Tweet
Topology:
.
Yêu cầu:
1. Cấu hình ban đầu:
- Thực hiện đặt IP trên các cổng router và trên PC như được chỉ ra trên các hình vẽ. Đảm bảo PC1 ping được tới PC2.
- Đặt IP và Gateway cho các PC theo sơ đồ trên.
2. Cấu hình IPS
- Cấu hình IPS để cấm PC2 (mạng 192.168.2.0/24) ping tới PC1 (mạng 192.168.1.0/24). Ở chiều ngược lại, PC1 vẫn ping được PC2 bình thường
Hướng dẫn:
Download Signature và Key tại đây: https://drive.google.com/open?id=1t_...51qoojcWYS_Con
Bước 1:
Tạo thư mục trên flash bằng câu lệnh mkdir và đặt tên cho thư mục là IPS-DIR:
Bước 2:
Sử dụng phần mềm tftpd để copy file IOS-S1031-CLI.pkg (file signature) vào đường dẫn flash:/IPS-DIR trên Router.
.
Bước 3:
Vào mode Global Config, copy nội dung file realm-ciscopub-signature.txt và paste vào Router để import public key vào Router.
.
Bước 4: Chỉ định dường dẫn đến thư mục chứa file Signature:
Bước 5: Tạo IPS rule:
Trên Router, chúng ta dùng lệnh “ip ips name iosips” để tạo rule có tên là iosips
Bước 6: Cấu hình IOS IPS sử dụng signature categories:
Bước 7: Apply IPS rule lên interface:
Bước 8: Load Signature bằng lệnh sau ở User mode:
* Quá trình load có thể diễn ra hơi lâu.
Bước 9: Hiệu chỉnh Signature:
Kết quả:
Ping từ PC2 sang lớp mạng 192.168.1.0/24 ta nhận được kết quả “request timed out”.
.
Trên Router sẽ xuất hiện các thông báo:
.
Ta ping ngược lại từ PC1 sang lớp mạng 192.168.2.0/24, kết quả thành công:
.
.
Yêu cầu:
1. Cấu hình ban đầu:
- Thực hiện đặt IP trên các cổng router và trên PC như được chỉ ra trên các hình vẽ. Đảm bảo PC1 ping được tới PC2.
- Đặt IP và Gateway cho các PC theo sơ đồ trên.
2. Cấu hình IPS
- Cấu hình IPS để cấm PC2 (mạng 192.168.2.0/24) ping tới PC1 (mạng 192.168.1.0/24). Ở chiều ngược lại, PC1 vẫn ping được PC2 bình thường
Hướng dẫn:
Download Signature và Key tại đây: https://drive.google.com/open?id=1t_...51qoojcWYS_Con
Bước 1:
Tạo thư mục trên flash bằng câu lệnh mkdir và đặt tên cho thư mục là IPS-DIR:
Code:
Router# [B]mkdir IPS-DIR[/B] Create directory filename [IPS-DIR]? Created dir flash:IPS-DIR
Sử dụng phần mềm tftpd để copy file IOS-S1031-CLI.pkg (file signature) vào đường dẫn flash:/IPS-DIR trên Router.
.
Bước 3:
Vào mode Global Config, copy nội dung file realm-ciscopub-signature.txt và paste vào Router để import public key vào Router.
.
Bước 4: Chỉ định dường dẫn đến thư mục chứa file Signature:
Code:
Router(config)# ip ips config location flash:[B]IPS-DIR[/B]
Trên Router, chúng ta dùng lệnh “ip ips name iosips” để tạo rule có tên là iosips
Code:
Router(config)# ip ips name [B]iosips[/B]
Code:
Router(config)# ip ips signature-category Router(config-ips-category)# category all Router(config-ips-category-action)# retired true [B]//Tắt tất cả signature[/B] Router(config-ips-category-action)# exit Router(config-ips-category)# category ios_ips basic Router(config-ips-category-action)# retired false [B]//Bật signature ios_ips[/B][B] basic[/B] Router(config-ips-category-action)# exit Router(config-ips-cateogry)# exit Do you want to accept these changes? [confirm] <Enter>
Code:
Router(config)# interface f0/0 Router(config-if)# ip ips iosips out
Code:
Router#copy flash:IPS-DIR/IOS-S1031-CLI.pkg idconf
Bước 9: Hiệu chỉnh Signature:
Code:
Router(config)# ip ips signature-definition Router(config-sigdef)# signature 2004 0 Router(config-sigdef-sig)# status Router(config-sigdef-sig-status)# retired false Router(config-sigdef-sig-status)# enabled true Router(config-sigdef-sig-status)# exit Router(config-sigdef-sig)# engine Router(config-sigdef-sig-engine)# event-action produce-alert Router(config-sigdef-sig-engine)# event-action deny-packet-inline Router(config-sigdef-sig-engine)# exit Router(config-sigdef-sig)# exit Router(config-sigdef)# exit Do you want to accept these changes? [confirm] <Enter>
Ping từ PC2 sang lớp mạng 192.168.1.0/24 ta nhận được kết quả “request timed out”.
.
Trên Router sẽ xuất hiện các thông báo:
.
Ta ping ngược lại từ PC1 sang lớp mạng 192.168.2.0/24, kết quả thành công:
.