این ماژول در سوئیچ های Catalyst 6500 استفاده می شود.

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

4- ماژول NME-IPS : ماژول جهت استفاده در روتر ISR

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

5- IPS نرم افزاری : در روتر های ISR کاربرد دارد

سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

انواع Mode های IPS

  1. promiscuous Mode
  2. Inline mode

معرفی promiscuous Mode در IPS های سیسکو

در این حالت یک کپی از بسته ها برای پردازش و بررسی به IPS ارسال می شود IDS ها در این حالت کار می کنند.

  • مزایا این حالت
  1. بر روی سرعت شبکه تاثیر نمی گذارد
  2. در صورت خراب شدن باعث مختل شدن کار شبکه نمی شود
  3. در صورتی که ترافیک ارسالی بیش از حد توان دستگاه باشد باز هم در حریان شبکه بی تاثیر است
  • معایب این حالت
  1. در صورت بروز حمله توانایی جلوگیری از ان را ندارد و فقط مورد را گزارش می کند
  2. بسته های آلوده شناسایی شده وارد شبکه شده بعد شناسایی می شوند
  3. پیاده سازی ان نیاز به یک فکر و ایده مناسب و اگاهی کامل نسب به عملکرد promiscuous mode دارد
  4. سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

معرفی inline mode در IPS های سیسکو

در این حالت IPS در مسیر جریان ترافیک قرار دارد و بسته ها را پردازش می کند و تا قبل از بررسی بسته ها اجازه عبور به انها را نمی دهد

  • مزایا این حالت
  1. توانایی جلوگیری و مسدود کردن ترافیک آلوده را دارد
  2. توانایی استفاده از تکنیک جریان عادی ترافیک (stream normalization techniques)
  • معایب این حالت
  1. با توجه به اینکه ترافیک ابتدا وارد IPS شده و بعد از پردازش اجازه ورود به شبکه را پیدا می کنند در نتیجه نسب به حالت promiscuous کندتر است
  2. در صورتی که جریان ترافیک بیش از حد توان دستگاه باشد بر جریان ترافیک تاثیر می گذارد
  3. در صورت از کار افتادن دستگاه جریان ترافیک نیر قطع می گردد
سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت اول - معرفی ماژول ها

تکنیک های بررسی ترافیک

  1. Signature Based
  2. Policy Based
  3. Anomaly Based

تکنیک Signature Based

در این تکنیک بررسی و پردازش بسته براساس دیتابیسی که توسط سیسکو ایجاد و بروز می شود انجام می گیرد

  • مزایا
  1. تظیم کردن ان ساده است
  2. دارای اشتباه کمتری در تشخیص ترافیک سالم به عنوان ترافیک آلوده
  3. بروز رسانی حملات جدید شناسای شده به صورت خودکار
  • معایب
  1. توانایی شناسایی حملات ناشناخته را ندارد
  2. باید برای ان دیتابیس ایجاد و به طور مداوم بروزرسانی شود
  3. برای استفاده نیاز به خریداری license است

تکنیک Policy Based

در این روش سیاست ها و access list ها توسط ما ایجاد می گردد و این ما هستیم که مشخص می کنیم چه ترافیکی عبور و چه ترافیکی باید مسدود گردد

مزایا

  1. ساده و قابل اعتماد
  2. براساس خواسته ها و سیاست های ما عمل می کند
  3. توانایی جلوگیری حملات ناشناخته را دارد

معایب

  1. تمام سیاست ها توسط ما باید انجام گیرد
  2. باید تمام جوانب را در نظر گرفت و به وضعیت شبکه خود اشراف داشته باشیم

تکنیک Anomaly Based

در این روش یک بازه زمانی برای IPS مشخص می کنیم و در این بازه رفتار شبکه مورد بررسی قرار می گیرد و کلیه رفتار و جریان ترافیک در ان بازه به عنوان جریان عادی در نظر گرفته می شود و از ان پس اگر جریانی غیر از این جریان اتفاق بیفتد ان را مسدود می کند

  • مزایا
  1. تنظیم کردن ان ساده است
  2. توانایی شناسایی حملات ناشناخته را دارد
  • معایب
  1. مشخص کردن فعالیت عادی در شبکه های بزرگ بسیار سخت است
  2. جریان و فعالیت شبکه باید ثابت باشد
  3. در صورت الوده بودن جریان شبکه در زمان مشخص شده برای بررسی جریان شبکه این جریان نیز به عنوان جریان سالم شناخته می شود

آموزش گام به گام IPS سیسکو قسمت 2 : آماده سازی Sensor ها

وارد شدن به دستگاه: وارد شدن به IPS های سری 4200 ، 4300 و 4500 با استفاده از کابل کنسول انجام می شود. تنظیمات مربوط به ترمینال سرویس را به صورت زیر انجام می دهیم:

Stopbits : 1
flowcontrol : hardware
speed : 9600

برای وارد شدن بهASA 5500 AIP SSM از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session 1

برای وارد شدن بهASA 5500-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session ips

برای وارد شدن بهASA 5585-X IPS SSP از طریق خط فرمان خود ASA توسط دستور زیر انجام می شود.

Asa#session 1
  • نکته : یوزر و پسورد پیش فرض دستگاه کلمه cisco می باشد.

یوزرها در IPS از نظر سطح دسترسی به چهار دسته زیر تقسیم می شوند:

  • Administrator : دارای بالاترین سطح دسترسی می باشد
  • Operator : توانایی مشاهده تمامی تنظیمات و Event ها را دارد و توانایی اجرای دستورات سطح پایین را دارد
  • Viewer : تنها توانایی مشاهده تظیمات و Event ها را دارد
  • Service : توان اجرای دستورات اجرای را ندارد و با این یوزر شما به هسته IPS وارد می شود و از این یوزر برای پشتیبانی و troubleshooting استفاده می شود

نکته : تنها یک یوزر با سطح دسترسی Service می توان رو دستگاه تعریف کرد
نکته : از نسخه IPS 5.0 به بعد یوزر cisco را نمی توان پاک کرد و فقط می توان ان را غیرفعال کرد. برای غیر فعال کردن از دستور no password cisco استفاده می کنیم اگر به هر شکل یوزر cisco را پاک کنیم دستگاه دیگر بوت نمی شود

  • بعد از وارد شدن به دستگاه مراحل زیر را جهت آماده سازی سنسور انجام دهید:

1.برای اولین بار که وارد سنسور می شود از شما میخواهد که پسورد خود را عضو کنید.
2.دستور Setup را وارد کنید تا سیستم اماده سازی سنسور نمایان گردد.

Sensor#setup
Current time: Sun Sep  7 19:50:45 2014
Setup Configuration last modified: Tue Sep 02 16:09:42 2014

3.در ابتدا یک نام برای سنسور از شما می خواهد که مقدار پیش فرض ان sensor می باشد با زدن کلید enter به مرحله بعد می رویم

Enter host name[Sensor]: ITPRO

4.برای دستگاه یک IP Address ، Subnet Mask و Gateway باید به صورت زیر تعریف کنیم:

Enter IP interface[10.0.0.1/8,10.0.0.2]: 192.168.1.2/24,192.168.1.1

که در اینجا IP دستگاه را برابر با 192.168.1.2/24 و گیت وی برابر 192.168.1.1 می باشد
5.سپس از ما می خواهد که Access list را تغییر دهیم با وارد کردن کلمه yes می توانیم مشخص کنیم چه ادرس هایی اجازه دسترسی به دستگاه را دارند.

Modify current access list?[no]:  yes

در اینجا لیست Access list های موجود را نمایش می دهد

Current access list entries :
  [1] 10.0.0.0/8
  [2] 172.0.0.0/16
Delete :

در ابتدا از شما می خواهد که Access list هایی که مد نظر شما نیست را با وارد کردن شمار سطر حذف کنید در غیر اینصورت در خط خالی کلید Enter را بزنید تا کلمه Permit ظاهر شود

Permit :

در جلوی این سطر می توانید Access list های مورد نظر را وارد کنید.

Permit : 192.168.1.0/24

6.اگر از ویژگی Global Correlation بخواهید استفاده کنید باید DNS را تنظیم کنید

Use DNS server for Global Correlation?[no]: yes

در اینجا از ما ادرس DNS را می خواهد

DNS server IP address[]:8.8.8.8

7.در صورت استفاده از Proxy Server برای ویژگی Global Correlation باید انرا معرفی کنیم

Use HTTP proxy server for Global Correlation?[no]:yes

آدرس و پورت مربوطه را وارد می کنیم:

HTTP proxy server IP address[]:192.168.3.11
HTTP proxy server port number[]:8080

8.در صورت نیاز به تغییر پارامترهای زمان yes را وارد می کنیم

Modify system clock settings?[no]: yes

در صورتی که بخواهیم Summer Time را تنظیم کنیم Yes را وارد می کنیم:

  • نکته : Summer Time زمانی از سال است که ما ساعت را به میزان 60 دقیقه تغییر می دهیم (اول فروردین و اول مهر)
Modify summer time settings?[no]:no

اگر بخواهیم Time Zone را تغییر دهیم

Modify system timezone?[no]: yes
Timezone[UTC]: UTC

اختلاف ساعت را وارد می کنیم

UTC Offset[330]: 330

در صورت داشتن NTP Server ادرس و در صورت داشتن Authentication انرا مشخص می کنیم:

Use NTP?[yes]:
192.168.1.11   NTP Server IP Address[]:
Use NTP Authentication?[no]:no

9.سطح مشارکت در شبکه SensorBase را مشخص می کنیم

SensorBase Network Participation level?[off]:

SensorBase شبکه ای است که توسط سیسکو برای شناسایی حملات و راه های نفوذ ایجاد شده است که شما می تواند با تعیین یک سطح به ان در این شناسایی کمک کنید

  • Off : هیچ اطلاعاتی ارسال نمی شود
  • Partial : اطلاعات ارسال می شود ولی داده های حساس فیلتر شده و هرگز ارسال نمی شوند
  • Full : تمامی اطلاعات ارسال می شود غیر از ادرس هکر یا منبع الوده

10. بعد از مرحله فوق تنظیمات انجام شده به ما نمایش داده می شود و در انتهای ان چهار گزینه جهت انتخاب نمایش داده می شود

The following configuration was entered.

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name ITPRO
telnet-option disabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text 
dns-primary-server enable
address 8.8.8.8
exit
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 192.168.3.11
port 8080
exit
time-zone-settings
offset 330
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option enabled-ntp-unauthenticated
ntp-server 192.168.1.11
exit
exit
service global-correlation
network-participation off
exit



[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.

Enter your selection[3]:

گزینه های فوق به ترتیب به شرح زیر می باشد:

  • بدون ذخیره کردن این تنظیمات به خط فرمان برگرد
  • مجدد setup را اجرا می کند بودن اینکه تنظیمات را ذخیره کند
  • تنظیمات ذخیره و از setup خارج می شود
  • وارد تنظیمات پیشرفته می شود

آموزش گام به گام IPS سیسکو قسمت 3 : تنظیمات پیشرفته Sensor ها

نکته : دستورات زیر جهت استفاده برای ماژول AIP می باشد این ماژول دارای دو اینترفیس گیگابیت می باشد که گیکابیت صفر به عنوان Management استفاده می شود

جهت آماده سازی پیشرفته مراحل زیر را دنبال کنید:

1. به سنسور Login کنید

 asa# session 1

2. دستور Setup را وارد کنید تا سیستم آماده سازی سنسور نمایان شود
3. کلید Enter را بدون ایجاد تغییر در گزینه ها بزنید تا منوی دسترسی به آماده سازی پیشرفته ظاهر شود

[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
Enter your selection[3]:

4. با انتخاب گزینه 3 وارد آماده سازی پیشرفته می شویم
5. در ابتدا وضعیت Telnet را باید مشخص کنید که به طور پیش فرض غیر فعال است

Enter telnet-server status[disabled]:

6. سپس پورت Web Server را مشخص می کنیم که مقدار پیش فرض 443 می باشد

Enter web-server port[443]:

7. برای تغییر اینترفیس ها و Virtual سنسور yes را وارد کنید.

Modify interface/virtual sensor configuration?[no]: yes 
Current interface configuration
 Command control: GigabitEthernet0/0
 Unassigned:

 Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0
  Monitored:
   GigabitEthernet0/1

  [1] Edit Interface Configuration
  [2] Edit Virtual Sensor Configuration
  [3] Display configuration
Option:

نکته: Virtual Sensor مجموعه از Police ها است که به یک جریان ترافیک نسبت میدهیم تا سیاست های مورد نظر ما را اجرا کند. همچنین می توان چندتا Virtual Senor به صورت مجازی در یک سنسور فیزیکی داشته باشیم و آنها را به جریان مختلف نسبت دهیم.
8. گزینه دوم را انتخاب می کنیم تا سنسور مجازی را تنظیم کنیم

  [1] Remove virtual sensor.
  [2] Modify "vs0" virtual sensor configuration.
  [3] Create new virtual sensor.
Option:

9. گزینه دوم را انتخاب می کنیم تا تنظیمات مربوط به VS0 را انجام دهیم (سنسور مجازی پیش فرض)

Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0

No Interfaces to remove.

 Unassigned:
  Monitored:
   [1] GigabitEthernet0/1
Add Interface:  

10. عدد یک را وارد می کنیم تا اینترفیس گیگابیت 1 جهت مانیتور شدن اضافه شود

  • نکته : شما می توانید چندتا سنسور مجازی داشته باشید اما پیشنهاد می شود که اینترفیس گیگابیت 1 را به VS0 نسبت دهید اما می توانید انرا به یک ماشین مجازی دیگر نسبت دهید

11. کلید Enter را بزنید تا به منوی قبل باز گردید

Virtual Sensor: vs0
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: sig0

  [1] Remove virtual sensor.
  [2] Modify "vs0" virtual sensor configuration.
  [3] Create new virtual sensor.
Option:

12. در صورتی که بخواهید یک سنسور مجازی دیگر بسازید گزینه سه را انتخاب کنید
13. یک نام برای ان انتخاب کنید

Name[]: ITpro.ir

14. در اینجا می توانید یک Description برای ان در نظر بگیرید

Description[Created via setup by user jeffar]: 

15. Anomaly Detection را مشخص می کنیم که در اینجا ما گزینه یک Anomaly Detection موجود استفاده می کنیم

Anomaly Detection Configuration
  [1] ad0
  [2] Create a new anomaly detection configuration
Option[1]:

16. Signature Definition را مشخص می کنیم

Signature Definition Configuration
  [1] sig0
  [2] Create a new signature definition configuration
Option[1]:  

17. در اینجا گزینه دوم را انتخاب می کنیم تا یک signature definition جدید ایجاد کنیم
18. یک نام برای ان انتخاب کنید

Name[]: tosinso.com 

19. گزینه یک Event رول پیش فرض را به ان اختصاص میدهیم

Event Action Rules Configuration
  [1] rules0
  [2] Create a new event action rules configuration
Option[1]: 

20. اینترفیس گیگابیت یک را به ان اختصاص می دهیم

Virtual Sensor: ITpro.ir
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: tosinso.com
 Unassigned:
  Monitored:
   [1] GigabitEthernet0/1
Add Interface: 

21. کلید Enter را می زنیم تا منوی قبلی ظاهر شود

Virtual Sensor: ITpro.ir
  Anomaly Detection: ad0
  Event Action Rules: rules0
  Signature Definitions: tosinso.com
  Monitored:
   GigabitEthernet0/1

  [1] Remove virtual sensor.
  [2] Modify "test" virtual sensor configuration.
  [3] Modify "vs0" virtual sensor configuration.
  [4] Create new virtual sensor.
Option: 

22. کلید Enter را بزنید تا پیام زیر ظاهر شود

Modify default threat prevention settings?[no]:yes 

23. اگر بخواهیم از بسته هایی با خطر ریسک بالا برای تمام سنسور جلوگیری شود از گزینه زیر استفاده می کنیم

Virtual sensor ITpro.ir is configured to prevent high risk threats in inline mode. (Risk Rating
 90-100)
   Virtual sensor vs0 is configured to prevent high risk threats in inline mode. (Risk Rating 
90-100)
Do you want to enable automatic threat prevention on all virtual sensors?[no]: 

24. در اینجا تنظیمات ما به پایان رسیده و تنظیمات به ما نمایش داده می شود و می توانیم تنظیمات را ذخیره کنیم

The following configuration was entered.

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name ITPRO
telnet-option disabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text 
dns-primary-server enable
address 8.8.8.8
exit
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 192.168.3.11
port 8080
exit
time-zone-settings
offset 330
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option enabled-ntp-unauthenticated
ntp-server 192.168.1.11
exit
exit
service global-correlation
network-participation off
exit
service web-server
port 443
exit
service analysis-engine
virtual-sensor ITpro.ir
description Created via setup by user jeffar
signature-definition tosinso.com
event-action-rules rules0
anomaly-detection
anomaly-detection-name ad0
exit
physical-interface GigabitEthernet0/1 
exit
exit
service event-action-rules rules0
overrides 
override-item-status Enabled
risk-rating-range 90-100
exit
exit
service event-action-rules tosinso.com
overrides 
override-
risk-rati
exit
exit
  [0] Go to
  [1] Retur
  [2] Save 

Enter you
Enter your selection[2]:

آموزش گام به گام IPS سیسکو قسمت 4 : دستورات مقدماتی IPS سیسکو

در قسمت های قبل نحوی آماده سازی سنسور را با استفاده از دستور Setup دیدیم در اینجا می خواهیم برخی از دستورات قسمت های قبل را به صورت Command اجرا کنیم.

  • نکته : در IPS همانند روتر و سئویچ Mode های Config و Enable را داریم و علاوه بر این Mode ها ، یک Mode به نام Service داریم که این دستورات را در انجا وارد می کنیم.

جهت تغییر نام سنسور دستورات زیر را وارد کنید:

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-name tosinso.com

در صورتی که بخواهید IP سنسور و Gateway را تغییر دهیم به صورت زیر عمل می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip 192.0.2.1/24,192.0.2.2

اگر بخواهید Telnet را فعال یا غیر فعال کنیم از دستورات زیر استفاده می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# telnet-option enabled

اگر Access-List که دسترسی به سنسور را مشخص می کند بخواهیم تغییر دهیم دستورات زیر را وارد می کنیم

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings

اضافه کردن:

sensor(config-hos-net)# access-list 192.0.2.110/32

حذف کردن:

sensor(config-hos-net)# no access-list 192.0.2.110/32

برای ایجاد login Banner به صورت زیر عمل می کنیم:
نکته: login Banner جهت نمایش یک متن در هنگام اتصال استفاده می شود(در اینجا itpro is best متن مورد نظر ماست)

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# login-banner-text itpro is best

اگر خواستید DNS ها یا Proxy Server را تغییر دهید از دستورات زیر استفاده کنید

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# http-proxy proxy-server
sensor(config-hos-net-pro)# address 10.10.10.1
sensor(config-hos-net-pro)# port 65
sensor(config-hos-net)# dns-primary-server enabled
sensor(config-hos-net-ena)# address 10.10.10.1

تعیین زمان قطع ارتباط در صورت عدم استفاده:
نکته: اگر شما به دستگاه متصل شده باشید بعد از یک زمان مشخص در صورت عدم استفاده ارتباط شما قطع می شود با دستورات زیر می توانید این مدت زمان را مشخص کنید که براساس ثانیه است.

sensor# configure terminal
sensor(config)# service authentication
sensor(config-aut)# cli-inactivity-timeout 300

تعریف یوزر:

sensor# configure terminal
sensor(config)# username tester privilege administrator
Enter Login Password: ************
Re-enter Login Password: ************

ایجاد سیاست های تعیین رمز:

sensor# configure terminal
sensor(config)# service authentication

با دستور زیر یوزر پس از 3 بار تلاش نا موفق قفل می شود

sensor(config-aut)# attemptLimit 3

تعیین شرایط پسورد:

sensor(config-aut)# password-strength

در پسورد حداقل با شش کاراکتر عددی وجود داشته باشد

sensor(config-aut-pas)# digits-min 6

در پسورد حداقل باید 3 کارکتر غیر عددی و حروف استفاده شود مانند * . !

sensor(config-aut-pas)# other-min 3

حداقل دارای 3 حرف بزرگ باشد

sensor(config-aut-pas)# uppercase-min 3

حداقل دارای 3 حرف کوچک باشد

sensor(config-aut-pas)# lowercase-min 3

از سه پسورد اخیر هم نمی توان استفاده کرد

sensor(config-aut-pas)# number-old-passwords 3

مشاهده تنظیمات دستگاه:

Sensor# show configuration

نکته: بعد از خروج از Service Mode پیغامی جهت ذخیره تغییرات به ما داده می شود

آموزش گام به گام IPS سیسکو قسمت 5 : روشهای بررسی ترافیک در IPS

متدهای آنالیز و تجزیه و تحلی ترافیک در سیستم پیشگیری از نفوذ سیسکو چند نوع است؟

  • Stateful Content Matching : در این حالت کل ترافیک مربوط به یک Session مورد بازرسی قرار می گیرد ، IPS در اینجا تمام بسته های مربوط به یک Session را در حافظه خود Reassemble می کند که باعث می شود روش هایی که کدهای مخرب خود را روی مجموعه ای از بسته ها پخش می کنند شناسایی شود.
  • Protocol Decoding : در این حالت IPS استاندارد پروتکل را می شناسد و ترافیک هر پروتکل را با این استاندارد بررسی می کند تا در صورت آلوده بودن انرا شناسایی کند به طور مثال اندازه URL در پروتکل Http نباید از استاندارد بزرگتر باشد و یا از String های غیر مجاز در بسته استفاده نشده باشد.
  • Traffic Correlation : روش هایی مانند ping کردن و اسکن کردن پورت ها جهت شناسایی دستگاه و پورت های باز در شبکه PS در این حالت با جمع کردن و بررسی این ترافیک ها که به مقصدهای مختلف است از این حمله مطلع می شود و از ان جلوگیری می کند.معمولا Wormها برای انتشار خود از این روش استفاده می کنند.
  • Rate Analysis : در این روش Rate یا نرخ ترافیک ارسالی به یک مقصد خاص یا سرویس خاص مورد ارزیابی قرار می گیرد و اگر از یک میزان مشخص فراتر رفت احتمال وقوع یک حمله وجود دارد به طور مثال تعداد pingها یا connectionها در یک ثانیه نباید از یک حد مشخص بیشتر شود.
  • Packet Header Matching : در این روش Header بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Packet Content Matching : در این روش دیتا بسته با Signature که IPS دارد مقایسه می شود که در صورت وجود کد مخرب یا آلودگی انرا شناسایی کند.
  • Statistical Modeling : در این روش ترافیک به صورت آماری مورد بررسی قرار می گیرد به طور مثال ترافیک مربوط به وب ، ایمیل یا FTP چقدر است یا ترافیک به یک آدرس خاص یا ترافیک از یک آدرس خاص چقدر است و با بدست آوردن این آمار از سالم بودن ترافیک اطمینان حاصل می کنیم.
  • Event Correlation : در این روش با استفاده از جمع کردن و بررسی چندین Event در کنار هم و با مقایسه انها با Signatureخود به یک Event جدید می رسد و متوجه یک حمله می شود.

روش های Stateful Content Matching و Protocol Decoding و Event Correlation و Packet Header Matching و Packet Content Matching جزء دسته Signature Base هستند. روش های Statistical Modeling و Traffic Correlation و Rate Analysis جزء دسته Anomaly Base هستند.

آموزش گام به گام IPS سیسکو قسمت 6 : جلوگیری از دور خوردن IPS

روش های دور زدن IPS و مقابله با آن : در اینجا روش هایی که هکرها برای دور زدن IPS استفاده می کنند و روش های مقابله با ان گفته می شود.

روش های دور زدن IPS

  • Encrption And Tunneling : در این حالت ترافیک رمزنگاری شده است یا از طریق تونل عبور داده می شود
  • Timing Attacks : در این روش هکر حملات خود را در زمان های بزرگ تر انجام می دهد تا IPS نتواند متوجه او شود به طور مثال استفاده از NMap جهت اسکن پورت ها در زمان های مختلف
  • Resource Exhausion : در این روش هکر IPS یا Admin را درگیر می کند.در این روش هکر ترافیک زیادی به IPS ارسال می کند که IPS نتواند تمامی ترافیک را بررسی کند و هکر در اینجا ترافیک آلوده خود را ما بین این ترافیک ارسال می کند.یا هکر شروع به ارسال ترافیک های کوچک مخرب (Noise Traffic) به IPS می کند که باعث تولید Alertهای فراوان و کم اهمیت شود و Admin را درگیر بررسی این Alertها می کند و هکر در این بین کار خود را می کند و با توجه به زیاد بودن این Alertها admin نمی تواند تمام این Alertها را بررسی کند و در نتیجه Alertهای مهم نادیده می شود.
  • Traffic Fragmentation : در این روش هکر کد مخرب خود را روی بسته های یک Session توزیع می کند که IPS متوجه ان نشود.
  • Protocol-level Misinterpretation : گول زدن IPS در سطح پروتکل می باشد که به دو نمونه از ان اشاره می کنیم:
  • TCP Checksum Attacks : در این حالت هکر یک بسته TCP سالم را با Checksum خراب ارسال می کند IPS بسته را مورد بازرسی قرار می دهد و می بیند بسته سالم است اما Checksum ان خراب است در نتیجه انرا Drop می کند حالا هکر دوباره یک بسته با دیتای مخرب و مشخصات Header بسته قبلی و Checksum سالم ارسال می کند. IPS انرا دریافت می کند و فکر می کند همان همان بسته قبلی است که Checksum ان تصحیح شده است در نتیجه بدون بررسی دیتای بسته انرا ار خود عبور می دهد.
  • TCP TTL Attacks : در اینجا هکر یک بسته با دیتای سالم با TTL پایین ارسال می کند IPS انرا دریافت و بررسی می کند و از خود عبورمی دهد اما چون TTL ان پایین است به مقصد نمی رسد. حالا هکر مجدد یک بسته با مشخصات بسته قبل با دیتای مخرب و TTL درست ارسال می کند و IPS فکر می کند که همان بسته قبلی (Duplicate) است و در نتیجه ان را از خود عبور می دهد.
  • Traffic Substitution And Insertion : در این روش ماهیت ترافیک را تغییر می دهیم.به این صورت که برداشت IPS از ترافیک با برداشت مقصد از ترافیک متفاوت باشد. به طور مثال از کد اسکی به جای Unicode استفاده شود.یا استفاده از کلید Tab به جای Space کد مخرب را با یک زبان برنامه نویسی دیگر بنویسیم و ارسال کنیم.

روش های مقابله با این دور زدن های IPS

  • Encrption And Tunneling : IPS فقط می تواند Gre Tunneling را مورد بازرسی قرار دهد.در باقی موارد تنها راه استفاده از HIPS روی Host مورد نظر می باشد.
  • Timing Attacks : استفاده از ابزارهایی مانند MARS
  • Resource Exhausion :استفاده از خلاصه کردن Alertها برای جلوگیری از این روش IPS می تواند Alertهای تولید شده را خلاصه کند به طور مثال اعلام کند از این Alert تعداد 1000 عدد تولید شده است.
  • Traffic Fragmentation : این روش در IPSهای سیسکو قابل شناسایی است چون IPS کل بسته های مربوط به یک Session را در حافظه خود Reassembly می کند.
  • Protocol-level Misinterpretation : با چک کردن اعتبار این بسته ها
  • Traffic Substitution And Insertion : باید بسته ها با روش های مختلف و حالت های متفاوت مورد بررسی و ارزیابی قرار گیرد.

آموزش گام به گام IPS سیسکو قسمت  7 : اصطلاحات معمول در IPS سیسکو

  1. Vulnerability : نقطه ضعف
  2. Expliot : کد مخرب که از طریق نقطه ضعف اجرا می شود
  3. Threat : نشان می دهد که این نقطه ضعف چه میزان برای ما تهدید محسوب می شود.
  4. Risk : احتمال اینکه یک کد مخرب از نقطه ضعف ما استفاده کند را نشان می دهد.
  5. False Positive : ترافیک سالم که مخرب تشخیص داده می شود.
  6. False Negative : ترافیک مخرب که به اشتباه سالم تشخیص داده می شود.
  7. True Positive : ترافیک سالم که سالم تشخیص داده می شود.
  8. True Negative : ترافیک مخرب که به درستی تشخیص داده می شود.

محل قرارگیری IPS در شبکه کجاست؟

  1. در جلوی دستگاه هایی که امکان صدمه دیدن دارند.
  2. در جلوی محلی که داراری دیتای مهمی است.
  3. محلی که شبکه یا زیرساخت را امن نگه دارد.
  4. لبه ورودی شبکه
  5. محلی که می خواهیم ترافیک را ببینیم.
  • نکته : برای اینترنت از IPS و IDS با هم استفاده می کنیم چون می خواهیم تمام ترافیک ارسالی به سمت شبکه ما مانیتور شود
  • نکته : در صورتی که چند IPS داریم باید ترافیک ورودی به IPS در هنگام خروج نیز از همان IPS خارج شود به دلیل اینکه IPS برای عملکرد و بازرسی درست به صورت Stateful عمل می کند به طور کلی ترافیک باید به صورت Symetric باید وارد و خارج شود.

مراحل آماده سازی به طور کلی :

ابتدا محل فیزیکی IPS باید مشخص شود.

  • Mode قرار گیری IPS را مشخص می کنیم.(promiscuous , inline interface , inline vlan pair , inline vlan group)
  • تنظیم policeها (Signature , Anomaly , Event Action)
  • اختصاص Policeها به یک Virtual Sensor

انواع Mode های inline

  • Inline interface pair : در این حالت ترافیک از یک اینترفیس وارد و بعد از بازرسی از اینترفیس دیگر خارج می شود
سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم
  • Inline vlan pair : در این حالت ترافیک بین VLANها مورد بررسی قرار می گیرد.
سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم

نکته : در این حالت Native Vlan نمی توانیم داشته باشیم.
نکته: یک Vlan نمی تواند عضو چند vlan pair باشد
نکته: حداکثر 255 تا vlan پشتیبانی می شود.

  • Inline vlan group : در این روش امکان بررسی ترافیک هر Vlan براساس Policyهای مختلف فراهم می شود.


سیستم های جلوگیری از نفوذ شرکت سیسکو قسمت هفتم

نکته : در این روش Native Vlan پشتیبانی می شود
نکته : حداکثر 255 تا vlan پشتیبانی می شود

آموزش گام به گام IPS سیسکو قسمت 8 : انواع Action و Signature

انواع دسته بندی Signature ها

  • براساس نوع حمله مثل DOS ، Email ، Adware و ...
  • براساس نوع Engine : براساس پیاده سازی نرم افزاری در IPS به طور مثال Atomic فقط تک Packet را بررسی می کند.

انواع Signature

  • Default : Signatureهای پیش فرض IPS
  • Tune : Signature های پیش فرض IPS که براساس نیاز ما تغییر داده شده اند.
  • Custome : Signatureهایی که توسط ما نوشته می شود.

انواع Action ها

به دو دسته تقسیم می شوند:

  • Detective : صرفا جهت شناسایی مورد استفاده قرار می گیرد.
  • Preventive : هم شناسایی و هم جلوگیری می کند.

انواع Detective

  1. Produce Alert : یک Alert در رابطه با Signature مربوطه تولید می شود.
  2. Produce Verbose Alert : یک Alert با جزئیات بیشتر تولید می شود.
  3. Log Attacker Packets : در این حالت کل بسته هایی که شامل آدرس هکر است را Capture می کند.
  4. Log Victim Packets : در این حالت کل بسته هایی که شامل آدرس دستگاه مورد حمله است را Capture می کند.
  5. Log Pair Packets : در این حالت کل بسته هایی که شامل آدرس هکر و دستگاه مورد حمله است را Capture می کند.
  6. Request SNMP Trap : یک بسته SNMP ارسال می کند.

انواع Preventive 

  • در حالت inline :
  1. Deny Packet inline : بسته را Drop می کند.
  2. Deny Connection inline : کل Session را Drop می کند.
  3. Deny Attacker Victim pair inline : کل ترافیک مربوط به هکر به مقصد مورد نظر را Drop می کند.
  4. Deny Attacker Service Pair inline : کل ترافیک هکر مربوط به سرویس مورد نظر را Drop می کند.
  5. Deny Attacker inline : کل ترافیک هکر را مسدود می کند.
  6. Modify Packet inline : ابهامات را از بسته برطرف می کند.(Normalization)
  • در حالت Promiscuous :
  1. Reset TCP Connection : در این حالت درخواست ریست کردن Connection به روتر یا فایروال ارسال می کند.
  2. Request Block Connection : در خواست مسدود کردن Session ارسال می ک ند.
  3. Request Block Host : درخواست مسدود کردن هکر ارسال می کند.
  4. Request Rate Limit : درخواست محدود کردن ارسال بسته از طرف هکر

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات