z

1


ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Khoa Mạng máy tính và truyền thông

BÁO CÁO ĐỒ ÁN
Môn học: Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập

Đề tài: Simulating Cisco IPS
GVHD: Th.S Hồ Hải
Lớp: NT204.G11
Nhóm Thực hiện:
Nguyễn Thanh Tâm

12520909

Đặng Thái Hoà

12520596

Nguyễn Tuấn Anh

12520010

Hoàng Đức Minh

11520231

Lâm Minh Trí

12520454

2


Mục lục
I.
II.
III.

IV.

V.

I.

Giới thiệu đề tài
Một số khái niệm
Cấu hình cơ bản IPS 4215
1. Thực hiện cấu hình cơ bản qua cổng Console
2. Cấu hình dùng HTTPS:
Một số tính năng chính
1. Thực hiện tính năng IDS trên IPS 4215
2. Thực hiện tính năng IPS trên IPS 4215
3. Tạo Sigature phát hiện Telnet
Tài liệu tham khảo


Giới thiệu đề tài

Tập đoàn Hệ thống Cisco là một tập đoàn lớn về các thiết bị liên quan đến mạng máy
tính cũng như là về bảo mật. Trong đó, bộ cảm biến Cisco IPS là một trong những thiết bị phần
cứng và là một trong những thành phần chính của Hệ thống IDS/IPS, góp phần giúp đảm bảo
an ninh mạng máy tính.
Với đề tài Simulating Cisco IPS, nhóm sẽ mô phỏng một số tính năng của Cảm biến IPS 4215.

3


II. Một số khái niệm
• IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System) được định nghĩa là

-

một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể
ngăn chặn các nguy cơ gây mất an ninh.
• IDS là gì?: (Intrusion Detection System) là một thống giám sát lưu thông mạng, các hoạt
động khả nghi và cảnh báo cho hệ thống, nhà quản trị.
• Bộ cảm biến Cisco IPS được tích hợp trong nhiều loại thiết bị của Cisco:
- Thiết bị IPS độc lập (chuyên dụng): các bộ cảm biến dòng Cisco IPS 4200.
Cisco AIM-IPS, NME-IPS được tích hợp trong các bộ định tuyến Cisco (router)
Dòng sản phẩm ASA 5500 được tích hợp IPS
• Cảm biến IPS 4215 thuộc dòng cảm biến Cisco IPS 4200. Đây là các bộ cảm biến IPS độc
lập và chuyên dụng. Các thiết bị này có thể vận chuyển thông lượng lên tới 4Gbps.
• Chức năng cảm biến IPS:
Cảm biến IPS phân tích các packet khi chúng đi vào cổng (interface) của cảm biến.
- Cảm biến so sánh lưu lượng xấu với các signature của IPS để đưa ra các phản ứng thích
hợp: ngưng lưu lượng, gửi cảnh báo cho người quản trị mạng.


III.

Cấu hình cơ bản IPS 4215

4


• Mô tả: thực hiện các bước cấu hình cơ bản để cho phép quản trị IPS 4215 dùng IDM.
1. Thực hiện cấu hình cơ bản qua cổng Console

Yêu cầu:
- Phần mềm tạo máy ảo WMWARE.
- Source Cisco IPS 4215
Bước 1: Open CiscoIPS trên wmware

 Trên wmware ta có 3 cổng mạng, trong đó:
Cổng Vmnet2 là cổng Giga1
Cổng Vmnet3 là cổng Giga2
Cổng còn lại là cổng Management.
Bước 2: Đăng nhập Cisco IPS
Login: cisco
Password: ciscoips4215

5


Bước 3: Cấu hình địa chỉ IP cho Cisco IPS. Thêm địa chỉ vào access-list

2. Cấu hình dùng HTTPS:


Cisco IDM là phần mềm quản lý, giám sát Cisco IPS với giao diện đồ họa.
Yêu cầu:
- Máy giám sát chạy Windows XP
- Phần mềm Java 6
- Internet Explorer 6
6


Bước 1: Cài đặt Java 6 trên máy giám sát.
Bước 2: Cấu hình địa chỉ IP trên máy giám sát cùng lớp mạng với Cisco IPS. Cụ thể IP của
máy giám sát là 10.215.219.200

 Sau đó, tiến hành ping thử đến Cisco IPS.

7


 Ping thành công.
Bước 3: Vào Internet Explorer truy cập địa chỉ IP của IPS: https://10.215.219.234

Bước 4: Giao diện cài đặt chương trình sẽ hiện ra. Thực hiện các bước dưới sau.
Chọn OK

8


 Chọn Yes

9



 Gõ tài khoản đăng nhập Cisco IPS 4215. Chọn OK.

 Phần mềm Cisco IDM bắt đầu khởi động

10


11


 Giao diện chương trình sau khi cài đặt hoàn tất.

Tại phần Network ta thấy một số thông tin của Cisco IPS 4215:
- Hostname: Tên của Cisco IPS 4215
- IP Address: địa chỉ IP của Cisco IPS 4215
- Web Server Settings:
“Web server port: 443” là cổng kết nối https đến Cisco IPS
12


- Remote Access: Đánh dấu vào Enable Telnet để bật tắt telnet cho Cisco IPS

13


IV.
Một số tính năng chính
1. Thực hiện tính năng IDS trên IDS 4215


-

Mô tả: Đưa ra cảnh báo khi máy victim bị attacker scan port.
Thực hiện:
Bước 1: Tại máy attacker ta tải công cụ NMAP để thực hiện scan port máy victim

14


 Mở NMAP, mục Target ta điền địa chỉ IP máy victim, mục Profile ta chọn tính năng là

scan port. Sau đó ta nhấn scan.

Chương trình bắt đầu scan port
Bước 2: Quay lại máy giám sát, mở Cisco IDM, chọn mục Monitoring  Events  View

15


 Ta thấy Cisco IPS 4215 phát hiện được và đưa ra các cảnh báo như phát hiện gói ICMP,

phát hiện scan port TCP, sử dụng công cụ NMAP …
 Các cảnh báo này được thực hiện từ các Sig ID 3002, 5575, 2004, 3040, 3046 và 3041.
Mặc định Cisco IPS 4215 đã bật sẵn các Sig này.

2. Thực hiện tính năng IPS trên IDS 4215
- Mô tả: Thực hiện cảnh báo khi máy victim nhận được gói ICMP Echo Request.
- Thực hiện:
Bước 1: Tại máy giám sát, mở Cisco IDM, mục Signature Definition chọn Signature

Configuration. Ta sẽ dùng Sig ID 2004 để kiểm tra. Chọn Sig ID 2004 chọn Enable để
bật tính năng kiểm tra gói ICMP.

16


 Kế tiếp ta click phải chuột chọn Actions… hộp thoại Assign Actions hiện ra ta tick vào

ô Produce Verbose Alert và chọn OK để bật tính năng cảnh báo khi có hành động
ICMP Echo Request. Sau cùng chọn Apply.

17


Bước 2: Tại máy attacker ta tiến hành ping đến máy victim

18


Bước 3: Quay lại máy giám sát, mở Cisco IDM chọn Monitoring, chọn Events, chọn
View để xem các cảnh báo.

 Ta thấy lúc 8:26 Cisco IPS 4215 phát hiện gói ping và đưa ra cảnh báo ICMP Echo

Request. Để xem chi tiết cảnh báo này ta nhấn vào Details…

19


 Ta thấy, thông tin chi tiết hiển thị địa chỉ IP máy attacker là 192.168.1.2 gửi gói IMCP đến


máy victim có địa chỉ 192.168.1.3.
Phần triggerPacket là nội dung gói tin đã gửi và gửi từ cổng giga0/1.
Nếu muốn loại bỏ gói ICMP gửi đến ta có thể chọn thêm mục Deny Packet Inline trong mục
Actions của Sig ID 2004.

20


Lúc này gói ICMP sẽ bị loại bỏ và không ping được.
3.
-

Tạo Sigature phát hiện Telnet
Mô tả: cảnh báo khi attacker thực hiện telnet vào máy victim
Thực hiện:

Bước 1: Tại máy giám sát, mở Cisco IDM, chọn Configuration, mục Signature
Definition chọn Custom Signature Wizard, nhấn Start the Wizard

21




Thực hiện các bước sau:

Chọn Yes, sau đó Next

Tại dòng Signature ID điền số ID cho Sig 60001, Signature Name là tên Sig. Sau đó

nhấn Next

22


Sau đó ta cấu hình như sau

23


24


25