入侵检测系统实验

实验八入侵检测系统实验

路由器通过加载特征库对信息流实施入侵检测。如果需要对指定信息流实施入侵检测，则可以通过建立扩展分组过滤器与入侵检测规则之间的绑定达到这一目的。

实验内容

互连网结构如图所示，完成路由器 R 的接口和终端的网络信息配置过程后，各个终端之间是可以相互ping通的。

在路由器 R 接口 1 输出方向设置入侵检测规则，该规则要求，一旦检测到 ICMP ECHO 请求报文，则丢弃该 ICMP ECHO 请求报文，并向日志服务器发送警告信息。启动该入侵检测规则后，如果终端 C 和 D 发起 ping 终端 A 和 B 的操作，则 ping 操作不仅无法完成，而且会在日志服务器中记录警告信息。如果终端 A 和终端 B 发起 ping 终端 C 和 D 的操作，则 ping 操作依然能够完成。

实验目的

验证入侵检测系统配置过程
验证入侵检测系统控制信息流传输过程的机制
验证基于特征库的入侵检测机制的工作过程
验证特征定义过程

实验原理

Cisco集成在路由器中的入侵检测系统(Intrusion Detection System,IDS)采用基于特征的人侵检测机制。首先需要加载特征库，特征库中包含用于标识各种人侵行为的息流特征，一旦在某个路由器接口的输人或输出方向设置人侵检测机制，则需要采集通过该接口输人或输出的信息流，然后与加载的特征库中的特征进行比较，如果该信息流与标识某种入侵行为的信息流特征匹配，则对该信息流采取相关的动作。因此，特征库中每一种人侵行为相关的信息有两部分：一是标识人侵行为的信息流特征；二是对具有人物行为特征的信息流所采取的动作。

实验步骤

完成设备放置和连接后的逻辑工作区界面如图所示。完成路由器接口IP地址和子网掩码配置过程，根据路由器接口配置的信息完成各个终端、Syslog Server 的网络信息配置过程，验证终端之间的连通性。

在 CLI 配置方式下，完成路由器 Router 入侵检测系统配置过程。配置的入侵检测规则使路由器 Router 接口 FastEthernet0/0 输出方向丢弃与编号为 2004、子编号为 0 的特征匹配的 ICMP ECHO 请求报文。

Router 命令行接口配置过程：

enable
configure terminal
interface FastEthernet0/0
no shutdown
ip address 192.1.1.254 255.255.255.0
exit
interface FastEthernet0/1
no shutdown
ip address 192.1.2.254 255.255.255.0
exit

1 2	`exit mkdir ipsdr`

configure terminal
ip ips config location flash:ipsdr
ip ips name a1
ip ips notify log
logging host 192.1.1.7
service timestamps log datetime msec
exit
clock set 23:54:00 19 November 2016
configure terminal
ip ips signature-category
category all
retired true
exit
category ios_ips basic
retired false
exit
exit

interface FastEthernet0/0
ip ips a1 out
exit
ip ips signature-definition
signature 2004 0
status
retired false
enabled true
exit
engine
event-action deny-packet-inline
event-action produce-alert
exit
exit
exit

验证 PC2 不能 ping 通 PC0，但 PC0 可以 ping 通 PC2。进行 PC2 ping PC0 的操作后，日志服务器将记录该事件。
PC0 ping PC2（192.1.1.1 to 192.1.2.1）:
PC2 ping PC0（192.1.2.1 to 192.1.1.1）:
日志服务器记录的事件如图：

实验总结

了解了基于特征库的入侵检测机制的工作过程。