Поиск...

вторник, 16 августа 2011 г.

Запускаем IPS/IDS в GNS3

Доброго времени суток!!!


Почитал, что в GNS3 можно запустить не только рядовые сетевые устройства, но и системы обнаружения и предотвращения вторжений. И вот мне все-таки удалось запустить cisco IPS/IDS в GNS3. Не так все просто, как оказалось :).
Кто хочет сделать то же самое, добро пожаловать под кат…

Intrusion Detection System (IDS) – это система обнаружения атак и вторжений, на базе специальных сигнатур. Способна лишь обнаружить атаку и подать сигнал, но сделать что-то по предотвращению, не может.
Intrusion Prevention System (IPS) - это система, которая предназначена для мониторинга и предотвращения вторжений. Она идентифицирует, классифицирует и предотвращает вторжение известных и неизвестных вирусов, атак и эксплоитов.
IPS в этом плане, конечно выгоднее, чем IDS. Эти системы реализованы как на отдельном «железе», так и в составе модульных решений сетевого оборудования.
Более подробную информацию по данному вопросу можно найти на просторах интернета. А мы, пожалуй, начнем :).
Для начала, нам необходимо скачать так называемый «IOS» для IDS/IPS. Сделать это можно вот по этим ссылкам:
После скачивания файлов с ними ничего не надо делать, просто разархивируйте их в папку GNS3, где находятся ваши IOS.
После этого, запускаем GNS3 и создаем новый проект. Затем идем на вкладку Edit – Preferences – Qemu – IDS:



    Где:
  • 1 – произвольное название;
  • 2 – путь к первому файлу (disk1);
  • 3 – путь ко второму файлу (disk2);
  • 4 – выделяемая память (поставьте 1024);
  • 5 – тип интерфейсов;
  • 6 – поменяйте тип продукта с 4215 на 4235 (так как IOS для IPS/IDS версии 4235).
Далее нажимаем сначала на кнопку «Save», в списке ниже должно появиться созданное устройство. Затем нажимаем «Apply» и «OK».
Теперь добавим устройство IDS в рабочую область и подключим его к «внешнему миру» (к физической сети). Схема будет следующая:



Как подключать GNS3 к физической сети, можно посмотреть тут. Только одно лишь уточнение. Здесь я использую подключение не к физической машине, а к VMWare workstation (принцип подключения один и тот же).
Продолжаем. Запускаем IDS («Start»). Откроется окно консоли:



Выбираем Cisco IPS. Начнется загрузка. Подождите, пока не появится приглашение ввести «login» (если при загрузке в окне консоли вы увидите сообщения «Warning», не обращайте внимание):



Вводим следующее:
  • Login: cisco
  • Password: ciscoips4215
Вы попадете в привилегированный режим конфигурации («sensor#»). Теперь сделаем начальные настройки, чтобы можно было подключиться к IPS/IDS через веб-интерфейс (IDM):
  • sensor# conf t
    sensor(config)#service host
    sensor(config-hos)#network-settings
    sensor(config-hos-net)#host-ip 10.10.10.10/24,10.10.10.220
    sensor(config-hos-net)#host-name IPS4235
    sensor(config-hos-net)#telnet-option enabled
    sensor(config-hos-net)#access-list 10.10.10.0/24
    sensor(config-hos-net)#ftp-timeout 300
    sensor(config-hos-net)#no login-banner-text
    sensor(config-hos-net)#exit
    sensor(config-hos)#time-zone-settings
    sensor(config-hos-tim)#offset 0
    sensor(config-hos-tim)#standard-time-zone-name UTC
    sensor(config-hos-tim)#exit
    sensor(config-hos)#summertime-option disabled
    sensor(config-hos)#ntp-option disabled
    sensor(config-hos)#exit
    sensor(config)#service web-server
    sensor(config-web)#port 443
    sensor(config-web)#exit
    sensor(config)#exit
    sensor#exit
После следующего «login»-а у вас должно уже появиться название, которое вы настроили выше.
Начальные настройки сделаны. Попробуем проверить сетевую доступность IPS/IDS и локального компьютера:



Сетевая доступность присутствует. Идем на нашу локальную машину и попробуем зайти на IPS/IDS через веб-интерфейс:



Набираем в строке адрес (https) нашего устройства IPS/IDS. Нажимаем «Я понимаю риск» -- «Добавить исключение» -- «Подтвердить исключение безопасности». Должно открыться следующее окно:



Нажимаем на «Run IDM».



Отмечаем всегда доверять содержимому от этого поставщика и нажимаем «Yes». Запустится Java applet IDM.



Вводим login и password, которые мы уже использовали при подключении по консоли. Нажимаем «OK».
Теперь, есть два варианта развития событий :). Первый, у вас сразу загрузится IDM и все заработает. Второй, ничего не запустится :).
Поговорим о плохом варианте. После нажатия «OK» у вас может появиться следующее окно:



Здесь говорится, что выделение памяти для приложений Java меньше, чем 256 Мб (Java memory heap size is less than 256 MB), что недостаточно для IDM. Следует сначала увеличить размер этой памяти, а потом запускать приложение (перевод вольный и на уровень «переводчика» не претендует :)).
Чтобы это сделать, надо пройти в «Пуск» -- «Панель управления» и там найти значок настройки Java:



Заходим по этому значку и идем на вкладку «Java»:



Нажимаем «View»:



Двойной щелчок по «Runtime Parameters» и прописываем –Xmx512m (тем самым мы повышаем порог выделяемой памяти). Нажимаем «OK». Затем, на другом окне, «Apply» и снова «OK». Затем пробуем снова зайти на наш IPS/IDS через веб-интерфейс, как описывалось выше.
У меня стояла Java 6 (на рисунке видно) и после увеличения памяти ничего не произошло, то есть выскакивала та же ошибка. Помотавшись по многим форумам и почитав информацию, я так и не понял суть проблемы. Но решение состоит в том, чтобы удалить Java версии 6 и поставить Java версии 5. Если у вас заработало на Java 6, то напишите, как у вас это получилось, буду признателен.
А мне пришлось поставить Java 5 (JRE 1.5.0_16), увеличить память тем же способом, который описан выше, и, в итоге, мне открылось приветственное окно IPS/IDS :):



Надеюсь, у вас все получилось. Теперь можно и познакомится с IPS/IDS поближе и более углубленно подготовиться к экзаменам или собрать виртуальный стенд, для последующей реализации на реальном оборудовании. Но это уже новые ресурсы для будущих постов :).

На этом я хочу закончить этот пост. Думаю, он стал для вас интересным и полезным.
При написании использовались следующие источники вдохновения:


По всем возникающим вопросам обращайтесь ко мне через комментарии или лично. Координаты можно найти вот тут.


С нетерпением жду вас в следующих постах!!!

С уважением, Ant0ni0n


13 комментариев:

  1. Очень полезный блог, нашел много интересного по GNS. Спасибо!

    ОтветитьУдалить
  2. Спасибо за теплый отзыв, Андрей!!!! Буду продолжать в том же духе :)

    ОтветитьУдалить
  3. Очень хорошо только как проверить его работу скажем совершить атаку и он отобразил бы вторжение?

    ОтветитьУдалить
  4. По поводу невозможности запуска на Java6, здесь есть решение этой проблемы: https://supportforums.cisco.com/message/3529856#3529856

    ОтветитьУдалить
    Ответы
    1. Спасибо за полезную информацию!

      С уважением, Ant0ni0n

      Удалить
  5. Антонио,

    Прежде всего, спасибо тебе за труды и публикации. Я постоянный гость твоей странички.
    Если ты в Москве, готов угостить пивом.

    Подскажи пжл, ты не сталкивался с таким, что при запуске IDS ничего не происходит? Не появляется окошко QEMU. Всё делал по твоим постам, всё работает, а вот с IDS проблемка...

    ОтветитьУдалить
    Ответы
    1. Спасибо за отзыв!!!
      К сожалению я нахожусь за 860 км от Москвы :). Я из Минска (Беларусь), но если вдруг соберусь к вам в гости, то я думаю спишемся и состыкуемся :) Ну или если ты в наших краях будешь, то милости просим... Как говориться :)
      Насчет твоего вопроса, то нет, такого не было. Могу посоветовать перепроверить настройки IDS/IPS (ты скачивал IOS по представленным ссылкам?), затем посмотреть и проверить параметр IP/host binding (Preferences -- QEMU -- General Settings), он должен быть 127,0,0,1. Можешь еще попробовать заменить Qemuwrapper port на другой (может представленный порт занят другим приложением). И еще можешь проверить, чтобы GNS запуускалось от имени администратора (смотря какая ОС у тебя).

      С уважением, Ant0ni0n

      Удалить
    2. Милости просим. И я от приглашения не откажусь :)

      А если по вопросу то, образы IDS качал по твоим ссылкам. 127.0.0.1 выставлено. Поиграюсь с Qemuwrapper'ом.
      Работаю под админом, на WinXP SP3, IOS для роутеров и ASA в GNS'e работает на 5+.

      В общем, продолжаю копать...

      Удалить
    3. Оке!!!!
      Ну ты если найдешь решение проблемы, напиши может тут что да как было... Мне тоже интересно, да и другим может в помощь будет :)

      Удалить
  6. Спасибо! Полезные статьи!

    ОтветитьУдалить
  7. Спасибо за полезную статью!
    Хочу добавить,
    с 7й версией java не заработало. Разбираться не стал.
    Поставил 5ю, как указывалось выше - работает.

    ОтветитьУдалить
  8. пароль не правильный. не удается попасть на превелигированный режим

    ОтветитьУдалить
  9. Согласен, пароль не подходит пчму-то

    ОтветитьУдалить