Cisco

CCNA Security – Validando o funcionamento do IPS

Marcelo Brenzink do Nascimento - 21 de outubro de 2011

Olá pessoal, essa é uma dica para quem esta estudando este capítulo sobre IPS passada pelo nosso colega e aluno do curso CCNA Security Online  “Diego Primo”. Vocês podem validar o funcionamento do IPS Cisco, ou seja, vê-lo em ação, bloqueando e enviando um alerta de um provável ataque para um servidor Syslog da seguinte forma:

Cenário utilizado:

Você montá-lo utilizando equipamentos reais ou através do GNS3 em conjunto com o VMware Player.

Ataque 1: Ataque a servidor FTP.

O PC1 que também será o servidor Syslog irá atacar o PC2, sendo este um servidor FTP.

1 – Configure o IPS seguindo os procedimentos ensinados no curso (via SDM ou CLI).
2 – No PC1 e PC2 instalem o 3CDeamon que é um servidor Syslog/FTP/TFTP ou utilizem aplicações com igual finalidade. Configurem o Roteador IPS para enviar alertas para o servidor Syslog: 11.0.0.20.

3 – No IPS habilitem e configurem a assinatura 3152 (FTP CWD ~root) para produzir um alerta e, se quiserem, bloquear o ataque para qual ele foi criado. Esta assinatura foi feita para um ataque que se baseia na execução de comandos digitados quando se esta dentro de um servidor FTP para tentar obter dele um acesso “root”.
4 – Do PC1 acesse o PC2 via FTP usando login anônimo (ou use o login/senha que você configurou no FTP Server);

5 – Ao logar no servidor digite o comando que faz parte do ataque: “quote cwd ~root”, conforme segue:

ftp>
ftp> quote cwd ~root
Conexão terminada pelo host remoto.
ftp>

Observe também o resultado no servidor Syslog.

Oct 21 00:02:33 10.0.0.1 86: *Mar 1 00:51:53.979: %IPS-4-SIGNATURE: Sig:3152 Subsig:0 Sev:100 FTP CWD ~root [10.0.0.20:9111 -> 12.0.0.2:21] RiskRating:100

Conclusão: O IPS através da assinatura 3152 detectou, cortou o meu acesso ao servidor FTP e emitiu um alerta ao Syslog informando sobre a tentativa de ataque.

Perguntas sobre cenário:

1)      Sendo o IP de origem do ataque um endereço válido para acessar o servidor FTP, um filtro de pacotes seria capaz de bloquear este ataque?

2)      Em qual camada do modelo OSI o ataque foi detectado?

Ataque 2: Ataque DOS ou Varredura de portas.

Seguindo o mesmo cenário, habilite a assinatura 6009 (Syn Flood DOS) cujo objetivo é detectar ataques DOS através de inundação com tcp syn (falsas tentativas de estabelecer conexão com um servidor a fim de impossibilitar o acesso legítimo dos usuários).

Utilizando a ferramenta de varredura NMAP (disponível para os alunos na biblioteca do curso), faça com que o PC1 inicie uma varredura de portas contra o PC2. Exemplo do comando que utilizei: nmap 12.0.0.2 -p 1-5000 -sS

Onde “12.0.0.2” é o IP do PC2, “-p 1-5000” significa que serão varridas as portas da 1 até a 5000 através do envio de TCP Syn. (-sS). Serão, portanto, enviados 5000 TCP  Syns ao servidor simulando um ataque DOS (ou poderia se tratar uma real varredura de portas para ataques futuros).

O resultado no Syslog será o seguinte:

Oct 21 02:04:31 10.0.0.1 164: *Mar 1 02:53:51.883: %IPS-4-SIGNATURE: Sig:6009 Subsig:0 Sev:100 SYN Flood DOS [10.0.0.20:46001 -> 12.0.0.2:2311] RiskRating:85

 

Oct 21 02:04:32 10.0.0.1 165: *Mar 1 02:53:53.095: %IPS-4-SIGNATURE: Sig:6009 Subsig:0 Sev:100 SYN Flood DOS [10.0.0.20:46001 -> 12.0.0.2:1364] RiskRating:85

 

Oct 21 02:04:33 10.0.0.1 166: *Mar 1 02:53:54.279: %IPS-4-SIGNATURE: Sig:6009 Subsig:0 Sev:100 SYN Flood DOS [10.0.0.20:46001 -> 12.0.0.2:1234] RiskRating:85

Dezenas de mensagens como esta aparecerão no seu Syslog informando o ataque.

Assim podemos validar o funcionamento de um IPS vendo na pratica sua reação a um ataque detectado.

No Router IPS, vocês podem digitar o comando: “show ip ips sessions” durante a varredura para observar a grande quantidade de conexões half-open criadas pelo nmap.

Perguntas:

1)      Para qual camada do modelo OSI o ataque foi destinado?

2)      Qual a importância neste episódio de sincronizarmos o relógio do roteador e demais ativos de rede através de um servidor NTP?

Obs: Estas simulações foram feitas em um home-lab pelo aluno Diego Primo, ou seja, você também pode simular em sua casa. Sua finalidade é aprender técnicas de defesa contra ataques virtuais.

Diego: obrigado pela colaboração e parabéns pela iniciativa de ir além do conteúdo da prova! Continue assim!

PS: Gostou do artigo e quer nos deixar uma mensagem? É só rolar a página para baixo e deixar seu elogio, dúvida ou sugestão!

Prof Marcelo Nascimento

 Peço Menos de 1 Minuto Antes de Você Sair!

Gostaria de acessar TODOS os nossos cursos Cisco e demais áreas como Linux e Telecom por uma parcelinha mensal? Incluindo o CCNA Security!

Clique aqui e saiba como ser um assinante DlteC.

 

 

Sou um dos fundadores do Portal da DlteC do Brasil, graduado em Engenharia Eletrônica/Telecomunicações em 1998 pela UTFPR e pós-graduado em Redes e Sistemas Distribuídos pela PUC-PR em 2003. Trabalho na área de Tecnologia da Informação e Telecomunicações desde 1996. Já passei por empresas como Siemens, Impsat (atualmente CenturyLink), Senai-PR, Dimension Data (atualmente NTT) e outras empresas. Sou certificado ITIL Foundations, CCNA, CCNP Enterprise, IPv6 Fórum Certified Network Engineer (Gold), IPv6 Fórum Certified Security Engineer (Silver) e Hurricane Electric IPv6 Certification Sage.

2 Responses

  • Joaosilva_msm 22 de outubro de 2011 at 18:55

    Muito bom !!!!
    Vocês estão de parabéns, valeu pelo post.

    Reply
  • Marcelo Scottini 24 de outubro de 2011 at 22:38

    Montei o lab e funcionou certinho, bacana!

    Reply

    • Leave a Reply

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.