[Todo sobre switches -ejemplos de configuración] ejemplo para configurar el módulo IPS

Pubilicado 2019-1-9 18:00:16 44 0 0 0

 

1 Overview

El Módulo IPS es un módulo de detección y prevención de intrusiones es aplicable a la serie de switches S7700 S7700 y S12700 de Huawei, para proteger las redes IP con funciones de seguridad, como la prevención de intrusiones, antivirus y anti-DDoS.                                                                   El módulo IPS se puede implementar como IPS o IDS.                        En el despliegue IPS, puede redirigir el tráfico al módulo IPS para la detección de seguridad basada en los requisitos de servicio. Una vez finalizada la detección, el módulo IPS envía el tráfico normal al conmutador para el desvío y descarta el tráfico anormal. En la Figura 1 se muestra un ejemplo. El tráfico desde la oficina de la empresa y la Internet a los servidores de la empresa se redirige al módulo IPS para la protección de seguridad.                                   

Figure 1 Ruta de tráfico del servicio de despliegue IPS

                                              070018oaaeg77v2vvvjv92.png

 

En la implementación de IDS, el switch refleja el tráfico especificado en el módulo IPS. El módulo IPS detecta amenazas específicas y registra los resultados de detección basados en políticas de seguridad configuradas. No participa en el desvío de tráfico.

 

La Figura 2 muestra un ejemplo. El tráfico desde la oficina de la empresa y la Internet a los servidores de la empresa se refleja en el módulo IPS para la protección de seguridad.                                              

Figure 2 Ruta de tráfico del servicio de implementación de IDS

070038y4t1gw1epwt4ea4t.png

 

El módulo IPS proporciona una UI web fácil de usar y un CLI para ciertas funciones. Además, el módulo IPS puede utilizar SNMP para comunicarse con el NMS estándar para la gestión centralizada.

1.1 Aspecto

El módulo IPS es una tarjeta que proporciona funciones de detección y prevención de intrusiones. Se puede utilizar en los switches de la serie S7700 S7700 y S12700 de Huawei e integra varias funciones de seguridad tales como la prevención de intrusiones, antivirus y anti-DDoS en una red IP para la protección de seguridad.

Figure 3 Aspecto del módulo IPS

070137thwmcqckzcouce9k.png

 

Puertos

Descripción

Puerto MGMT

Puerto de gestión de Ethernet autosensing Out-of-band   10/100/1000M. El número de interfaz   es GigabitEthernet 0/0 / 0 y la dirección IP predeterminada de la interfaz es   192.168.0.1.                                                                           Puede   conectar este puerto a un PC a través de un cable de red. Luego, puede   utilizar Telnet o sTelnet para acceder al CLI o utilizar un navegador web   para acceder a la interfaz de usuario web para configurar, administrar y   mantener el módulo IPS.                                                                                                                NOTA:                                                                                                                   El puerto MGMT no se puede utilizar como puerto de servicio. Los   puertos de servicio (GigabitEthernet 1/0 / 0 a GigabitEthernet 1/0 / 1) del   módulo IPS son usados para conectar al switch en el que se instala el módulo.

Puerto Consola

El puerto   de consola le permite conectarse localmente al módulo IPS. Puede utilizar un   cable de consola para conectar el puerto de consola en el módulo IPS al puerto   COM de su PC y utilizar un programa de terminal de puerto serie en su PC para   acceder, configurar y administrar el módulo IPS.

Puerto GE1-GE3

Tres puertos eléctricos Ethernet   10/100/1000M, numerados desde GigabitEthernet 0/0 / 1 a GigabitEthernet 0/0 /   3. Puede utilizar uno de los puertos GE como interfaz heartbeat durante la   implementación de standby en caliente o para conectar un host de registro de   terceros.                                                                                 NOTE:                                                                                                        The   three ports cannot be used as service ports.

Puerto   USB

Reservado

 

1.2 Funciones

Table 1 Enumera las funciones principales del módulo IPS.

Table 1 Funciones del módulo IPS

Categoria

Función

Descripción

Contenido de Seguridad

Identificación   de la aplicación

·        Identifica aplicaciones comunes basadas   en la base de datos de firmas predefinida.

·        Soporta   la actualización constante de la base de datos de firma predefinida y las   aplicaciones definidas por el usuario.

• Parsa los paquetes de decenas de protocolos e   identifica los contenidos durante la negociación del protocolo y soporta   protocolos comunes multicanal

Antivirus

·       Emplea el avanzado motor de sensibilización   inteligente (IAE) y la base de datos de firma de virus constantemente   actualizada para detectar y eliminar virus.

·        Actualiza constantemente la base de datos de firmas.

Prevención de intrusiones

·        Detecta y   defiende contra miles de comportamientos de intrusión comunes, gusanos,   caballos de Troya y Botnets.

•   Actualiza   constantemente la base de datos de firmas predefinida y soporta firmas   definidas por el usuario.

Protección de seguridad de la capa de red

Filtrado   de paquetes

Soporta filtrado de paquetes basado en políticas.

Defensa   de ataque DDoS

Defensa contra varios ataques DoS y   DDoS:

• Ataques DDoS de capa no aplicación:   Inundación SYN, inundación UDP, inundación ICMP y inundación ARP

• Ataques DDoS de   capa de aplicación: Inundación HTTPS, inundación DNS y inundación SIP

Defensa de ataque de un solo paquete

Implementa la comprobación de la validez de paquetes   para defenderse de varios ataques de un solo paquete, incluidos los ataques   de falsificación de IP, ataques de LAND, ataques de Pitufo, ataques de   Fraggle, ataques de Winnuke, ataques de Ping of Death, ataques de lágrima,   ataques de escaneo de direcciones, ataques de escaneo de puertos, ataques de   control de opciones de IP , Ataques de control de fragmentos de IP, ataques   de comprobación de validez de etiqueta TCP, ataques de control de paquetes   ICMP, ataques de paquetes de redirección ICMP, ataques de paquetes   inalcanzables ICMP, ataques de paquetes TRACERT y ataques de acceso   ilegítimo.

Lista negra y lista blanca

Rápidamente filtra paquetes basados en la lista   blanca y la lista negra de direcciones IP.

 

1.3 Aplicación de interfaz

El módulo IPS y el switch utilizan interfaces Ethernet internas para intercambiar datos. El Módulo IPS cuenta con dos interfaces Ethernet internas: GE 1/0 / 0 y GE 1/0 / 1. La regla de numeración de las interfaces Ethernet internas en el switch se determina por la ranura en la que se instala el módulo IPS. Por ejemplo, cuando el módulo IPS se instala en la ranura 1 del switch, las interfaces Ethernet internas utilizadas por el switch son XGE 1/0 / 0 y XGE 1/0 / 1.      

              

Figure 4 Numeración interna de la interfaz Ethernet

070158mvvg1oshhhvkvy88.png

 

El panel del módulo IPS tiene otros cuatro puertos GE. Entre los puertos, el GE0/MGMT está numerado GE 0/0 / 0, el used para la gestión y mantenimiento de dispositivos; GE1 a GE3 son numerados GE 0/0 / 1 a GE 0/0 / 3 y used como la interfaz de origen log o el canal de respaldo del heartbeat y para hot standby.

 

2 Ejemplo de Configuración

Este ejemplo muestra cómo configurar las conexiones en las interfaces entre el módulo IPS y el switch y cómo redirigir el tráfico al módulo IPS. Para obtener más información sobre la configuración de políticas de IPS, consulte la Guía del Administrador de HUAWEI IPS Module V100R001.

 

Nota de Configuración

 

Table 2 Soporte de versión

S7700&S9700&S12700 Version Required

NGFW Version Required

V200R005C00   and later versions

V100R001C10   and later versions

 

Requerimientos de networking

Por lo general, un switch core en una red del campus se conecta a la red externa a través de un router upstream, y se implementa un módulo IPS para proporcionar funciones de seguridad tales como la prevención de intrusiones, antivirus y anti-DDoS.                                                                      

 El módulo IPS se instala en el switch core para proteger el tráfico entre VLAN 301 y VLAN 302.                                                                        

Se implementan dos módulos IPS en el switch core para trabajar en modo hot standby y mejorar la confiabilidad del dispositivo. Dos módulos IPS adelantan tráfico al mismo tiempo. Cuando un módulo IPS falla, los servicios se pueden transferir sin problemas a otro módulo IPS.         

                     

Figure 5 Escenario de despliegue de módulo de IPS

070238js6n6s4x0fkbd0x2.png

 

Para mejorar el ancho de banda y la confiabilidad de los enlaces, conecte las interfaces Ethernet internas a un troncal Eth, como se muestra en la Figura 5. El switch redirige el tráfico a los módulos IPS y los Módulos IPS reciben tráfico a través de las interfaces principales del troncal Eth.                               

Para entender la dirección de reenvío de tráfico, consulte la Figura 6.       

Figure 6 Networking Hot standby

070302jlgazgqlia48j01f.png

 

 

 

Configuración de  Roadmap

 

El roadmap de configuración es el siguiente:

1. Configure un cluster en el switch.

2. Configure las interfaces en el conmutador conectado a los módulos IPS y los enlaces utilizados para transmitir el tráfico a los módulos IPS.

3. Configure la redirección en el conmutador para reenviar el tráfico a los módulos IPS.

4. Configure las interfaces en el conmutador conectado a los módulos IPS y los enlaces utilizados para transmitir el tráfico a los módulos IPS.

5. Configure la espera activa en los módulos IPS.

6. Configure las políticas de seguridad en los módulos IPS

 

. Procedimiento

 

                          Paso 1     En el switch: Cree VLANs e interfaces VLANIF y asigne direcciones IP a las interfaces VLANIF.

<HUAWEI> system-view

[HUAWEI] vlan batch 301 302

[HUAWEI] interface GigabitEthernet 3/0/1  // Configure GE3/0 / 1 como interfaz conectada a la red de servicio 1.

[HUAWEI-GigabitEthernet3/0/1] port link-type trunk

[HUAWEI-GigabitEthernet3/0/1] port trunk allow-pass vlan 301

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface vlanif301  // / Configure VLANIF 301 como gateway para la red de servicios 1.

[HUAWEI-vlanif301] ip address 10.10.10.1 24

[HUAWEI-vlanif301] quit

[HUAWEI] interface GigabitEthernet 3/0/0  / / Configure GE3/0 / 3 como interfaz conectada a la red de servicios 2.

[HUAWEI-GigabitEthernet3/0/0] port link-type trunk

[HUAWEI-GigabitEthernet3/0/0] port trunk allow-pass vlan 302

[HUAWEI-GigabitEthernet3/0/0] quit

[HUAWEI] interface vlanif302  // Configure VLANIF 302 como gateway para la red de servicios 2.

[HUAWEI-vlanif302] ip address 10.10.20.1 24

[HUAWEI-vlanif302] quit

 

 

 

 

 

 

                          Paso 2     En el switch: Configure un troncal Eth entre los módulos switch e IPS.         # Bundle cuatro interfaces Ethernet internas en módulos IPS en un troncal Eth. Permitir que el tráfico de VLAN 301 y VLAN 302 pase y deshabilite el aprendizaje de direcciones MAC y STP en el troncal Eth.

[HUAWEI] interface Eth-Trunk 1 

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/0  / / Configurar XGE1/0 / 0 y XGE1/0 / 1 como interfaces connected a IPS Módulo 1 y agregar las interfaces a Eth-Trunk1.

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 1/0/1

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 2/0/0  / / Configurar XGE2/0 / 0 y XGE2/0 / 1 como interfaces connected a IPS Módulo 2 y agregar las interfaces a Eth-Trunk1.

[HUAWEI-Eth-Trunk1] trunkport XGigabitEthernet 2/0/1

[HUAWEI-Eth-Trunk1] port link-type trunk

[HUAWEI-Eth-Trunk1] port trunk allow-pass vlan 301 302  / / Configure Eth-Trunk1 para transmitir el tráfico de servicio de forma transparente desde VLAN301-302.

[HUAWEI-Eth-Trunk1] undo port trunk allow-pass vlan 1 

[HUAWEI-Eth-Trunk1] mac-address learning disable  // Si se habilita el aprendizaje de direcciones MAC, el Eth-Trunk1 puede aprender las direcciones MAC de las redes upstream y downstream, lo que provoca la desactivación de direcciones MAC.

[HUAWEI-Eth-Trunk1] stp disable  // Por defecto, el STP está habilitado en las interfaces del switch. En este ejemplo, las rutas de paquetes hacia adelante y hacia atrás entre el switch y los módulos IPS son las mismas. El switch considera que se produce un bucle y descarta los paquetes, causando una interrupción del servicio; por lo tanto, el STP debe deshabilitarse en el troncal Eth.

[HUAWEI-Eth-Trunk1] quit

# Configure un modo de balanceo de carga mejorado para el troncal Eth-Trunk.

NOTE:

Cuando el tráfico se reenvía desde el switch a los módulos IPS, el Eth-Trunk distribuye el tráfico. Para asegurar que las rutas de paquetes hacia adelante y hacia atrás sean iguales, debe configurar un modo de balanceo de carga mejorado para el troncal Eth. Aquí toma las direcciones IP de origen y destino, por ejemplo.

[HUAWEI] load-balance-profile ips

[HUAWEI-load-balance-profile-ips] ipv4 field sip dip
[HUAWEI-load-balance-profile-ips] quit
[HUAWEI] interface Eth-Trunk 1
[HUAWEI-Eth-Trunk1] load-balance enhanced profile ips
[sysname-Eth-Trunk1] quit

                          Step 3     En el switch: Configure el aislamiento unidireccional entre las interfaces upstream y downstream y Eth-Trunk 1 para evitar elARP flapping.

[HUAWEI] interface GigabitEthernet 3/0/0

[HUAWEI-GigabitEthernet3/0/0] am isolate Eth-Trunk 1

[HUAWEI-GigabitEthernet3/0/0] quit

[HUAWEI] interface GigabitEthernet 3/0/1

[HUAWEI-GigabitEthernet3/0/1] am isolate Eth-Trunk 1

[HUAWEI-GigabitEthernet3/0/1] quit

                          Step 4     En el switch: Configure las políticas de tráfico para redirigir el tráfico de VLAN 301 y VLAN 302 a los módulos IPS.

# Create ACLs.

[HUAWEI] acl 3001  // ACL 3001 coincide con el tráfico de la red de servicio 1 a la red de servicio 2.

[HUAWEI-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 10.10.20.0 0.0.0.255

[HUAWEI-acl-adv-3001] quit

[HUAWEI] acl 3002  / / ACL 3002 coincide con el tráfico de la red de servicios 2 a la red de servicio 1.

[HUAWEI-acl-adv-3002] rule permit ip source 10.10.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

[HUAWEI-acl-adv-3002] quit

# Configure traffic classifiers.

[HUAWEI] traffic classifier classifier1

[HUAWEI-classifier-classifier1] if-match acl 3001

[HUAWEI-classifier-classifier1] quit

[HUAWEI] traffic classifier classifier2

[HUAWEI-classifier-classifier2] if-match acl 3002

[HUAWEI-classifier-classifier2] quit

# Configure a traffic behavior.

[HUAWEI] traffic behavior behavior1

[HUAWEI-behavior-behavior1] redirect interface Eth-Trunk 1

[HUAWEI-behavior-behavior1] quit

# Configure políticas de tráfico y aplicar las políticas de tráfico a la dirección entrante de las interfaces.

[HUAWEI] traffic policy policy1  / / Redirigir el tráfico de la red de servicios 1 a Eth-Trunk1

[HUAWEI-trafficpolicy-policy1] classifier classifier1 behavior behavior1

[HUAWEI-trafficpolicy-policy1] quit

[HUAWEI] traffic policy policy2  / / Redirigir el tráfico de la red de servicios 2 a Eth-Trunk1.

[HUAWEI-trafficpolicy-policy2] classifier classifier2 behavior behavior1

[HUAWEI-trafficpolicy-policy2] quit

[HUAWEI] interface GigabitEthernet 3/0/1  / / Aplicar la política 1 a la dirección entrante en la interfaz conectada a la red de servicio 1.

[HUAWEI-GigabitEthernet3/0/1] traffic-policy policy1 inbound

[HUAWEI-GigabitEthernet3/0/1] quit

[HUAWEI] interface GigabitEthernet 3/0/0  / / Aplicar la política 2 a la dirección entrante en la interfaz conectada a la red de servicios 2.

[HUAWEI-GigabitEthernet3/0/0] traffic-policy policy2 inbound

[HUAWEI-GigabitEthernet3/0/0] quit

                     

     Step 5     Inicie sesión en la UI Web a través de una interfaz Ethernet.                  

 a) Utilizar un cable Ethernet para conectar el PC al puerto GE0/MGMT en un módulo IPS.                                                            

 b) Establezca la dirección IP del PC en el rango de direcciones 192.168.0.2 a 192.168.0.254                                                           

c) Abrir un navegador de red en el PC e ingresar https: "/ / 192.168.0.1": 8443 en la barra de direcciones.                                                   

d) En la página de inicio de sesión, introduzca el nombre de usuario administrador predeterminado admin y contraseña Admin @ 123 y clickLogin.                 

e) Cambie la contraseña de administrador predeterminada y haga clic en OK para acceder a la IU web.     


 NOTA: Para la seguridad, la contraseña debe cumplir con el requerimiento mínimo de complejidad. Es decir, la contraseña debe contener tres de las siguientes, incluyendo letras mayúsculas (A a Z), letras minúsculas (a a z), dígitos (0 a 9) y caracteres especiales (como!, @, #, $y%). Recuerde la nueva contraseña para futuros logins.    

                        

Step 6     En cada módulo IPS: Agrupar interfaces Ethernet internas en un Eth-Trunk y configurar un par de interfaces..

Las configuraciones de los dos módulos IPS son las mismas. La siguiente parte proporciona la configuración en un módulo IPS.


       a) Elija Network > Interface, haga clic en la interfaz GE1/0/0 y establezca el tipo de conexión de GE1/0/0 para acceder.


070442nn31s1dby12sp1qy.png


 

 

b) Haga clic  en la interfaz GE1/0/1 y configure el tipo de conexión de GE1/0/1 para acceder.

070505mpzz6d4ok45aklzp.png

 

c) Haga clic en Add y configure el troncal Eth-Truk1.

070512lg7j6rwjcori73g3.png

 

d) Seleccione Network > Interface Pair, haga clic en Add y configure un par de interfaces.

Una vez configurado un par de interfaces, los paquetes ingresan desde una interfaz y salen de otra interfaz. El switch no necesita buscar la tabla de reenvío de direcciones MAC..

070523nmk0km309izkicss.png

 

 

 

e) Elegir Red > Interfaz, haga clic en la línea de interfaz Eth-Trunk1, y configure la interfaz Eth-Trunk1 para permitir el tráfico de VLAN 301 y 302 a través.

070533gv1txdcbdz1kdakc.png

 

                         Step 7     Módulo IPS: Configure las interfaces heartbeat y el canal de respaldo entre dos módulos IPS.                                                          

                             Haga clic en Add y agrupar GE 0/0/1 y GE 0/0/2 en un Eth Trunk como interfaz de heartbeat y canal de copia de seguridad.


NOTE:

·        Las direcciones IP de las interfaces heartbeat en los Módulos IPS deben estar en el mismo segmento de red.

·        Las interfaces miembros del troncal Eth en los Módulos IPS deben ser las mismas

# Configure una interfaz heartbeat en un módulo IPS


070623jl4mlsc4z9x14w11.png

 

# Configure una interfaz heartbeat en el otro módulo IPS.

070628d9x0o0b1izgt6mvl.png

 

                 Step 8     IPS Modulo: Configure hot standby.

# Elija System > Dual-System Hot Backup haga clic en Editar y configure hot standby.


070639ohgwhz5gd2fojf5e.png

----FIN


Procedimiento de seguimiento

1.      Probar si el host 1 y 2 de la red de servicio puede comunicarse entre sí correctamente. Si se detecta alguna falla, verifique las configuraciones.

2.      Ejecutar el comando de apagado en un módulo IPS para deshabilitar Eth-Trunk 1 y verificar el estado de espera en caliente y el estado de service. Luego, reinicie la subinterfaz Eth-Trunk.

3.      Configure políticas y servicios de seguridad refinados basados en los requerimientos de servicio.

3 Resumen

Cada solución de implementación de Módulo IPS implica dos elementos: Desviación del tráfico en el switch e interfaces en el Módulo IPS.

Switch Traffic Diversion Modes

Para utilizar el módulo IPS para funciones de seguridad, desvíe el tráfico del conmutador al módulo IPS para que el switch pueda intercambiar datos con el módulo IPS.

l   Desviación de tráfico basada en VLAN: Las VLAN se configuran en el switch y en el módulo IPS. Las interfaces que necesitan comunicarse entre sí se agregan a la misma VLAN para la interconexión de la capa 2.

l   Desviación del tráfico de redirección: Las políticas de tráfico se configuran en el switch para redirigir el tráfico que se debe verificar en el módulo IPS

Selección de Interfaz

Las dos interfaces Ethernet internas del módulo IPS funcionan en la capa 2 Puede utilizar directamente las interfaces para comunicarse con el switch o configurar subinterfaces en las interfaces. Cada dos interfaces Ethernet internas o sub-interfaces pueden formar un par de interfaces. Los paquetes ingresan al módulo IPS a través de una interfaz y se envían a través del otro en el par. En este modo, el módulo IPS reenvía paquetes sin buscar la tabla MAC.

Para mejorar el ancho de banda de la interfaz y la confiabilidad de los enlaces, se recomienda agrupar las interfaces Ethernet internas en un Eth-Trunk y utilizar las subinterfaces Eth-Trunk its para comunicarse con el switch.

 

Para obtener más información sobre el despliegue del módulo IPS, consulte la Guía de implementación de HUAWEI IPS Module V100R001.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba