De acuerdo

Firewall: ejemplo para configurar la función de prevención de intrusiones (IPS)

Última respuesta my. 18, 2021 15:57:51 341 4 9 0 0

En esta publicación se proporciona un ejemplo para configurar la prevención de intrusiones. La prevención de intrusiones protege las PC de la intranet y los servidores web de los ataques de Internet.

 

Requisitos de red

Como se muestra en la Figura 1, una empresa implementa un FW como puerta de enlace de seguridad en el borde de la red. En el networking:

 

  • Un usuario de la intranet puede acceder al servidor FTP de la intranet y al servidor web de Internet. 

  • El servidor FTP de la intranet proporciona servicios tanto para los usuarios de Internet como de la intranet.

 

Figura 1 Diagrama de redes de prevención de intrusiones


firewall


La empresa desea habilitar la prevención de intrusiones en el FW para cumplir con los siguientes requisitos:

 

l  Defiéndase de gusanos, caballos de Troya y ataques de botnets. 

l  Proteja a los usuarios de la intranet.

Proteja a los usuarios de la intranet de ataques, como un atacante lanzado desde un sitio web con código malicioso, cuando los usuarios acceden al servidor web de Internet. 

l  Proteja el servidor FTP de la intranet.

Evite que los usuarios de Internet e intranet lancen ataques al servidor FTP de la intranet. Un ataque que coincide con la firma con el ID 74320 ocurre con frecuencia en los registros y debe bloquearse.

 

Planificación de datos

Según los requisitos empresariales anteriores, la información de prevención de intrusiones que se configurará es la siguiente:

 

l  Los ataques a la empresa incluyen gusanos comunes, caballos de Troya y botnets, y la gravedad de estos ataques en las firmas es alta. 

l  Proteja a los usuarios de la intranet.

 

n  Configure las políticas de seguridad para la dirección de la zona Trust a la zona Untrust. 

n  Los ataques son causados por el acceso de los usuarios de la intranet al servidor web de Internet y el objetivo son los usuarios de la intranet que actúan como clientes. Por lo tanto, establezca el protocolo en HTTP, el objeto en Cliente y la gravedad en Alta para el filtro de firmas.

 

La planificación de datos para proteger a los usuarios de la intranet se muestra en la Figura 2.

 

Figura 2 Planificación de datos para proteger a los usuarios de la intranet


firewall


l  Proteja el servidor FTP de la intranet. 

n  Configure políticas de seguridad para las direcciones desde la zona Untrust a la zona DMZ y desde la zona Trust a la zona DMZ.

n  Ataques al servidor FTP. Por lo tanto, establezca el protocolo en FTP, el objeto en Servidor y la gravedad en Alta para el filtro de firmas.

n  Agregue la firma con ID 74320 a las firmas de excepción y establezca la acción en Bloquear.

 

 

La planificación de datos para proteger el servidor FTP de la intranet se muestra en la Figura 3.

 

Figura 3 Planificación de datos para proteger el servidor FTP de la intranet


firewall


Ruta de configuración

La ruta de configuración es la siguiente:

 

1. Configure las direcciones IP de la interfaz y agregue las interfaces a las zonas de seguridad correspondientes según sea necesario.

2. Configure el perfil de prevención de intrusiones profile_ips_pc para proteger a los usuarios de la intranet. Luego configure un filtro de firma para cumplir con el requisito.

3. Configure el perfil de prevención de intrusiones profile_ips_server para proteger los servidores de la intranet. Luego configure un filtro de firmas y agregue firmas como excepciones.

4. Cree la política de seguridad policy_sec_1 y el perfil de referencia profile_ips_pc para proteger a los usuarios de la intranet de los ataques de Internet.

5. Cree la política de seguridad policy_sec_2 y el perfil de referencia profile_ips_server para proteger los servidores de intranet de ataques de intranet e Internet.

 

Procedimiento

1. Establezca una dirección IP para cada interfaz, asigne interfaces a zonas de seguridad y complete la configuración de los parámetros básicos.


[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/2[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 255.255.255.0
[FW-GigabitEthernet1/0/2] quit
[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

 

2. Configure el perfil de prevención de intrusiones profile_ips_pc para proteger a los usuarios de la intranet


[FW] profile type ips name profile_ips_pc
[FW-profile-ips-profile_ips_pc] description profile for intranet users
[FW-profile-ips-profile_ips_pc] collect-attack-evidence enable
[FW-profile-ips-profile_ips_pc] signature-set name filter1
[FW-profile-ips-profile_ips_pc-sigset-filter1] target client[FW-profile-ips-profile_ips_pc-sigset-filter1] severity high
[FW-profile-ips-profile_ips_pc-sigset-filter1] protocol HTTP
[FW-profile-ips-profile_ips_pc-sigset-filter1] quit
[FW-profile-ips-profile_ips_pc] quit

 

3. Cree un perfil de prevención de intrusiones profile_ips_server para proteger el servidor FTP de la intranet. Configure la firma 74320 como una firma de excepción y establezca la acción para bloquear.


[FW] profile type ips name profile_ips_server
[FW-profile-ips-profile_ips_server] description profile for intranet servers
[FW-profile-ips-profile_ips_server] collect-attack-evidence enable
[FW-profile-ips-profile_ips_server] signature-set name filter2
[FW-profile-ips-profile_ips_server-sigset-filter2] target server
[FW-profile-ips-profile_ips_server-sigset-filter2] severity high[FW-profile-ips-profile_ips_server-sigset-filter2] protocol FTP
[FW-profile-ips-profile_ips_server-sigset-filter2] quit
[FW-profile-ips-profile_ips_server] exception ips-signature-id 74320 action block
[FW-profile-ips-profile_ips_server] quit

 

4. Confirme la información de configuración.


[FW] engine configuration commit

 

5. Configure una política de seguridad entre las zonas Trust y Untrust y haga referencia al perfil de prevención de intrusiones profile_ips_pc.


[FW] security-policy[FW-policy-security] rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1] source-zone trust[FW-policy-security-rule-policy_sec_1] destination-zone untrust
[FW-policy-security-rule-policy_sec_1] source-address 10.3.0.0 24
[FW-policy-security-rule-policy_sec_1] profile ips profile_ips_pc
[FW-policy-security-rule-policy_sec_1] action permit
[FW-policy-security-rule-policy_sec_1] quit

 

6. Configure las políticas de seguridad para Trust -> DMZ y Untrust -> Interzonas DMZ y haga referencia al perfil de prevención de intrusiones profile_ips_server.


[FW-policy-security] rule name policy_sec_2
[FW-policy-security-rule-policy_sec_2] source-zone trust untrust
[FW-policy-security-rule-policy_sec_2] destination-zone dmz
[FW-policy-security-rule-policy_sec_2] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy_sec_2] profile ips profile_ips_server
[FW-policy-security-rule-policy_sec_2] action permit
[FW-policy-security-rule-policy_sec_2] quit
[FW-policy-security] quit

 

7. Guarde la información de configuración para cargar el archivo de configuración, incluidas las configuraciones mencionadas anteriormente, automáticamente para el próximo inicio.

[FW] quit<FW> save


Saludos.


FIN.



La publicación está sincronizada con: Configuraciones típicas para firewalls

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-5-3 17:35:09
  • x
  • convención:

EicheS
EicheS Publicado 2021-5-26 11:17 (0) (0)
 
99kevin99
Publicado 2021-5-18 15:57:51
interesante
Ver más
  • x
  • convención:

user_3915171
user_3915171 Publicado 2021-5-20 12:48 (0) (0)
asi es  

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.