Está en la página 1de 5

CONFIGURACIN DE IPS CON SDM

Instrucciones:
-

R1

El objetivo de esta prctica es comprobar el funcionamiento de un IPS con una firma bsica la
cual har saltar una alerta que informar de la recepcin de respuestas de eco.
Lanzaremos pings desde la mquina PC a INTERNET, pasando por el router R1 que tiene el rol
de IPS inline.
Sacamos un router c7200 en el GNS3

Lo configuramos de la siguiente forma:

TEMA 5: IPS

Le agregamos slots si es necesario


Aplicamos y OK
En el router R1 estar conectado a la nube INTERNET con vmnet 8(NAT) y al PC podra conectarse a
travs de vmnet1 o loopback de Microsoft. Configuramos el direccionamiento en las interfaces y
comprobamos conectividad local y remota.
En router IPS, formatear el disk0: (R1#format disck0:). A este disco importaremos los archivos de
firmas IPS.
Creamos una carpeta dentro del disk0: mediante el siguiente comando: R1#mkdir disk0:/ips/. En ella
ser donde almacenaremos los archivos del IPS. Podemos ver dicha carpeta con IPS#dir disk0:.
Habilitaremos ahora la gestin del router va SDM dentro del router:
configure terminal
enable secret class
ip http server
ip http authentication local
username admin privilege 15 secret admin1234
line vty 0 15
login local

Para que el SDM sea capaz de ejecutar funciones IPS, la consola de Java ha de tener al menos 256 MB
de capacidad. Para ello, deberemos dirigirnos al panel de control, abrir la consola de Java, pestaa
Java> Ver> y en Parmetros del entorno de ejecucin escribir Xmx512m.
Abrimos el SDM y nos conectamos al router IPS mediante HTTP o el SDM launcher.
Nos autenticamos con las credenciales del usuario de nivel 15 (sern varias veces).
Nos vamos a Configurar>Prevencin de Intrusiones>Iniciar el Asistente de Reglas IPS.
Aceptamos la habilitacin del protocolo SDEE de notificacin de alertas.
Nos debe aparecer un asistente igual al de la figura.

TEMA 5: IPS

Leemos el contenido de la
ventana y pulsamos Siguiente.

Seleccionamos la interfaz donde vayamos a


aplicar las reglas de inspeccin y la direccin
en la que se aplicar el escaneo. En nuestro caso utilizaremos la interface que conecta a INTERNET en
sentido IN.
Ahora hemos de indicarle que archivo de firmas vamos a utilizar. El mismo ha de estar localizado en el
servidor tftp.
Para indicarle la ubicacin, en Archivo de firma pulsamos

, y nos aparecer la siguiente ventana.

-Seleccionaremos Especifique el archivo de firma


mediante URL.
-Elegimos el protoclo tftp, e indicaremos la direccin del
servidor tftp y el nombre del archivo.
-Una vez ingresados todos los valores, pulsamos
Aceptar.

En Configurar clave pblica, escribiremos en el cuadro de texto


Nombre: realm-cisco.pub
En el cuadro de texto Clave, pegamos los valores de
la clave pblica de Cisco que hay entre las sentencias key-string y quit, y pulsamos Siguiente.

Ahora le indicaremos al router IPS donde guardar el archivo de


firmas descargado desde el TFTP de manera local, que deber
ser en el disk0: carpeta ips creada con anterioridad.
Para ello, en Ubicacin de la configuracin>Nombre de
Directorio, pulsamos
.
Seleccionamos la carpeta creada ips, tal como se muestra en la
imagen.
Pulsamos Aceptar>Aceptar.

TEMA 5: IPS

En Elegir categora, seleccionamos basic, para que el router no se ralentice demasiado. Seleccionando
basic provocamos que se usen menos firmas por el IOS IPS.
Pulsamos Siguiente>Finalizar.
Ahora el proceso tardar un tiempo en completarse, puesto que se han de mandar los comandos al
router, se ha de descargar el fichero de firmas del tftp y se ha de descomprimir dicho fichero en el
router. Se puede comprobar en la interfaz del programa 3CDaemon si la descarga se est llevando a
cabo.
Ahora, para comprobar la eficiencia del uso de la firma 2000, haremos un ping desde PC a INTERNET, y
el mismo, como es de suponer, ser satisfactorio, ya que dicha firma est deshabilitada por defecto.
Para modificar esta conducta, nos vamos a la pestaa Editar IPS>Firmas.
Seleccionamos All Categories y organizamos la lista por ID de firma. Localizamos entonces la firma
2000 y comprobamos que la misma est deshabilitada (tiene un icono rojo a su izquierda).
Seleccionamos dicha firma, clic derecho y escogemos Acciones. Marcamos Deny packet inline y
Produce Alert. Hacemos clic en Activar, en el men superior(si es necesario habilitaremos su
compilacin). Hacemos clic en Aplicar cambios. Este proceso tambin puede tardar unos minutos.
Configuraremos correctamente tambin los mensajes syslog y SDEE. Los mensajes SDEE son mostrados
directamente por el SDM y, aunque tambin puede mostrar los mensajes syslog, haremos que los
mismos sean recibidos por nuestro servidor syslog de PC.
Para ello, en R1 escribimos los siguientes comandos:
configure terminal
logging enable
logging host IP
logging trap informational

Si ahora probamos a hacer el ping desde PC a INTERNET, veremos cmo el mismo no es satisfactorio y,
adems el syslog recibir alertas de una firma que se ha disparado a causa de encontrar coincidencias.

El riesgo IPS de las solicitudes de echo-reply (severity level) es relativamente bajo (25), pudiendo
oscilar en valores de 0 a 100.

TEMA 5: IPS

TEMA 5: IPS