Vous êtes sur la page 1sur 29

Sécurité CCNA

Labo - Configurer un système de prévention des intrusions (IPS)


(version instructeur)
Note pour l'instructeur : la couleur rouge de la police ou les surbrillances grises indiquent le texte qui apparaît
uniquement dans la copie de l'instructeur.

Topologie

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 1de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Tableau d'adressage IP

Masque de Passerelle par Port du


Dispositif Interface Adresse IP sous-réseau défaut commutateur

G0/1 192.168.1.1 255.255.255.0 N/A S1 F0/5


R1
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
G0/1 192.168.3.1 255.255.255.0 N/A S3 F0/5
R3
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18

Objectifs
Partie 1 : Configurer les paramètres de base du routeur
 Configurer le nom d'hôte, les adresses IP des interfaces et les mots de passe d'accès.
 Configurez le routage statique.
Partie 2 : utiliser l'interface CLI pour configurer un IPS IOS
 Configurer IOS IPS en utilisant le CLI.
 Modifier les signatures IPS.
 Examinez la configuration IPS résultante.
 Vérifier la fonctionnalité de l'IPS.
 Enregistrer les messages IPS sur un serveur syslog.
Partie 3 : Simuler une attaque
 Utilisez un outil d'analyse pour simuler une attaque.

Contexte/Scénario
Dans ce laboratoire, vous allez configurer l'IPS de Cisco IOS, qui fait partie de l'ensemble des fonctionnalités
du pare-feu de Cisco IOS. L'IPS examine certains modèles d'attaque et alerte ou atténue les effets de ces
modèles. L'IPS seul ne suffit pas à faire d'un routeur un pare-feu Internet sécurisé, mais lorsqu'il est ajouté à
d'autres fonctions de sécurité, il peut constituer une défense puissante.
Vous allez configurer IPS à l'aide de l'interface CLI de Cisco IOS, puis tester la fonctionnalité IPS. Vous allez
charger le package IPS Signature à partir d'un serveur TFTP et configurer la clé cryptographique publique à
l'aide du Cisco IOS.
Remarque : Les commandes et la sortie du routeur dans ce laboratoire proviennent d'un routeur Cisco 1941
avec Cisco IOS version 15.4(3)M2. D'autres routeurs et versions de Cisco IOS peuvent être utilisés.
Consultez le tableau récapitulatif des interfaces de routeur à la fin du laboratoire pour déterminer les
identifiants d'interface à utiliser en fonction de l'équipement du laboratoire. Les commandes disponibles et les
résultats produits sont déterminés par le modèle de routeur et la version de Cisco IOS utilisés. Par
conséquent, ils peuvent varier de ce qui est montré dans ce laboratoire.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 2de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Note : Assurez-vous que les routeurs et les commutateurs ont été effacés et n'ont pas de configuration de
démarrage.
Note pour l'instructeur : Les instructions pour initialiser les périphériques réseau sont fournies dans le Lab
0.0.0.0.

Ressources nécessaires
 3 routeurs (Cisco 1941 avec Cisco IOS version 15.4(3)M2)
 2 commutateurs (Cisco 2960 ou comparable)
 2 PC (Windows Vista ou Windows 7, serveur TFTP, Nmap/Zenmap, la dernière version de Java, Internet
Explorer et Flash Player)
 Câbles série et Ethernet, comme indiqué dans la topologie.
 Câbles de console pour configurer les périphériques réseau Cisco.
 IPS Signature package et fichiers de clé cryptographique publique sur PC-A et PC-C (fournis par
l'instructeur)
Notes de l'instructeur :
Besoins en ressources du routeur :
Remarque : Les conditions suivantes sont essentielles à la réussite de ce laboratoire.
 Les routeurs qui exécutent IPS nécessitent un minimum de 192 Mo de DRAM et au moins 2 Mo de
mémoire flash libre. Ils doivent également exécuter la version 15.4(3)M2 de Cisco IOS ou une version
ultérieure pour prendre en charge le paquet de signatures de format version 5.x.
 Ces exigences sont essentielles à la réussite de ce laboratoire.
 Ce laboratoire utilise la plus récente version 5.x du fichier de signature IPS : IOS-S855-CLI.pkg. Vous
pouvez trouver ce fichier à la page CCNAS Academy Resources sur le site web de Cisco Networking
Academy.
 Ce laboratoire utilise le fichier de cryptage de clé publique : realm-cisco.pub.key. Vous pouvez trouver ce
fichier à la page CCNAS Academy Resources sur le site de la Cisco Networking Academy.
 Le lien IOS-Sxxx-CLI.pkg peut être utilisé pour télécharger le dernier paquet de signatures IPS v5.x. Vous
aurez besoin d'un nom d'utilisateur et d'un mot de passe de connexion CCO (Cisco.com) valides et d'un
contrat de service Cisco en cours.
Remarque : il est recommandé d'utiliser le dernier fichier de signature disponible dans un environnement
de production. Cependant, si la quantité de mémoire flash du routeur est un problème dans
l'environnement du laboratoire, envisagez de télécharger une ancienne version du fichier de signature
5.x, qui nécessite moins de mémoire. Le fichier S364 utilisé dans les versions précédentes de ce
laboratoire devrait fonctionner sur les routeurs plus anciens. Consultez CCO pour déterminer la dernière
version à utiliser dans un environnement de production.
Exigences PC-C Java
 La dernière version de JRE pour Windows Vista ou Windows 7 peut être téléchargée sur le site d'Oracle
Corporation à l'adresse http://www.oracle.com/.
 Reportez-vous à la partie 3 pour savoir comment définir le paramètre d'exécution et les paramètres Java.
Livraison en laboratoire
 Ce laboratoire est divisé en trois parties. Chaque partie peut être administrée individuellement ou en
combinaison avec d'autres si le temps le permet. L'objectif principal est de configurer IOS IPS sur un
routeur.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 3de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

 R1 et R3 sont sur des réseaux séparés et communiquent par l'intermédiaire de R2, qui simule un FAI.
Les routeurs de ce laboratoire sont configurés avec des routes statiques.
 Les élèves peuvent travailler en équipe de deux pour la configuration du routeur. Une personne peut
configurer R1 et PC-A, et l'autre personne peut dupliquer les configurations sur R3 et PC-C.
 Bien que les commutateurs soient représentés dans la topologie, les étudiants peuvent les omettre et
utiliser des câbles directs entre les PC et les routeurs R1 et R3.

Part 1: Configurer les paramètres de base du routeur


Dans la première partie, vous allez mettre en place la topologie du réseau et configurer les paramètres de
base, tels que les noms d'hôtes, les adresses IP des interfaces, le routage statique, l'accès aux périphériques
et les mots de passe.
Remarque : Effectuez les étapes énumérées dans la partie 1 sur les trois routeurs. Seul le R1 est présenté
ci-dessous.

Step 1: Câblez le réseau comme indiqué dans la topologie.


Fixez les appareils, comme indiqué dans le diagramme de topologie, et câblez si nécessaire.

Step 2: Configurez les paramètres de base de chaque routeur.


a. Configurez les noms d'hôtes, comme indiqué dans la topologie.
b. Configurez les adresses IP des interfaces, comme indiqué dans le tableau Adressage IP.
c. Configurez une fréquence d'horloge pour les interfaces série du routeur avec un câble série DCE
connecté.
R1(config)# interface S0/0/0
R1(config-if)# clock rate 64000
d. Désactivez la recherche DNS pour empêcher le routeur de tenter de traduire les commandes saisies de
manière incorrecte.
R1(config)# no ip domain-lookup

Step 3: Configurez le routage statique sur les routeurs.


a. Configurez une route par défaut statique en utilisant une adresse IPv4 de saut suivant de R1 à R2 et de
R3 à R2.
b. Configurez une route statique de R2 vers le LAN R1 (192.168.1.0) et de R2 vers le LAN R3 (192.168.3.0)
en utilisant l'adresse IPv4 de saut suivant appropriée.

Step 4: Configurer les paramètres IP de l'hôte PC.


Configurez une adresse IP statique, un masque de sous-réseau et une passerelle par défaut pour PC-A et
PC-C, comme indiqué dans le tableau d'adressage IP.

Step 5: Vérifiez la connectivité de base du réseau.


a. Ping de R1 à R3.
Si les pings n'aboutissent pas, dépannez les configurations de base du périphérique avant de continuer.
b. Ping depuis PC-A sur le LAN R1 vers PC-C sur le LAN R3.
Si les pings n'aboutissent pas, dépannez les configurations de base du périphérique avant de continuer.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 4de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Remarque : si vous pouvez effectuer un ping du PC-A au PC-C, vous avez démontré que le protocole de
routage statique est configuré et fonctionne correctement. Si vous ne pouvez pas effectuer de ping, mais que
les interfaces du périphérique sont opérationnelles et que les adresses IP sont correctes, utilisez les
commandes show run et show ip route pour identifier les problèmes liés au protocole de routage.

Step 6: Configurer un compte utilisateur, des mots de passe chiffrés et des clés
cryptographiques pour SSH.
Note : Les mots de passe dans cette tâche sont définis à un minimum de 10 caractères mais sont
relativement simples pour le bénéfice de l'exécution du laboratoire. Des mots de passe plus complexes sont
recommandés dans un réseau de production.
a. Configurez une longueur minimale de mot de passe à l'aide de la commande security passwords pour
définir une longueur minimale de mot de passe de 10 caractères.
R1(config)# security passwords min-length 10
b. Configurez un nom de domaine.
R1(config)# ip nom-de-domaine ccnasecurity.com
c. Configurer les clés cryptographiques pour SSH
R1(config)# crypto key generate rsa general-keys modulus 1024
d. Configurez un compte utilisateur admin01 en utilisant l'algorithme de type scrypt pour le cryptage et un
mot de passe de cisco12345.
R1(config)# nom d'utilisateur admin01 algorithme-type scrypt secret cisco12345
e. Configurez la console de ligne 0 pour qu'elle utilise la base de données des utilisateurs locaux pour les
connexions. Pour plus de sécurité, la commande exec-timeout permet à la ligne de se déconnecter
après cinq minutes d'inactivité. La commande logging synchronous empêche les messages de la
console d'interrompre l'entrée des commandes.
Remarque : Pour éviter les connexions répétitives au cours de ce laboratoire, la commande exec-
timeout peut être définie sur 0 0, ce qui l'empêche d'expirer. Cependant, ceci n'est pas considéré comme
une bonne pratique de sécurité.
R1(config)# ligne console 0
R1(config-line)# login local
R1(config-line)# exec-timeout 5 0
R1(config-line)# journalisation synchrone
f. Configurez la ligne aux 0 pour utiliser la base de données des utilisateurs locaux pour les connexions.
R1(config)# ligne aux 0
R1(config-line)# login local
R1(config-line)# exec-timeout 5 0
g. Configurez la ligne vty 0 4 pour utiliser la base de données des utilisateurs locaux pour les connexions et
restreindre l'accès aux seules connexions SSH.
R1(config)# ligne vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exec-timeout 5 0
h. Configurez le mot de passe d'activation avec un cryptage fort.
R1(config)# enable algorithm-type scrypt secret class12345

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 5de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Step 7: Sauvegardez les configurations de base pour les trois routeurs.


Enregistrez la configuration courante dans la configuration de démarrage à partir de l'invite du mode EXEC
privilégié.
R1# copy running-config startup-config

Part 2: Configuration d'IPS à l'aide de l'interface CLI de Cisco IOS


Dans la partie 2 de ce laboratoire, vous allez configurer IPS sur R1 en utilisant la CLI de Cisco IOS. Vous
allez ensuite revoir et tester la configuration résultante.

Task 1: Vérifier l'accès au LAN R1 depuis R2


Dans cette tâche, vous vérifierez que sans IPS configuré, le R2 externe peut envoyer un ping à l'interface R1
S0/0/0 et à PC-A sur le LAN interne R1.

Step 1: Ping de R2 à R1.


Depuis R2, envoyez une requête ping à l'interface S0/0/0 de R1 à l'adresse IP 10.1.1.1.
R2# ping 10.1.1.1.
Si les pings n'aboutissent pas, dépannez les configurations de base du périphérique avant de continuer.

Step 2: Ping de R2 vers PC-A sur le LAN R1.


Depuis R2, envoyez une requête ping à PC-A sur le LAN de R1 à l'adresse IP 192.168.1.3.
R2# ping 192.168.1.3
Si les pings n'aboutissent pas, dépannez les configurations de base du périphérique avant de continuer.

Step 3: Affichez la configuration courante de R1 avant de configurer IPS.


Exécutez la commande show run pour examiner la configuration de base actuelle sur R1.
Y a-t-il des commandes de sécurité liées à l'IPS ?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Non. La longueur minimale du mot de passe est de 10. Les mots de passe de connexion et le délai
d'exécution sont définis sur les lignes console, vty et aux.

Task 2: Préparer le routeur et le serveur TFTP

Step 1: Vérifier la disponibilité des fichiers Cisco IOS IPS.


Pour configurer Cisco IOS IPS 5.x, le fichier du package IOS IPS Signature et le fichier de la clé
cryptographique publique doivent être disponibles sur le PC-A. Vérifiez auprès de votre instructeur si ces
fichiers ne sont pas sur le PC. Ces fichiers peuvent être téléchargés à partir de www. cisco.com avec un
compte d'utilisateur valide disposant des autorisations appropriées.
a. Vérifiez que le fichier IOS-Sxxx-CLI.pkg se trouve dans un dossier TFTP. Il s'agit du paquetage de
signature. Le xxx est le numéro de version et varie en fonction du fichier téléchargé.
b. Vérifiez que le fichier realm-cisco.pub.key.txt est disponible et notez son emplacement sur le PC-A. Il
s'agit de la clé cryptographique publique utilisée par IOS IPS.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 6de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Step 2: Vérifier ou créer le répertoire IPS dans la flash du routeur sur R1.
a. Dans cette étape, vous vérifierez l'existence ou créerez un répertoire dans la mémoire flash du routeur où
seront stockés les fichiers de signature et les configurations nécessaires.
Remarque : vous pouvez également utiliser un lecteur flash USB connecté au port USB du routeur pour
stocker les fichiers de signature et les configurations. Le lecteur flash USB doit rester connecté au port
USB du routeur s'il est utilisé comme emplacement du répertoire de configuration d'IOS IPS. IOS IPS
prend également en charge tout système de fichiers Cisco IOS comme emplacement de configuration
avec un accès en écriture approprié.
b. À partir de l'interface CLI de R1, affichez le contenu de la mémoire flash à l'aide de la commande show
flash et vérifiez le répertoire ipsdir.
R1# show flash
c. Si le répertoire ipsdir n'est pas répertorié, créez-le en mode EXEC privilégié.
R1# mkdir ipsdir
Créer un répertoire nom de fichier [ipsdir] ? <Enter>
Création du répertoire flash:ipsdir
d. Si le répertoire existe déjà, le message suivant s'affiche :
%Error Creating dir flash:ipsdir (Impossible de créer un fichier qui existe déjà)

Utilisez la commande delete pour effacer le contenu du répertoire ipsdir.


R1# delete flash:ipsdir/*
Supprimer le nom de fichier [/ipsdir/*] ?
Supprimer flash:/ipsdir/R1-sigdef-default.xml ? [confirmer]
Supprimer flash:/ipsdir/R1-sigdef-delta.xml ? [confirmer]
Supprimer flash:/ipsdir/R1-sigdef-typedef.xml ? [confirmer]
Supprimer flash:/ipsdir/R1-sigdef-category.xml ? [confirmer]
Supprimer flash:/ipsdir/R1-seap-delta.xml ? [confirmer]
Supprimer flash:/ipsdir/R1-seap-typedef.xml ? [confirmer]

Remarque : Utilisez cette commande avec précaution. S'il n'y a pas de fichiers dans le répertoire ipsdir,
le message suivant s'affiche :
R1# delete flash:ipsdir/*
Supprimer le nom de fichier [/ipsdir/*] ?
Aucun fichier de ce type

e. À partir de l'interface CLI de R1, vérifiez que le répertoire est présent à l'aide de la commande dir flash :
ou dir flash:ipsdir.
R1# dir flash :
Répertoire de flash:/

1 -rw- 75551300 Feb 16 2015 01:53:10 +00:00 c1900-univeralk9-mz.SPA.154-3.M2.bin


2 drw- 0 Mar 8 2015 12:38:14 +00:00 ipsdir

ou
R1# dir flash:ipsdir

Répertoire de flash:/ipsdir/

Aucun fichier dans le répertoire

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 7de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Note : Le répertoire existe, mais il n'y a actuellement aucun fichier dedans.

Task 3: Configurer la clé cryptographique de l'IPS


La clé cryptographique vérifie la signature numérique du fichier de signature maître (sigdef-default.xml). Le
contenu est signé par une clé privée Cisco pour garantir l'authenticité et l'intégrité à chaque version.

Step 1: Copiez et collez le fichier de clé cryptographique dans R1.


En mode de configuration globale, sélectionnez et copiez le fichier de clé cryptographique nommé realm-
cisco.pub.key.txt.
clé cryptographique chaîne de clé publique rsa
signature named-key realm-cisco.pub
trousseau de clés
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quitter

Step 2: Appliquez le contenu du fichier texte au routeur.


a. À l'invite du mode EXEC privilégié R1, entrez en mode de configuration globale à l'aide de la commande
config t.
b. Collez le contenu de la clé cryptographique copiée à l'invite du mode de configuration globale.
R1(config)#
R1(config)# crypto key pubkey-chain rsa
R1(config-pubkey-chain)# named-key signature realm-cisco.pub
R1(config-pubkey-key)# key-string
Entrez une clé publique sous forme de nombre hexadécimal ....

R1(config-pubkey)#$2A864886 F70D0101 01050003 82010F00 3082010A 02820101


R1(config-pubkey)#$D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
R1(config-pubkey)#$912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
R1(config-pubkey)#$085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
R1(config-pubkey)#$0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
R1(config-pubkey)#$994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
R1(config-pubkey)#$5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
R1(config-pubkey)#$A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
R1(config-pubkey)#$80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
R1(config-pubkey)# F3020301 0001
R1(config-pubkey)# quit

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 8de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

R1(config-pubkey-key)#
c. Quittez le mode de configuration globale et lancez la commande show run pour confirmer que la clé
cryptographique est configurée.

Task 4: Configurer l'IPS

Step 1: Créer une règle IPS.


a. Sur R1, créez un nom de règle IPS à l'aide de la commande ip ips name name en mode de
configuration globale. Nommez la règle IPS iosips. Elle sera utilisée ultérieurement sur une interface
pour activer l'IPS.
R1(config)# ip ips name iosips
b. Vous pouvez spécifier une liste de contrôle d'accès (ACL) standard ou étendue pour filtrer le trafic qui
sera analysé par ce nom de règle. Tout le trafic autorisé par la liste de contrôle d'accès est soumis à
l'inspection de l'IPS. Le trafic qui est refusé par la liste de contrôle d'accès n'est pas inspecté par l'IPS.
c. Pour voir les options disponibles pour spécifier une ACL avec le nom de la règle, utilisez la commande ip
ips name et la fonction d'aide CLI ( ? ).
R1(config)# ip ips name ips list ?
<1-199> Liste d'accès numérotée
WORD Liste d'accès nommée

Step 2: Configurer l'emplacement de stockage de la signature IPS dans la mémoire flash du


routeur.
Les fichiers IPS seront stockés dans le répertoire ipsdir qui a été créé dans la tâche 2, étape 2. Configurez
l'emplacement à l'aide de la commande ip ips config location.
R1(config)# ip ips config location flash:ipsdir

Step 3: Activer la notification des événements IPS SDEE.


Le serveur Cisco Security Device Event Exchange (SDEE) est un format d'alerte IDS basé sur le protocole
SOAP (Simple Object Access Protocol) et une spécification de protocole de transport. SDEE remplace Cisco
RDEP.
Pour utiliser SDEE, le serveur HTTP doit être activé à l'aide de la commande ip http server. Si le serveur
HTTP n'est pas activé, le routeur ne peut pas répondre aux clients SDEE car il ne peut pas voir les
demandes. La notification SDEE est désactivée par défaut, et doit être explicitement activée.
R1(config)# ip http server
Pour activer SDEE, utilisez la commande suivante :
R1(config)# ip ips notify sdee

Step 4: Activer le support syslog de l'IPS.


IOS IPS prend également en charge l'utilisation de syslog pour envoyer des notifications d'événements.
SDEE et syslog peuvent être utilisés indépendamment ou activés en même temps pour envoyer des
notifications d'événements IOS IPS. La notification syslog est activée par défaut.
a. Si la journalisation de la console est activée, les messages syslog de l'IPS s'affichent. Activez syslog s'il
n'est pas activé.
R1(config)# ip ips notify log

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 9de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

b. Utilisez la commande show clock pour vérifier l'heure et la date actuelles du routeur. Utilisez la
commande clock set en mode EXEC privilégié pour réinitialiser l'horloge si nécessaire. L'exemple
suivant montre comment régler l'horloge.
R1# clock set 01:20:00 8 march 2015
c. Vérifiez que le service d'horodatage pour la journalisation est activé sur le routeur à l'aide de la
commande show run. Activez le service d'horodatage s'il ne l'est pas.
R1(config)# service timestamps log datetime msec
d. Pour envoyer des messages de journal au serveur syslog sur PC-A, utilisez la commande suivante :
R1(config)# logging 192.168.1.3
e. Pour voir le type et le niveau de journalisation activés sur R1, utilisez la commande show logging.
R1# show logging
Remarque : vérifiez la connectivité entre R1 et PC-A en envoyant une requête ping depuis PC-A vers
l'adresse IP 192.168.1.1 de l'interface Fa0/1 de R1. Si cela ne fonctionne pas, dépannez si nécessaire avant
de continuer.
L'étape suivante décrit comment télécharger un des serveurs syslog gratuits si un serveur n'est pas
disponible sur le PC-A.

Step 5: (Facultatif) Téléchargez et démarrez le serveur syslog.


Si un serveur syslog n'est pas actuellement installé sur l'hôte, téléchargez un serveur syslog sur Internet et
installez-le. Si le serveur syslog est disponible sur le PC, passez à l'étape 6.
Démarrez le logiciel du serveur syslog sur le PC-A pour lui envoyer des messages de journal.

Step 6: Configurer IOS IPS pour utiliser l'une des catégories de signatures prédéfinies.
IOS IPS avec les signatures au format Cisco 5.x fonctionne avec des catégories de signatures, tout comme
les appareils IPS de Cisco. Toutes les signatures sont pré-groupées en catégories, et les catégories sont
hiérarchiques. Cela permet de classer les signatures pour faciliter leur regroupement et leur réglage.
Avertissement : La catégorie de signature "all" contient toutes les signatures d'une version de signature. Ne
pas décharger la catégorie "all" car IOS IPS ne peut pas compiler et utiliser toutes les signatures contenues
dans une version de signature en une seule fois. Le routeur manquera de mémoire.
Remarque : Lors de la configuration d'IOS IPS, il est nécessaire de retirer d'abord toutes les signatures de la
catégorie "all", puis de retirer les catégories de signatures sélectionnées.
Note de l'instructeur : L'ordre dans lequel les catégories de signature sont configurées sur le routeur est
également important. IOS IPS traite les commandes de catégorie dans l'ordre indiqué dans la configuration.
Certaines signatures appartiennent à plusieurs catégories. Si plusieurs catégories sont configurées et qu'une
signature appartient à plusieurs d'entre elles, IOS IPS utilise les propriétés de la signature (par exemple,
retraité/non retraité, actions, etc.) dans la dernière catégorie configurée.
Dans l'exemple suivant, toutes les signatures de la catégorie all sont retirées, puis la catégorie ios_ips basic
est retirée.
R1(config)# ip ips signature-category
R1(config-ips-category)# category all
R1(config-ips-category-action)# retired true
R1(config-ips-category-action)# exit
R1(config-ips-category)# category ios_ips basic
R1(config-ips-category-action)# retired false
R1(config-ips-category-action)# exit

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 10de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

R1(config-ips-category)# exit
Voulez-vous accepter ces modifications ? [confirmer] <Entrée>

Jan 6 01:32:37.983 : Application de la configuration de la catégorie aux


signatures ...

Step 7: Appliquer la règle IPS à une interface.


a. Appliquez la règle IPS à une interface avec la commande ip ips name direction en mode de configuration
d'interface. Appliquez la règle que vous venez de créer pour le trafic entrant sur l'interface S0/0/0. Après
avoir activé l'IPS, certains messages de journal seront envoyés sur la ligne de console, ce qui indique
que les moteurs IPS sont en cours d'initialisation.
Remarque : La direction in signifie que l'IPS inspecte uniquement le trafic entrant dans l'interface. De
même, out signifie que seul le trafic sortant de l'interface est inspecté. Pour permettre à l'IPS d'inspecter
le trafic entrant et sortant, entrez le nom de la règle IPS pour l'entrée et la sortie séparément sur la même
interface.
R1(config)# interface serial0/0/0
R1(config-if)# ip ips iosips in

Jan 6 03:03:30.495 : %IPS-6-ENGINE_BUILDS_STARTED : 03:03:30 UTC 6 Jan 2008


Jan 6 03:03:30.495 : %IPS-6-ENGINE_BUILDING : atomic-ip - 3 signatures - 1 sur 13
moteurs
Jan 6 03:03:30.511 : %IPS-6-ENGINE_READY : atomic-ip - build time 16 ms - les paquets
pour ce moteur seront scannés
Jan 6 03:03:30.511 : %IPS-6-ALL_ENGINE_BUILDS_COMPLETE : temps écoulé 16 ms

Le message s'affiche également sur le serveur syslog si celui-ci est activé.


Remarque : le message suivant peut s'afficher si le routeur ne dispose pas d'un fichier de signature IOS
intégré.
*******************************************************************
Le paquet de signatures est manquant ou a été sauvegardé par une version précédente.
IPS Veuillez charger un nouveau paquet de signatures
*******************************************************************
Jan 6 01:22:17.383 : %IPS-3-SIG_UPDATE_REQUIRED : IOS IPS nécessite le chargement d'un
paquet de mise à jour des signatures.

b. Bien que l'interface R1 Fa0/1 soit une interface interne, configurez-la avec IPS pour répondre aux
attaques internes. Appliquez la règle IPS à l'interface R1 Fa0/1 dans la direction entrante.
R1(config)# interface g0/1
R1(config-if)# ip ips iosips in

Step 8: Enregistrez la configuration courante.


Entrez en mode EXEC privilégié et enregistrez la configuration courante dans le fichier startup-config.
R1# copy run start

Task 5: Charger le paquet de signatures IOS IPS sur le routeur


La méthode la plus courante pour charger le paquet de signatures sur le routeur est d'utiliser TFTP.
Reportez-vous à l'étape 4 pour connaître les méthodes alternatives de chargement du paquet de signatures
IOS IPS. Les méthodes alternatives incluent l'utilisation de FTP et d'une clé USB.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 11de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Step 1: (Facultatif) Téléchargez le serveur TFTP.


Des versions gratuites ou d'essai d'un serveur TFTP peuvent être téléchargées sur Internet. Utilisez un
navigateur Web pour rechercher "free windows tftp server" et consultez la documentation du logiciel pour plus
d'informations. Votre instructeur peut également vous recommander un serveur TFTP approprié pour une
utilisation en classe.
Si un serveur TFTP n'est pas disponible sur le PC-A, vous pouvez télécharger un serveur TFTP sur Internet.
S'il est déjà installé, passez à l'étape 2.

Step 2: Démarrer le serveur TFTP sur PC-A et vérifier le répertoire du fichier IPS.
a. Vérifiez la connectivité entre R1 et PC-A et le serveur TFTP à l'aide de la commande ping.
b. Vérifiez que le PC possède le fichier de package de signature IPS dans un répertoire du serveur TFTP.
Ce fichier est généralement nommé IOS-Sxxx-CLI.pkg, où xxx est la version du fichier de signature.
Note : Si ce fichier n'est pas présent, contactez votre instructeur avant de continuer.
c. Démarrer le serveur TFTP et définir l'interface du serveur sur l'interface réseau du PC-A (192.168.1.3), et
définir le répertoire par défaut sur celui contenant le paquet IPS Signature. Prenez note du nom du fichier
pour l'utiliser à l'étape suivante.
Remarque : il est recommandé d'utiliser le dernier fichier de signature disponible dans un environnement
de production. Cependant, si la quantité de mémoire flash du routeur est un problème dans un
environnement de laboratoire, vous pouvez utiliser une ancienne version 5.x de la signature, qui
nécessite moins de mémoire. Le fichier S364 est utilisé avec ce laboratoire à des fins de démonstration,
bien que des versions plus récentes soient disponibles. Consultez CCO pour déterminer la dernière
version.

Step 3: Copiez le paquet de signatures du serveur TFTP vers le routeur.


Si vous ne disposez pas d'un serveur TFTP et que vous utilisez un routeur avec un port USB, passez à
l'étape 5 et utilisez la procédure qui y est décrite.
a. Utilisez la commande copy tftp pour récupérer le fichier de signature et le charger dans la configuration
de détection d'intrusion. Utilisez le mot-clé idconf à la fin de la commande copy.
Remarque : la compilation de la signature commence immédiatement après le chargement du paquet de
signatures sur le routeur. Vous pouvez voir les messages sur le routeur si le niveau de journalisation 6 ou
supérieur est activé.
# copy tftp://192.168.1.3/IOS-S855-CLI.pkg idconf
Chargement de IOS-S855-CLI.pkg depuis 192.168.1.3 (via
GigabitEthernet0/1) : !!!!!OO !!
Mar 8 03:43:59.495 : %IPS-5-PACKET_UNSCANNED : atomic-ip - fail open - packets
passed
unscanned !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Mar 8 03:44:59.495 : %IPS-5-PACKET_UNSCANNED : atomic-ip - fail open - packets
passed unscanned !!!!!!!!!!!!!!!!
[OK - 22561682 octets]

Mar 8 03:46:06.839 : %IPS-6-ENGINE_BUILDS_STARTED : 03:46:06 UTC Mar 8 2015


Mar 8 03:46:06.847 : %IPS-6-ENGINE_BUILDING : atomic-ip - 539 signatures - 1
de 13 moteurs
Mar 8 03:46:12.327 : %IPS-6-ENGINE_READY : atomic-ip - build time 5480 ms -
les paquets pour ce moteur seront scannés
Mar 8 03:46:12.327 : %IPS-6-ENGINE_BUILDING : normaliseur - 10 signatures - 2
de 13 moteurs

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 12de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Mar 8 03:46:12.331 : %IPS-6-ENGINE_READY : normalizer - build time 4 ms - les


paquets pour ce moteur seront analysés
Mar 8 03:46:12.359 : %IPS-6-ENGINE_BUILDING : service-http - 1837 signatures -
3 moteurs sur 13
Mar 8 03:46:14.375 : %IPS-6-ENGINE_READY : service-http - build time 2016 ms -
les paquets pour ce moteur seront analysés
Mar 8 03:46:14.379 : %IPS-6-ENGINE_BUILDING : service-smb-advanced - 76
signatures - 4 sur 13 moteurs
Mar 8 03:46:15.003 : %IPS-6-ENGINE_READY : service-smb-advanced - build time
624 ms - les paquets pour ce moteur seront analysés
Mar 8 03:46:15.003 : %IPS-6-ENGINE_BUILDING : service-msrpc - 37 signatures -
5 sur 13 moteurs
Mar 8 03:46:15.107 : %IPS-6-ENGINE_READY : service-msrpc - build time 104 ms -
les paquets pour ce moteur seront analysés
Mar 8 03:46:15.111 : %IPS-6-ENGINE_BUILDING : état - 39 signatures - 6 des 13
moteurs
Mar 8 03:46:15.203 : %IPS-6-ENGINE_READY : state - build time 92 ms - les
paquets pour ce moteur seront analysés
Mar 8 03:46:15.203 : %IPS-6-ENGINE_BUILDING : service-ftp - 3 signatures - 7
des 13 moteurs
Mar 8 03:46:15.207 : %IPS-6-ENGINE_READY : service-ftp - build time 4 ms - les
paquets pour ce moteur seront analysés
Mar 8 03:46:15.271 : %IPS-6-ENGINE_BUILDING : string-tcp - 3782 signatures - 8
des 13 moteurs
Mar 8 03:46:19.887 : %IPS-6-ENGINE_READY : string-tcp - build time 4616 ms -
les paquets de ce moteur seront analysés.
Mar 8 03:46:19.895 : %IPS-6-ENGINE_BUILDING : service-rpc - 79 signatures - 9
sur 13 moteurs
Mar 8 03:46:19.991 : %IPS-6-ENGINE_READY : service-rpc - build time 96 ms -
les paquets pour ce moteur seront analysés
Mar 8 03:46:19.991 : %IPS-6-ENGINE_BUILDING : service-dns - 39 signatures - 10
des 13 moteurs
Mar 8 03:46:20.027 : %IPS-6-ENGINE_READY : service-dns - build time 36 ms -
packets for this
R1#
R1# le moteur sera scanné
Mar 8 03:46:20.027 : %IPS-6-ENGINE_BUILDING : string-udp - 80 signatures - 11
de 13 moteurs
Mar 8 03:46:20.087 : %IPS-6-ENGINE_READY : string-udp - build time 60 ms - les
paquets pour ce moteur seront analysés
Mar 8 03:46:20.099 : %IPS-6-ENGINE_BUILDING : multi-string - 614 signatures -
12 des 13 moteurs
Mar 8 03:46:20.803 : %IPS-6-ENGINE_READY : multi-string - build time 700 ms -
les paquets pour ce moteur seront scannés
Mar 8 03:46:20.803 : %IPS-6-ENGINE_BUILDING : string-icmp - 3 signa
R1#tures - 13 des 13 moteurs
Mar 8 03:46:20.803 : %IPS-6-ENGINE_READY : string-icmp - build time 0 ms - les
paquets pour ce moteur seront analysés
Mar 8 03:46:20.803 : %IPS-6-ALL_ENGINE_BUILDS_COMPLETE : temps écoulé 13964 ms

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 13de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

b. Utilisez la commande dir flash pour voir le contenu du répertoire ipsdir créé précédemment. Il devrait y
avoir six fichiers, comme indiqué ici.
R1# dir flash:ipsdir
Répertoire de flash0:/ipsdir/

4 -rw- 255 Mar 8 2015 02:45:40 +00:00 iosips-sig-delta.xmz


5 -rw- 16625 Mar 8 2015 03:43:52 +00:00 iosips-sig-typedef.xmz
6 -rw- 143832 Mar 8 2015 03:43:58 +00:00 iosips-sig-category.xmz
7 -rw- 304 Mar 8 2015 02:45:42 +00:00 iosips-seap-delta.xmz
8 -rw- 835 Mar 8 2015 02:45:42 +00:00 iosips-seap-typedef.xmz
9 -rw- 1632555 Mar 8 2015 03:45:18 +00:00 iosips-sig-default.xmz

Step 4: Vérifiez que le paquet de signature est correctement compilé.


a. Utilisez la commande show ip ips signature count pour voir les comptes pour le paquet de signature
compilé.
R1# show ip ips signature count

Version de la version du SDF de Cisco S364.0


Version de la version du Trend SDF V0.0

Signature Micro-Engine : multi-cordes : Total des signatures 11


signatures activées par plusieurs cordes : 9
signatures multi-cordes retraitées : 11

Signature Micro-Engine : service-http : Total des signatures 662


service-http activé signatures : 163
service-http signatures retirées : 565
les signatures compilées du service-http : 97
service-http signatures obsolètes : 1

Signature Micro-Engine : string-tcp : Total des signatures 1148


string-tcp signatures activées : 622
string-tcp signatures retirées : 1031
les signatures compilées string-tcp : 117
string-tcp signatures obsolètes : 21

<Output Omitted>

Total des signatures : 2435


Total des signatures activées : 1063
Total des signatures retirées : 2097
Total des signatures compilées : 338
Total des signatures obsolètes : 25

Remarque : si vous voyez un message d'erreur pendant la compilation de la signature, tel que "%IPS-3-
INVALID_DIGITAL_SIGNATURE : Invalid Digital Signature found (key not found)", cela signifie que la clé
cryptographique publique n'est pas valide. Reportez-vous à la tâche 3, Configurer la clé cryptographique
IPS, pour reconfigurer la clé cryptographique publique.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 14de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

b. Utilisez la commande show ip ips all pour afficher le résumé de l'état de la configuration IPS. A quelles
interfaces et dans quelle direction la règle iosips est-elle appliquée ?
____________________________________________________________________________________
____________________________________________________________________________________
S0/0/0 entrant et Fa0/1 entrant.
R1# show ip ips all

Statut de la configuration du fichier de signature IPS


Emplacements de la configuration : flash:ipsdir/
Heure de chargement de la dernière signature par défaut : 18:47:52 UTC 6 Jan 2009
Dernier temps de chargement du delta de la signature : 20:11:35 UTC 6 Jan 2009
Temps de chargement de la dernière action d'événement (SEAP) : -none-

Configuration générale du SEAP :


Global Deny Timeout : 3600 secondes
Statut des dérogations globales : Activé
Statut des filtres globaux : Activé

La mise à jour automatique de l'IPS n'est pas actuellement configurée

Statut des notifications Syslog et SDEE de l'IPS


La notification des événements par syslog est activée
La notification d'événements via SDEE est activée

Statut de la signature IPS


Total des signatures actives : 339
Total des signatures inactives : 2096

Analyse des paquets IPS et état des interfaces


Configuration des règles IPS
Nom de l'IPS iosips
IPS fail closed est désactivé
IPS deny-action ips-interface est faux
Configuration de l'interface
Interface Serial0/0/0
La règle IPS entrante est iosips
La règle IPS sortante n'est pas définie
Interface FastEthernet0/1
La règle IPS entrante est iosips
La règle IPS sortante n'est pas définie

Configuration CLI de la catégorie IPS :


Toutes les catégories :
Retraite : Véritable
Catégorie ios_ips basic :
Retirer : Faux

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 15de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Step 5: (Facultatif) Méthodes alternatives de copie du paquet de signatures sur le routeur.


Si vous avez utilisé TFTP pour copier le fichier et que vous n'allez pas utiliser l'une de ces méthodes
alternatives, lisez les procédures décrites ici pour vous familiariser avec elles. Si vous utilisez l'une de ces
méthodes au lieu du TFTP, retournez à l'étape 4 pour vérifier que le paquet de signatures s'est chargé
correctement.
Méthode FTP : Bien que la méthode TFTP soit généralement adéquate, le fichier de signatures est plutôt
volumineux et FTP peut fournir une autre méthode de copie du fichier. Vous pouvez utiliser un serveur FTP
pour copier le fichier de signatures sur le routeur à l'aide de cette commande :
copier ftp://<ftp_user:password@Server_IP_address>/<signature_package> idconf
Dans l'exemple suivant, l'utilisateur admin doit être défini sur le serveur FTP avec un mot de passe de cisco.
R1# copy ftp://admin:cisco@192.168.1.3/IOS-S855-CLI.pkg idconf
Chargement de IOS-S855-CLI.pkg ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 7608873/4096 octets]
Méthode USB : Si vous n'avez pas accès à un serveur FTP ou TFTP, vous pouvez utiliser une clé USB pour
charger le paquet de signatures sur le routeur.
a. Copiez le paquet de signatures sur le lecteur USB.
b. Connectez la clé USB à l'un des ports USB du routeur.
c. Utilisez la commande show file systems pour connaître le nom du lecteur USB. Dans le résultat suivant,
un lecteur USB de 4 Go est connecté au port USB du routeur en tant que système de fichiers usbflash0 :
R1# show file systems
Systèmes de fichiers :

Taille(b) Libre(b) Type Flags Préfixes


- archive rw opaque :
- système de rw opaque :
- opaque rw tmpsys :
- opaque rw null :
- réseau rw tftp :
196600 185972 nvram rw nvram :
* 64012288 14811136 disk rw flash:#
- opaque wo syslog :
- opaque rw xmodem :
- opaque rw ymodem :
- réseau rw rcp :
- réseau rw pram :
- réseau rw http :
- réseau rw ftp :
- réseau rw scp :
- opaque ro tar :
- network rw https :
- ro cns opaques :
4001378304 3807461376 usbflash rw usbflash0 :
d. Vérifiez le contenu du lecteur flash à l'aide de la commande dir.
R1# dir usbflash0 :

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 16de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Répertoire de usbflash0:/

1 -rw- 807 Mar 8 2015 13:20:12 +00:00 realm-cisco.pub.key


2 -rw- 22561682 Mar 8 2015 09:57:38 +00:00 IOS-S855-CLI.pkg
e. Utilisez la commande copy avec le mot clé idconf pour copier le paquet de signatures sur le routeur.
R1# copy usbflash0:IOS-S855-CLI.pkg idconf
Le processus de copie USB peut prendre 60 secondes ou plus, et aucun indicateur de progression ne
s'affiche. Lorsque le processus de copie est terminé, de nombreux messages de construction de moteur
s'affichent. Ils doivent être terminés avant que l'invite de commande ne revienne.

Task 6: Tester la règle IPS et modifier une signature


Vous pouvez travailler avec les signatures de plusieurs façons. Elles peuvent être retirées et non retirées,
activées et désactivées, et leurs caractéristiques et actions peuvent être modifiées. Dans cette tâche, vous
testez d'abord le comportement par défaut de l'IOS IPS en lui envoyant une requête ping depuis l'extérieur.

Step 1: Ping depuis R2 vers l'interface R1 serial 0/0/0.


À partir de l'interface CLI sur R2, envoyez un ping à R1 S0/0/0 à l'adresse IP 10.1.1.1. Les pings sont réussis
car la signature ICMP Echo Request 2004:0 est retirée.

Step 2: Ping de R2 à PC-A.


À partir de la CLI de R2, envoyez un ping au PC-A à l'adresse IP 192.168.1.3. Ces pings sont également
réussis grâce à la signature retirée. Il s'agit du comportement par défaut des signatures IPS.
R2# ping 192.168.1.3

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 192.168.1.3, le délai d'attente est de 2
secondes :
! !!!!
Le taux de réussite est de 100 % (5/5), aller-retour min/avg/max = 1/1/4 ms.

Step 3: Modifiez la signature.


Vous pouvez utiliser la CLI de Cisco IOS pour modifier l'état et les actions de la signature pour une signature
ou un groupe de signatures en fonction des catégories de signature.
L'exemple suivant montre comment annuler la signature de demande d'écho, l'activer, changer l'action de la
signature en alerte, et abandonner et réinitialiser pour la signature 2004 avec un ID de sous-ensemble de 0.
R1(config)# ip ips signature-definition
R1(config-sigdef)# signature 2004 0
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)# retired false
R1(config-sigdef-sig-status)# enabled true
R1(config-sigdef-sig-status)# moteur
R1(config-sigdef-sig-engine)# event-action produce-alert
R1(config-sigdef-sig-engine)# event-action deny-packet-inline
R1(config-sigdef-sig-engine)# event-action reset-tcp-connection
R1(config-sigdef-sig-engine)# exit
R1(config-sigdef-sig)# exit

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 17de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

R1(config-sigdef)# exit
Voulez-vous accepter ces modifications ? [confirmer] <Entrée>

Mar 8 05:37:45.775 : %IPS-6-ENGINE_BUILDS_STARTED : 05:37:45 UTC Mar 8 2015


Mar 8 05:37:46.099 : %IPS-6-ENGINE_BUILDING : atomic-ip - 539 signatures - 1
sur 13 moteurs
R1(config)#
Mar 8 05:37:51.219 : %IPS-6-ENGINE_READY : atomic-ip - build time 5120 ms -
les paquets pour ce moteur seront scannés
Mar 8 05:37:51.427 : %IPS-6-ALL_ENGINE_BUILDS_COMPLETE : temps écoulé 5652 ms

Step 4: Ping de R2 à R1 interface série 0/0/0.


a. Démarrez le serveur syslog.
b. À partir de l'interface CLI sur R2, envoyez un ping à R1 S0/0/0 à l'adresse IP 10.1.1.1. Les pings ont-ils
réussi ? Expliquez.
____________________________________________________________________________________
____________________________________________________________________________________
Non. La signature de la demande d'écho 2004 n'a pas été retirée, elle est activée et configurée pour agir
lorsqu'un ping est tenté.
R2# ping 10.1.1.1.

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 10.1.1.1, le délai d'attente est de 2
secondes :
.....
Le taux de réussite est de 0 pour cent (0/5)

Step 5: Ping de R2 à PC-A.


a. À partir de la CLI de R2, envoyez un ping à PC-A à l'adresse IP 192.168.1.3. Les pings ont-ils réussi ?
Expliquez.
____________________________________________________________________________________
____________________________________________________________________________________
Non. La signature de la demande d'écho 2004 est maintenant active.
R2# ping 192.168.1.3

Tapez la séquence d'échappement pour abandonner.


Envoi de 5 échos ICMP de 100 octets à 192.168.1.3, le délai d'attente est de 2
secondes :
.....
Le taux de réussite est de 0 pour cent (0/5)

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 18de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

b. Remarquez les messages IPS de R1 sur l'écran du serveur syslog ci-dessous. Combien de messages
ont été générés par les pings de R2 vers R1 et PC-A ?
____________________________________________________________________________________
____________________________________________________________________________________
10 messages, cinq pour le ping de 10.1.1.2 vers 10.1.1.1 et cinq pour le ping vers 192.168.1.3.

Remarque : Le niveau de risque (niveau de gravité) de l'IPS pour les requêtes d'écho ICMP est relativement
faible (25). L'évaluation du risque peut aller de 0 à 100.

Part 3: Simuler une attaque


Task 1: Vérifier l'IPS avec Zenmap
Nmap/Zenmap est un outil d'analyse de réseau qui vous permet de découvrir les hôtes et les ressources du
réseau, y compris les services, les ports, les systèmes d'exploitation et d'autres informations d'empreintes
digitales. Zenmap est l'interface graphique de Nmap. Nmap ne doit pas être utilisé pour scanner des réseaux
sans autorisation préalable. L'acte de scanner un réseau peut être considéré comme une forme d'attaque
réseau.
Nmap/Zenmap va tester les capacités IPS sur R1. Vous exécuterez le programme de scan depuis le PC-A et
tenterez de scanner les ports ouverts sur le routeur R2 avant et après avoir appliqué la règle IPS iosips sur
R1.

Step 1: Téléchargez et installez Nmap/Zenmap.


a. Si Nmap/Zenmap n'est pas installé sur PC-A, téléchargez Nmap/Zenmap sur
http://nmap.org/download.html.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 19de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

b. Recherchez les binaires appropriés pour votre système d'exploitation.

c. Installez Nmap/Zenmap.

Step 2: Lancer Nmap/Zenmap et définir les options d'analyse.


a. Démarrez Zenmap sur le PC-A.
b. Entrez l'adresse IP 10.1.1.2 comme cible et vérifiez que le profil sélectionné est Intense scan. Cliquez
sur Scan pour commencer l'analyse.

c. Une fois l'analyse terminée, examinez les résultats affichés dans l'onglet Sortie du Nmap.

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 20de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

d. Cliquez sur l'onglet Ports/Hosts. Combien de ports ouverts Nmap a-t-il trouvé sur R2 ? Quels sont les
numéros de port et les services associés ?
____________________________________________________________________________________
____________________________________________________________________________________
Aucun port ouvert n'a été trouvé par Zenmap.

e. Quitter Zenmap.

Task 2: Observez les messages syslog sur R1.


Vous devriez voir des entrées syslog sur la console R1 et sur le serveur syslog s'il est activé. Les descriptions
devraient inclure des phrases, telles que TCP NULL Packet et TCP SYN/FIN Packet.

a. Quel est le niveau de risque IPS ou le niveau de gravité (Sev :) du paquet TCP NULL, signature 3040 ?
____________________________________________________________________________________
100
b. Quel est l'indice de risque IPS ou le niveau de gravité (Sev :) du paquet TCP SYN/FIN, signature 3041 ?
____________________________________________________________________________________
100

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 21de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

Réflexion
Si des modifications sont apportées à une signature lors de l'utilisation des fichiers de signature de la version
5.x, sont-elles visibles sur le routeur qui exécute la configuration ?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Non. Les fichiers de signatures ne font pas partie de la configuration de Cisco IOS ou du routeur. Aucune
information concernant les détails des signatures ou le contenu des fichiers de signatures n'est visible pour
l'utilisateur, sauf via la manipulation de l'interface CLI de Cisco IOS et les commandes IPS show.

Tableau récapitulatif des interfaces du routeur

Résumé de l'interface du routeur

Modèle de Interface Ethernet #1 Interface Ethernet Interface série n°1 Interface série n°2
routeur n°2

1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Série 0/0/0 (S0/0/0) Série 0/0/1 (S0/0/1)
(Fa0/0) (Fa0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Série 0/0/0 (S0/0/0) Série 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Série 0/1/0 (S0/1/0) Série 0/1/1 (S0/1/1)
(Fa0/0) (Fa0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Série 0/0/0 (S0/0/0) Série 0/0/1 (S0/0/1)
(Fa0/0) (Fa0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Série 0/0/0 (S0/0/0) Série 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Remarque : pour savoir comment le routeur est configuré, regardez les interfaces pour identifier le type de
routeur et le nombre d'interfaces dont il dispose. Il n'existe aucun moyen de répertorier efficacement toutes les
combinaisons de configurations pour chaque classe de routeur. Ce tableau comprend des identifiants pour les
combinaisons possibles d'interfaces Ethernet et série dans le périphérique. Le tableau ne comprend aucun autre
type d'interface, même si un routeur spécifique peut en contenir. Par exemple, une interface ISDN BRI. La
chaîne entre parenthèses est l'abréviation légale qui peut être utilisée dans les commandes Cisco IOS pour
représenter l'interface.

Routeur R1
R1# show run
Configuration du bâtiment...

Configuration actuelle : 2776 octets

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 22de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
nom d'hôte R1
!
marqueur de démarrage
marqueur d'extrémité de botte
!
security passwords min-length 10
enable secret 9 $9$jS7nkxcSkFkPMU$r1r2HMA6VSH8LBAcghcnLj.lEru/qTEX.f6ncaaCyq.
!
no aaa new-model
taille de la mémoire iomem 15
!
no ip domain lookup
nom de domaine ip ccnasecurity.com
ip ips config location flash:ipsdir retries 1
ip ips notifier SDEE
ip ips nom iosips
!
ip ips signature-category
toutes les catégories
retraité vrai
catégorie ios_ips basic
retraité faux
!
ip cef
no ipv6 cef
!
multilink bundle-name authentifié
!
cts logging verbose
!
nom d'utilisateur admin01 secret 9
$9$6GyiPInpJqZEAE$fCAv1VPLQFOVY1ipvHm.LqtPYDYfoj..SQLkgaONHB2
!
redondance
!
clé cryptographique chaîne de clé publique rsa
signature named-key realm-cisco.pub
trousseau de clés
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 23de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85


50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quitter
!
interface Embedded-Service-Engine0/0
non adresse ip
arrêt
!
interface GigabitEthernet0/0
non adresse ip
arrêt
duplex automatique
vitesse auto
!
interface GigabitEthernet0/1
adresse ip 192.168.1.1 255.255.255.0
ip ips iosips in
duplex automatique
vitesse auto
!
interface Serial0/0/0
adresse ip 10.1.1.1 255.255.255.252
ip ips iosips in
taux d'horloge 64000
!
interface Serial0/0/1
non adresse ip
arrêt
!
ip forward-protocol nd
!
serveur http ip
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0.0 10.1.1.2
!
hôte de journalisation 192.168.1.3
!
plan de contrôle
!
ligne con 0
exec-timeout 5 0
journalisation synchrone
login local
ligne aux 0
exec-timeout 5 0

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 24de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

login local
ligne 2
pas de caractère d'activation
pas d'exécution
transport préféré aucun
transport sortie pad telnet rlogin lapb-ta mop udptn v120 ssh
bits d'arrêt 1
ligne vty 0 4
exec-timeout 5 0
login local
transport input ssh
!
planificateur allouer 20000 1000
!
fin

Routeur R2
R2# show run
Configuration du bâtiment...

Configuration actuelle : 1725 octets


!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
nom d'hôte R2
!
marqueur de démarrage
marqueur d'extrémité de botte
!
security passwords min-length 10
enable secret 9 $9$gOx1nSSUWDg7dk$mkhWUmZ9aNM7hsMfn2K2JNIvtdjDJiRv4dy4e3pbpBQ
!
no aaa new-model
taille de la mémoire iomem 15
!
no ip domain lookup
nom de domaine ip ccnasecurity.com
ip cef
no ipv6 cef
!
multilink bundle-name authentifié
!
cts logging verbose
!
nom d'utilisateur admin01 secret 9 $9$ATnhIZ7o5Gngf.
$wsm64pYOF.UD9dclr7mjVollS6OpuORlXltHAppCxeE

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 25de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

!
redondance
!
interface Embedded-Service-Engine0/0
non adresse ip
arrêt
!
interface GigabitEthernet0/0
non adresse ip
arrêt
duplex automatique
vitesse auto
!
interface GigabitEthernet0/1
non adresse ip
arrêt
duplex automatique
vitesse auto
!
interface Serial0/0/0
adresse ip 10.1.1.2 255.255.255.252
!
interface Serial0/0/1
adresse ip 10.2.2.2 255.255.255.252
taux d'horloge 64000
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 192.168.1.0 255.255.255.0 10.1.1.1
ip route 192.168.3.0 255.255.255.0 10.2.2.1
!
plan de contrôle
!
ligne con 0
exec-timeout 0 0
journalisation synchrone
login local
ligne aux 0
exec-timeout 5 0
login local
ligne 2
pas de caractère d'activation
pas d'exécution
transport préféré aucun
transport sortie pad telnet rlogin lapb-ta mop udptn v120 ssh
bits d'arrêt 1

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 26de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

ligne vty 0 4
exec-timeout 5 0
login local
transport input ssh
!
planificateur allouer 20000 1000
!
fin

Routeur R3
R3# show run
Configuration du bâtiment...

Configuration actuelle : 1713 octets


!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
nom d'hôte R3
!
marqueur de démarrage
marqueur d'extrémité de botte
!
!
security passwords min-length 10
enable secret 9 $9$LfYP2QxWA5/6Ok$sKHbeJA75e.12WTISBDvfGKjLA3Wh5ZRR9oogz3RUH.
!
no aaa new-model
taille de la mémoire iomem 15
!
no ip domain lookup
nom de domaine ip ccnasecurity.com
ip cef
no ipv6 cef
!
multilink bundle-name authentifié
!
cts logging verbose
!
nom d'utilisateur admin01 secret 9
$9$jygAnAXpsQfJ.U$UmwPhflXTpbN2UNMizLPU1GL//3LFL695..k7A98huA
!
redondance
!
interface Embedded-Service-Engine0/0
non adresse ip
arrêt

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 27de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

!
interface GigabitEthernet0/0
non adresse ip
arrêt
duplex automatique
vitesse auto
!
interface GigabitEthernet0/1
adresse ip 192.168.3.1 255.255.255.0
duplex automatique
vitesse auto
!
interface Serial0/0/0
non adresse ip
arrêt
fréquence d'horloge 2000000
!
interface Serial0/0/1
adresse ip 10.2.2.1 255.255.255.252
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0.0 10.2.2.2
!
plan de contrôle
!
ligne con 0
exec-timeout 5 0
journalisation synchrone
login local
ligne aux 0
exec-timeout 5 0
login local
ligne 2
pas de caractère d'activation
pas d'exécution
transport préféré aucun
transport sortie pad telnet rlogin lapb-ta mop udptn v120 ssh
bits d'arrêt 1
ligne vty 0 4
exec-timeout 5 0
login local
transport input ssh
!
planificateur allouer 20000 1000
!

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 28de 29 www.netacad.com
Laboratoire - Configurer un système de prévention des intrusions (IPS)

fin

© 2015 - 2021Cisco et/ou ses affiliés. Tous droits réservés. Cisco Public. Page 29de 29 www.netacad.com

Vous aimerez peut-être aussi