Le soluzioni Cisco di Intrusion Prevention System (IPS) sono disponibili nelle piattaaforme seguenti:

• Sensore Cisco serie IPS 4200r: appliance hardware dedicata all'IPS
• Cisco IDS Services Module 2 (IDSM-2): modulo hardware aggiuntivo da montare sugli switch Cisco Catalyst® 6500
• Cisco Advanced Inspection and Protection Security Services Module (AIP-SSM): modulo hardware aggiuntivo per gli ASA  serie 5500
• Cisco IDS Network Module: modulo hardware aggiuntivo da montare sui router Cisco
• Cisco IOS IPS: funzioni del sistema IOS di Cisco dedicate all'Intrusion Prevention System. Richiedono relativa licenza sui router.

In questo articolo mostreremo come implementare l'IPS sull'IOS del router Cisco tramite command line.

I passi da seguire sono i seguenti:

1. Si scaricano i files IPS per Cisco IOS. A partire dalla versione 12.4(11)T dell'IOS, i files dell'IPS non vengono più integrati nell'immagine del software, ma devono essere importate a partire da un file specifico con nuovo formato delle firme 5.x, scaricabile da Cisco.com (sono richiesti login e apposita licenza). Devono essere scaricati sia il file delle ultime firme (IOS-Sxxx-CLI.pkg), sia la chiave pubblica usata dall'IPS (realm-cisco.pub.key.txt).
2. Si crea una directory di configurazione per l'IPS, nella flash del router, utilizzando il comando "mkdir nome-directory". Per verificare che la directory sia stata creata correttamente, utilizzare il comando "dir flash:"
3. Si configura una crypto key con il comando crypto key pubkey-chain rsa. La chiave da utilizzare è quella scaricata al punto 1. La chiave pubblica permette di verificare l'autenticità dei file scaricati (firmati con la chiave privata di Cisco).
4. Si abilita l'IPS:

   Si definisce il nome per la regola IPS: ip ips name nome-regola

   Si specifica la posizione della regola: ip ips config location flash:nome-directory

   Si abilita la formattazione SDEE (Secure Device Event Exchange) per i messaggi di log: ip http server

   La notifica stessa dei log è attiva di default. Se fosse disabilitata, la si abilita con il comando: ip ips notify log

   Si configurano le categorie per le firme con il comando ip ips signature category e con il sottocomando category nome-categoria. Le categorie sono: all, basic, advanced. Per ogni categoria, le firme possono essere configurato nella modalità retired o unretired. Con "retired" si intende che le firme non vengono caricate in memoria, con "unretired" si intende il contrario. E' buona norma partire da una condizione di "retired" per tutte le firme, in modo da non rendere eccessivo il carico sul router. Per rendere "retired" una categoria, si usa il comando retired true; per renderla "unretired" si usa il comando retired false.

   Si applica la regola IPS all'interfaccia desiderata, specificandone la direzione, con il comando (nella modalità configurazione interfaccia): ip ips nome-regola in|out. Ovviamente "in" indica che solo il traffico in ingresso sull'interfaccia verrà analizzato.

5. Si carica il pacchetto delle firme (signatures) dell'IPS nel router, utilizzando FTP o TFTP: copy ftp://utente_ftp:password@ip_server_ftp/file_delle_firme idconf. Il parametro "idconf" è quello che indica al router di copiare il file delle firme. Per verificare che il pacchetto delle firme sia stato compilato correttamente, si usa il comando: show ip ips signature count.

Esempio pratico

Creiamo una directory di configurazione per l'IPS

Router#mkdir ips
Create directory filename [ips]?
Created dir flash:ips

Router#show flash: 

System flash directory:
File  Length   Name/status
 3   33591768 c1841-advipservicesk9-mz.124-15.T1.bin
 4   0        ips
[33591768 bytes used, 30424616 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)

Inseriamo la chiave pubblica che autentica le signatures provenienti da Cisco.com

conf t
!
crypto key pubkey-chain rsa
 named-key realm-cisco.pub signature
 key-string
 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
 F3020301 0001
 quit
exit 
exit

Creiamo la regola IPS

ip ips name MYIPS [list acl]*

*Opzionale: si può specificare un'ACL dove il traffico permit verrà ispezionato e quello deny non verrà ispezionato.

Si specifica la posizione della regola

ip ips config location flash:ips

Abilitiamo il formato SDEE e la notifica dei log

ip http server
ip ips notify sdee
ip ips notify log

Definiamo categorie e sotto-categorie che l'IPS andrà ad analizzare, e le azioni da effettuare in caso di rilevazione di un attacco.

ip ips signature-category
 category all
 retired true
 exit
 
 category ios_ips advanced 
 retired false
 event-action deny-attacker-inline
 event-action deny-packet-inline
 event-action reset-tcp-connection
 event-action produce-alert
 exit
exit

Do you want to accept these changes? [confirm] yes

Applichiamo l'IPS nell'interfaccia desiderata e nella direzione opportuna

int fa 0/0
ip ips MYIPS in

int fa 0/1
ip ips MYIPS in

Facciamo la copia nel router del file .pkg che contiene le signatures aggiornate

copy usbflash0:IOS-S416-CLI.pkg idconf
Loading IOS-S386-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Se si vuole cancellare la configurazione dell'IPS:

clear ip ips configuration 
clear ip ips statistics
delete /recursive /force Ips  --> cancella la cartella Ips e il suo contenuto