Intrusion Detection System (IDS) – это система обнаружения атак и вторжений, на базе специальных сигнатур. Способна лишь обнаружить атаку и подать сигнал, но сделать что-то по предотвращению, не может.
Intrusion Prevention System (IPS) - это система, которая предназначена для мониторинга и предотвращения вторжений. Она идентифицирует, классифицирует и предотвращает вторжение известных и неизвестных вирусов, атак и эксплоитов.
IPS в этом плане, конечно выгоднее, чем IDS. Эти системы реализованы как на отдельном «железе», так и в составе модульных решений сетевого оборудования.
Более подробную информацию по данному вопросу можно найти на просторах интернета. А мы, пожалуй, начнем :).
Для начала, нам необходимо скачать так называемый «IOS» для IDS/IPS. Сделать это можно вот по этим ссылкам:
После скачивания файлов с ними ничего не надо делать, просто разархивируйте их в папку GNS3, где находятся ваши IOS.
После этого, запускаем GNS3 и создаем новый проект. Затем идем на вкладку Edit – Preferences – Qemu – IDS:
Теперь добавим устройство IDS в рабочую область и подключим его к «внешнему миру» (к физической сети). Схема будет следующая:
Как подключать GNS3 к физической сети, можно посмотреть тут. Только одно лишь уточнение. Здесь я использую подключение не к физической машине, а к VMWare workstation (принцип подключения один и тот же).
Продолжаем. Запускаем IDS («Start»). Откроется окно консоли:
Выбираем Cisco IPS. Начнется загрузка. Подождите, пока не появится приглашение ввести «login» (если при загрузке в окне консоли вы увидите сообщения «Warning», не обращайте внимание):
Вводим следующее:
Начальные настройки сделаны. Попробуем проверить сетевую доступность IPS/IDS и локального компьютера:
Сетевая доступность присутствует. Идем на нашу локальную машину и попробуем зайти на IPS/IDS через веб-интерфейс:
Набираем в строке адрес (https) нашего устройства IPS/IDS. Нажимаем «Я понимаю риск» -- «Добавить исключение» -- «Подтвердить исключение безопасности». Должно открыться следующее окно:
Нажимаем на «Run IDM».
Отмечаем всегда доверять содержимому от этого поставщика и нажимаем «Yes». Запустится Java applet IDM.
Вводим login и password, которые мы уже использовали при подключении по консоли. Нажимаем «OK».
Теперь, есть два варианта развития событий :). Первый, у вас сразу загрузится IDM и все заработает. Второй, ничего не запустится :).
Поговорим о плохом варианте. После нажатия «OK» у вас может появиться следующее окно:
Здесь говорится, что выделение памяти для приложений Java меньше, чем 256 Мб (Java memory heap size is less than 256 MB), что недостаточно для IDM. Следует сначала увеличить размер этой памяти, а потом запускать приложение (перевод вольный и на уровень «переводчика» не претендует :)).
Чтобы это сделать, надо пройти в «Пуск» -- «Панель управления» и там найти значок настройки Java:
Заходим по этому значку и идем на вкладку «Java»:
Нажимаем «View»:
Двойной щелчок по «Runtime Parameters» и прописываем –Xmx512m (тем самым мы повышаем порог выделяемой памяти). Нажимаем «OK». Затем, на другом окне, «Apply» и снова «OK». Затем пробуем снова зайти на наш IPS/IDS через веб-интерфейс, как описывалось выше.
У меня стояла Java 6 (на рисунке видно) и после увеличения памяти ничего не произошло, то есть выскакивала та же ошибка. Помотавшись по многим форумам и почитав информацию, я так и не понял суть проблемы. Но решение состоит в том, чтобы удалить Java версии 6 и поставить Java версии 5. Если у вас заработало на Java 6, то напишите, как у вас это получилось, буду признателен.
А мне пришлось поставить Java 5 (JRE 1.5.0_16), увеличить память тем же способом, который описан выше, и, в итоге, мне открылось приветственное окно IPS/IDS :):
Надеюсь, у вас все получилось. Теперь можно и познакомится с IPS/IDS поближе и более углубленно подготовиться к экзаменам или собрать виртуальный стенд, для последующей реализации на реальном оборудовании. Но это уже новые ресурсы для будущих постов :).
Intrusion Prevention System (IPS) - это система, которая предназначена для мониторинга и предотвращения вторжений. Она идентифицирует, классифицирует и предотвращает вторжение известных и неизвестных вирусов, атак и эксплоитов.
IPS в этом плане, конечно выгоднее, чем IDS. Эти системы реализованы как на отдельном «железе», так и в составе модульных решений сетевого оборудования.
Более подробную информацию по данному вопросу можно найти на просторах интернета. А мы, пожалуй, начнем :).
Для начала, нам необходимо скачать так называемый «IOS» для IDS/IPS. Сделать это можно вот по этим ссылкам:
После скачивания файлов с ними ничего не надо делать, просто разархивируйте их в папку GNS3, где находятся ваши IOS.
После этого, запускаем GNS3 и создаем новый проект. Затем идем на вкладку Edit – Preferences – Qemu – IDS:
- Где:
- 1 – произвольное название;
- 2 – путь к первому файлу (disk1);
- 3 – путь ко второму файлу (disk2);
- 4 – выделяемая память (поставьте 1024);
- 5 – тип интерфейсов;
- 6 – поменяйте тип продукта с 4215 на 4235 (так как IOS для IPS/IDS версии 4235).
Теперь добавим устройство IDS в рабочую область и подключим его к «внешнему миру» (к физической сети). Схема будет следующая:
Как подключать GNS3 к физической сети, можно посмотреть тут. Только одно лишь уточнение. Здесь я использую подключение не к физической машине, а к VMWare workstation (принцип подключения один и тот же).
Продолжаем. Запускаем IDS («Start»). Откроется окно консоли:
Выбираем Cisco IPS. Начнется загрузка. Подождите, пока не появится приглашение ввести «login» (если при загрузке в окне консоли вы увидите сообщения «Warning», не обращайте внимание):
Вводим следующее:
- Login: cisco
- Password: ciscoips4215
- sensor# conf t
sensor(config)#service host
sensor(config-hos)#network-settings
sensor(config-hos-net)#host-ip 10.10.10.10/24,10.10.10.220
sensor(config-hos-net)#host-name IPS4235
sensor(config-hos-net)#telnet-option enabled
sensor(config-hos-net)#access-list 10.10.10.0/24
sensor(config-hos-net)#ftp-timeout 300
sensor(config-hos-net)#no login-banner-text
sensor(config-hos-net)#exit
sensor(config-hos)#time-zone-settings
sensor(config-hos-tim)#offset 0
sensor(config-hos-tim)#standard-time-zone-name UTC
sensor(config-hos-tim)#exit
sensor(config-hos)#summertime-option disabled
sensor(config-hos)#ntp-option disabled
sensor(config-hos)#exit
sensor(config)#service web-server
sensor(config-web)#port 443
sensor(config-web)#exit
sensor(config)#exit
sensor#exit
Начальные настройки сделаны. Попробуем проверить сетевую доступность IPS/IDS и локального компьютера:
Сетевая доступность присутствует. Идем на нашу локальную машину и попробуем зайти на IPS/IDS через веб-интерфейс:
Набираем в строке адрес (https) нашего устройства IPS/IDS. Нажимаем «Я понимаю риск» -- «Добавить исключение» -- «Подтвердить исключение безопасности». Должно открыться следующее окно:
Нажимаем на «Run IDM».
Отмечаем всегда доверять содержимому от этого поставщика и нажимаем «Yes». Запустится Java applet IDM.
Вводим login и password, которые мы уже использовали при подключении по консоли. Нажимаем «OK».
Теперь, есть два варианта развития событий :). Первый, у вас сразу загрузится IDM и все заработает. Второй, ничего не запустится :).
Поговорим о плохом варианте. После нажатия «OK» у вас может появиться следующее окно:
Здесь говорится, что выделение памяти для приложений Java меньше, чем 256 Мб (Java memory heap size is less than 256 MB), что недостаточно для IDM. Следует сначала увеличить размер этой памяти, а потом запускать приложение (перевод вольный и на уровень «переводчика» не претендует :)).
Чтобы это сделать, надо пройти в «Пуск» -- «Панель управления» и там найти значок настройки Java:
Заходим по этому значку и идем на вкладку «Java»:
Нажимаем «View»:
Двойной щелчок по «Runtime Parameters» и прописываем –Xmx512m (тем самым мы повышаем порог выделяемой памяти). Нажимаем «OK». Затем, на другом окне, «Apply» и снова «OK». Затем пробуем снова зайти на наш IPS/IDS через веб-интерфейс, как описывалось выше.
У меня стояла Java 6 (на рисунке видно) и после увеличения памяти ничего не произошло, то есть выскакивала та же ошибка. Помотавшись по многим форумам и почитав информацию, я так и не понял суть проблемы. Но решение состоит в том, чтобы удалить Java версии 6 и поставить Java версии 5. Если у вас заработало на Java 6, то напишите, как у вас это получилось, буду признателен.
А мне пришлось поставить Java 5 (JRE 1.5.0_16), увеличить память тем же способом, который описан выше, и, в итоге, мне открылось приветственное окно IPS/IDS :):
Надеюсь, у вас все получилось. Теперь можно и познакомится с IPS/IDS поближе и более углубленно подготовиться к экзаменам или собрать виртуальный стенд, для последующей реализации на реальном оборудовании. Но это уже новые ресурсы для будущих постов :).
Источник: go-to-easyit.com/2011/08/ipsids-gns3.html
Комментариев нет:
Отправить комментарий