Cisco ASA/IPS

Материал от Xgu.ru

Ако смятате, че си струва да финализирате възможно най-скоро, моля, кажете го.


Тази страница описва как да конфигурирате IPS на Cisco ASA.

Съдържание

[редактиране] Обща информация

Въпреки че AIP-SSM има само един сензорен интерфейс, той все още може да анализира трафика в вграден режим.

ASA изпраща пакети за AIP-SSM анализ непосредствено преди пакета да напусне изходящия интерфейс (или преди криптиране, ако е конфигуриран) и след прилагането на други правила на ASA.

[редактиране] Конфигуриране на ASA за изпращане на трафик за IPS анализ

ASA може да изпраща трафик за AIP SSM анализ в два режима:

  • Вграден режим - в този режим AIP SSM е директно в трафика. Ако ASA посочи, че трафикът трябва да се анализира в AIP SSM, тогава този трафик не може да премине през ASA, докато не премине през модула и не премине проверката в модула. Този режим е най-сигурният, тъй като трафикът се анализира преди да влезе в мрежата и съответно може да бъде блокиран. Този режим обаче може да повлияе на пропускателната способност.
  • Промишлен режим - в този режим ASA изпраща копие от трафика за анализ на AIP SSM. Този режим е по-малко сигурен, но има по-малко влияние на честотната лента. В този режим AIP SSM може да блокира трафика, като инструктира ASA да прекрати връзката или да избегне трафика. В допълнение, докато AIP SSM анализира трафика, малко количество от него може да премине през ASA, преди да бъде блокиран.

Процедурата за конфигуриране на ASA за изпращане на трафик за анализ на AIP SSM:

  1. Конфигурирайте карта на класа, която ще посочи кой трафик да се изпрати за анализ
  2. Конфигурирайте карта с правила, която ще показва в кой режим ще се анализира трафикът и как да се обработва трафикът, ако модулът не е наличен
  3. Прилагане на карта с правила на интерфейса

[редактиране] Конфигуриране на карта на класа

Изпратете целия трафик за анализ от AIP SSM:

Изпратете трафик, предназначен за хост 192.168.5.1 за анализ от AIP SSM:

[редактиране] Задаване на карта на политиката

Задаване на карта с правила TO_IPS

Ips командни опции:

  • вграден - анализ на трафика в вграден режим
  • promiscuous - анализ на трафика в безразборен режим
  • fail-close - ако модулът не е наличен, тогава трафикът, който трябваше да бъде изпратен към модула, не е позволено преминават през ASA
  • отваряне - ако модулът не е достъпен, тогава трафикът, който трябваше да бъде изпратен към модула, позволен преминават през ASA

[редактиране] Изпращане на трафик към множество виртуални сензори

Изпращане на трафик към множество виртуални сензори:

Сензорният интерфейс трябва да бъде зададен vs0.

[редактиране] Приложение на карта с правила

Прилагане на карта-политика на интерфейс:

Параметри на командата на услугата-политика:

  • глобален - прилага политика на всички интерфейси
  • интерфейс - прилагайте политиката на определен интерфейс

[редактиране] Конфигуриране на AIP-SSM

[редактиране] Основни настройки

Достъп до модула от командния ред на ASA (по подразбиране входът и паролата са cisco):

Преглед на информация за интерфейси (* срещу интерфейс означава, че той е команден и контролен интерфейс):

[редактиране] услуга

Параметри на командата за обслужване:

  • анализ-двигател,
  • откриване на аномалия,
  • удостоверяване,
  • правила за събитие-действие,
  • домакин,
  • интерфейс,
  • регистратор,
  • мрежов достъп,
  • уведомление,
  • дефиниция на подпис,
  • ssh-known-hosts,
  • доверени сертификати,
  • уеб сървър

[редактиране] Вграден байпасен режим

Функцията за вграден байпас е внедрена в операционната система, а не на хардуерно ниво. Следователно, ако сензорът е деактивиран, вграденият байпас не работи - трафикът не се предава през сензора.

ASA има режими за отваряне и затваряне, които показват дали трафикът, който е трябвало да бъде анализиран от IPS, ще премине през ASA, ако модулът не е наличен.

Вграденият байпас работи на AIP-SSM съгласно следните правила:

  • Bypass Auto или Off - Ако AIP-SSM е деактивиран или нулиран, ASA позволява трафикът да преминава или го отказва въз основа на конфигурирания режим за отваряне или затваряне;
  • Байпас Авто - Ако сензорът спре в AIP-SSM (и самият модул е ​​активиран), ASA позволява преминаването на целия трафик, независимо дали е конфигуриран режимът за отваряне или затваряне;
  • Байпасът е изключен - Ако сензорът спре в AIP-SSM (и самият модул е ​​активиран), ASA забранява преминаването на целия трафик, независимо дали е конфигуриран режимът за отваряне или затваряне.

Вградена настройка за байпас:

[редактиране] Виртуален сензор

Виртуален сензор - набор от политики, които определят как ще се анализира трафикът.

IPS 6.0 поддържа само 4 виртуални сензора. Не може да се премахне vs0, тъй като е по подразбиране.

Създаване на нов виртуален сензор:

[редактиране] Политика

Политиката се състои от:

  • политика за дефиниция на подпис - по подразбиране sig0;
  • политика за правила за действие при събития - по подразбиране правила0;
  • политика за откриване на аномалии - по подразбиране ad0.

[редактиране] Актуализиране на модул OS

Актуализацията на ОС на модула се извършва от командния ред на ASA.

Конфигуриране на опциите за актуализация:

Проследяване на процеса на актуализация на модула:

Стартиране на процедурата за актуализация:

[редактиране] Преглед на информация и отстраняване на грешки

Показване на съобщения за контролната равнина, която свързва ASA и SSM: