Chapitre 5-Partie 2 Implementation de La Prevention Des Intrusions-CH12

Chapitre 5: Implémentation de la
prévention des intrusions

(chapitre 12 sur netacad)
CCNA Security v2.0

Smail Bacha
Source:Netacad
1. Introduction
1 Technologies IPS
2 Signatures IPS
3 Implémenter IPS
4 Résumé
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
2.3 IPS Action des signatures
Lorsqu'une signature détecte l'activité pour laquelle elle est configurée, la signature
déclenche une ou plusieurs actions:
 Générer une alerte.
 journaliser l'activité (Logging the Activity).
 Abandonnez ou empêchez l'activité.
 Réinitialisez une connexion TCP.
 Bloquer les activités futures.
 Autorisez l'activité.
© 2013 Cisco and/or its affiliates. All rights reserved. Smail Bacha H2020 Cisco Public 4
2.4 Gérer et surveiller IPS
 La surveillance des événements liés à la sécurité sur un réseau est également un

aspect crucial de la protection d'un réseau contre les attaques.
 Ce n'est qu'en surveillant les événements de sécurité sur un réseau qu'un

administrateur peut identifier avec précision les attaques et les violations de
stratégie de sécurité qui se produisent.
 Les facteurs à considérer lors de la mise en œuvre d'une solution IPS:
 Méthode de gestion
 Corrélation d'événements
 Personnel de sécurité
 Plan de réponse aux incidents
Méthode de gestion
 Les capteurs IPS peuvent être gérés individuellement ou centralement. La

configuration individuelle de chaque périphérique IPS est le processus le plus
simple s'il n'y a que quelques capteurs.
 Dans un réseau plus vaste, un système de gestion centralisé qui permet à
l'administrateur de configurer et de gérer tous les périphériques IPS à partir
d'un seul système central doit être déployé.
Corrélation d'événements
 La corrélation d'événements fait référence au processus de corrélation des

attaques et d'autres événements qui se produisent simultanément à différents
points d'un réseau.
 Les facteurs qui facilitent la corrélation des événements est le déploiement
d'une fonction de surveillance centralisée sur un réseau et l’activation du NTP.
Personnel de sécurité
 Les grandes entreprises ont besoin d'un personnel de sécurité approprié pour
analyser cette activité et déterminer dans quelle mesure l'IPS protège le
réseau.
 L'examen de ces alertes permet également aux opérateurs de sécurité de
régler l'IPS et d'optimiser le fonctionnement de l'IPS en fonction des exigences
uniques du réseau.
Plan de réponse aux incidents
 Le système compromis devrait être restauré dans l'état où il se trouvait avant

l'attaque.
 Il faut déterminer si le système compromis a entraîné une perte de propriété
intellectuelle ou la compromission d'autres systèmes du réseau.
Visualisées localement, ou via une application de gestion, telle que IPS Manager
Express.
Lorsqu'une signature
d'attaque est détectée
Envoie un message syslog ou une alarme au format SDEE (Secure Device Event
Exchange)
 La nécessité de moderniser les capteurs avec les derniers packs de

signature doivent être mis en balance avec le temps d'arrêt momentané.
 Lorsque vous configurez un déploiement important de capteurs, mettre à
jour automatiquement les packs de signature plutôt que mise à niveau
manuellement de chaque capteur.
 Lorsque les packs signature nouveaux sont disponibles, téléchargez les
packs nouvelle signature à un serveur sécurisé au sein du réseau de
gestion. Utilisez un autre IPS pour protéger ce serveur contre les attaques
par une tierce partie.
 Placer les paquets de signature sur un serveur FTP dédié au sein du
réseau de gestion.
 Configurer le serveur FTP pour autoriser l'accès en lecture seule aux
fichiers dans le répertoire où les PACKS sont placés et configurer les
sensors de vérifier si les mises a jours existe (décaler les mise a jours des
sensors)
 Si une mise à jour de signature n'est pas disponible, une signature
personnalisée peut être créé afin de détecter et d'atténuer une attaque
spécifique.
3.1 Configuration Cisco IOS IPS avec CLI Cisco IOS IPS avec CLI
Étape 1. Téléchargez les fichiers IOS IPS.

Étape 2. Créez un répertoire de configuration IOS IPS dans Flash.
Étape 3. Configurez une clé de chiffrement IPS IOS.
Étape 4. Activez l'IOS IPS.
Étape 5. Chargez le package de signature IPS IOS sur le routeur.
Avant de configurer IPS, il est nécessaire de télécharger les fichiers du package de

signature IPS IOS et une clé de chiffrement publique à partir de cisco.com.
https://software.cisco.com/download/home/
282941564/type/282159854/release/S890
 Ouvrez la clé qui se trouve dans le fichier realm-cisco.pub.key.txt obtenu à l’étape 1,

cette clé publique permet de vérifier l’authenticité du fichier signature qu’on vient de
télécharger.
 Coller le contenu de cette clé en

mode de configuration global
a. Identifiez le nom de la règle IPS et spécifiez l'emplacement
1. Une ACL étendue ou standard en option peut être configurée pour filtrer le trafic
analysé, uniquement le traffic autorisé est inspectée par IPS.
2. Configurez l'emplacement de stockage de signature IPS
b. Activez SDEE et la notification des événements de journalisation
Le protocole SDEE (Security Device Event Exchange) a été développé pour
communiquer les événements générés par les dispositifs de sécurité.
Pour utiliser SDEE, le serveur HTTP ou HTTPS doit d'abord être activé avec la
commande ip http server ou ip https serve
c. Configurez la catégorie de signature.
 Toutes les signatures sont regroupées en catégories et les catégories sont hiérarchiques
 Si une catégorie de signature est retiré, IPS la compile et l’utilise pour filtrer le trafic.
d. Appliquez la règle IPS à une interface souhaitée et spécifiez la direction
La règle IPS IOSIPS est appliquée au trafic entrant sur l’interface G0/0 et entrant et
sortant sur l'interface G0/1
1 – Copiez les signatures du serveur TFTP. au routeur
2 – La compilation des signatures commence immédiatement après le

chargement du package de signatures sur le routeur.
3.2 modification de la signature Cisco ios
Retrait d'une signature individuelle:
Retrait d'une catégorie de signature:
3.3 Vérifier et surveiller les IPS
Show commandes pour vérifier la configuration d'IOS IPS:

• show ip ips
• show ip ips all
• show ip ips configuration
• show ip ips interfaces
• show ip ips signatures
• show ip ips statistics
Clear commandes pour désactiver IPS:

• clear ip ips configuration
• clear ip ips statistics
Thank you.

Chapitre 5-Partie 2 Implementation de La Prevention Des Intrusions-CH12

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 5-Partie 2 Implementation de La Prevention Des Intrusions-CH12

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 5: Implémentation de la

prévention des intrusions

CCNA Security v2.0

 La surveillance des événements liés à la sécurité sur un réseau est également un

 Ce n'est qu'en surveillant les événements de sécurité sur un réseau qu'un

 Les facteurs à considérer lors de la mise en œuvre d'une solution IPS:

 Plan de réponse aux incidents

 Les capteurs IPS peuvent être gérés individuellement ou centralement. La

 La corrélation d'événements fait référence au processus de corrélation des

Plan de réponse aux incidents

 Le système compromis devrait être restauré dans l'état où il se trouvait avant

 La nécessité de moderniser les capteurs avec les derniers packs de

Étape 1. Téléchargez les fichiers IOS IPS.

Avant de configurer IPS, il est nécessaire de télécharger les fichiers du package de

 Ouvrez la clé qui se trouve dans le fichier realm-cisco.pub.key.txt obtenu à l’étape 1,

 Coller le contenu de cette clé en

a. Identifiez le nom de la règle IPS et spécifiez l'emplacement

c. Configurez la catégorie de signature.

d. Appliquez la règle IPS à une interface souhaitée et spécifiez la direction

1 – Copiez les signatures du serveur TFTP. au routeur

2 – La compilation des signatures commence immédiatement après le

Retrait d'une signature individuelle:

Retrait d'une catégorie de signature:

Show commandes pour vérifier la configuration d'IOS IPS:

• show ip ips all

• show ip ips configuration

• show ip ips interfaces

• show ip ips signatures

• show ip ips statistics

Clear commandes pour désactiver IPS:

• clear ip ips statistics

Vous aimerez peut-être aussi