Cisco IPS

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Cisco IPS

Содержание

[править] Базовые настройки

Режимы CLI:

  • Privileged mode
  • Global configuration mode
  • Service mode
  • Multi-instance service mode

В global configuration mode можно настроить:

  • создать пользователей,
  • настроить SSH и TLS,
  • обновить ОС сенсора,
  • upgrade и downgrade system software и сигнатуры,
  • перейти в режим service.

[править] Инициализация сенсора

Инициализация:

sensorP# setup

[править] Конфигурационные файлы

В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.

Показать текущую конфигурацию:

sensor# more current-config

или:

sensor# show configuration

Создать backup конфигурационного файла:

sensor# copy current-config backup-config

Перезаписать текущую конфигурацию backup конфигурацией:

sensor# copy /erase backup-config current-config

[править] Режим service

Режим service:

sensorP(config)# service <service-name>
sensorP(config-ser)#

Параметры команды service:

  • analysis-engine,
  • anomaly-detection,
  • authentication,
  • event-action-rules,
  • host,
  • interface,
  • logger,
  • network-access,
  • notification,
  • signature-definition,
  • ssh-known-hosts,
  • trusted-certificates,
  • web-server

Восстановить настройки сервиса в настройки по умолчанию:

 sensor# default service <имя сервиса>

[править] service host

ASA1-Sensor(config)# service host 
ASA1-Sensor(config-hos)# show settings 
   network-settings
   -----------------------------------------------
      host-ip: 192.168.100.1/24,192.168.100.100 default: 10.1.9.201/24,10.1.9.1
      host-name: ASA1-Sensor default: sensor
      telnet-option: enabled default: disabled
      access-list (min: 0, max: 512, current: 1)
      -----------------------------------------------
         network-address: 192.168.100.0/24
         -----------------------------------------------
      -----------------------------------------------
      ftp-timeout: 300 seconds <defaulted>
      login-banner-text:  <defaulted>
   -----------------------------------------------
   time-zone-settings
   -----------------------------------------------
      offset: 0 minutes default: 0
      standard-time-zone-name: UTC default: UTC
   -----------------------------------------------
   ntp-option
   -----------------------------------------------
      disabled
      -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   summertime-option
   -----------------------------------------------
      disabled
      -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   auto-upgrade-option
   -----------------------------------------------
      disabled
      -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   crypto
   -----------------------------------------------
      key (min: 0, max: 10, current: 2)
      -----------------------------------------------
         <protected entry>
         name: realm-cisco.pub <defaulted>
         type
         -----------------------------------------------
            rsa-pubkey
            -----------------------------------------------
               length: 2048 <defaulted>
               exponent: 65537 <defaulted>
               modulus: 24442189989357747083874855335232628843599968934198559648630199473878411519325039111726689401
            -----------------------------------------------
         -----------------------------------------------
         <protected entry>
         name: realm-trend.pub <defaulted>
         type
         -----------------------------------------------
            rsa-pubkey
            -----------------------------------------------
               length: 2048 <defaulted>
               exponent: 65537 <defaulted>
               modulus: 2176556142257302131415985535141872303162509338077705369663817289527060570932551065489818190d
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   password-recovery: allowed <defaulted>

[править] service interface

ASA1-Sensor(config)# service interface 
ASA1-Sensor(config-int)# show settings 
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description:  <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: backplane <protected>
         description:  <defaulted>
         admin-state: enabled <protected>
         duplex: auto <protected>
         speed: auto <protected>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: GigabitEthernet0/0 <protected>
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------

[править] service logger

ASA1-Sensor(config)# service logger 
ASA1-Sensor(config-log)# ?
default            Set the value back to the system default setting.
event-store        Set which events are logged to the event store. Warning:
                   filtering events may result in the loss of audit information
                   and/or affect the reliability of management systems that
                   utilize these events.
exit               Exit service configuration mode.
master-control     Allows simultaneous control of all logging zones.
no                 Remove an entry or selection setting.
show               Display system settings and/or history information.
zone-control       Allows individual control of each logging zone.

[править] service network-access

ASA1-Sensor(config)# service network-access 
ASA1-Sensor(config-net)# show settings 
   general
   -----------------------------------------------
      log-all-block-events-and-errors: true <defaulted>
      enable-nvram-write: false <defaulted>
      enable-acl-logging: false <defaulted>
      allow-sensor-block: false <defaulted>
      block-enable: true <defaulted>
      block-max-entries: 250 <defaulted>
      max-interfaces: 250 <defaulted>
      rate-limit-max-entries: 250 <defaulted>
      master-blocking-sensors (min: 0, max: 100, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      never-block-hosts (min: 0, max: 250, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      never-block-networks (min: 0, max: 250, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      block-hosts (min: 0, max: 250, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      block-networks (min: 0, max: 250, current: 0)
      -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   user-profiles (min: 0, max: 250, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   cat6k-devices (min: 0, max: 250, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   router-devices (min: 0, max: 250, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   firewall-devices (min: 0, max: 250, current: 0)
   -----------------------------------------------
   -----------------------------------------------

[править] service notification

ASA1-Sensor(config)# service notification 
ASA1-Sensor(config-not)# show settings 
   trap-destinations (min: 0, max: 10, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   error-filter: error|fatal <defaulted>
   enable-detail-traps: false <defaulted>
   enable-notifications: false <defaulted>
   enable-set-get: false <defaulted>
   snmp-agent-port: 161 <defaulted>
   snmp-agent-protocol: udp <defaulted>
   read-only-community:  <defaulted>
   read-write-community:  <defaulted>
   trap-community-name: public <defaulted>
   system-location: Unknown <defaulted>
   system-contact: Unknown <defaulted>

[править] service signature-definition

ASA1-Sensor(config)# service signature-definition sig0
ASA1-Sensor(config-sig)# signatures 12505 3
ASA1-Sensor(config-sig-sig)# ?
alert-frequency           Summary options for grouping alerts
alert-severity            Severity of the alert
default                   Set the value back to the system default setting.
engine                    Select an engine
event-counter             Event count settings
exit                      Exit signatures configuration submode
promisc-delta             Delta value used to determine seriousness of the alert
show                      Display system settings and/or history information.
sig-description           Description of signature
sig-fidelity-rating       Rating of the fidelity of signature
specify-mars-category     This is the MARS category text.
status                    Enabled, Retired grouping
vulnerable-os             List of OS types vulnerable to this attack signature.

[править] Пользователи

Пользователю может быть присвоена одна из таких ролей:

  • Administrator
  • Operator
  • Viewer
  • Service

[править] Просмотр настроек

Команда show settings показывает настройки актуальные для текущего режима.

Просмотр событий:

sensor# show events [alert | error | hh:mm:ss | log | NAC | past | status]
sensor# show statistics host
sensor# show clock

[править] Интерфейсы

Роли интерфейсов:

  • Command and control
  • Monitoring
  • Alternate TCP reset

[править] Monitoring

Monitoring интерфейс может работать в одном из четырёх режимов:

  • Promiscuous mode
  • Inline interface mode
  • Inline VLAN pair mode
  • VLAN group mode

В режиме inline interface:

  • Command and control интерфейс не может быть частью пары inline,
  • Интерфейс не может быть спарен с собой,
  • Интерфейс может принадлежать только одной паре.

Inline VLAN pair mode:

  • Поддерживают все сенсоры, кроме AIP-SSM.

VLAN group mode:

  • Интерфейс, который является частью inline VLAN pair, не может использоваться в VLAN group mode.

[править] Виртуальный сенсор

Виртуальный сенсор (virtual sensor) -- логическая группа состоящая из:

  • monitoring интерфейсов,
  • политики для signature engines,
  • alarm filters, которые применяются к signature engines.

[править] Сигнатуры

Cisco IPS поддерживает такие виды сигнатур:

  • Default
  • Tuned
  • Custom
Base RR (risk rating) = (Fidelity Rating x Severity factor / 100)

Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.

Severity factor:

  • High — 100
  • Medium — 75
  • Low — 50
  • Informational — 25

[править] Risk Rating System

Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.

  • Attack Severity Rating (ASR) — оценка серьезности атаки. Оценивается по уровню серьезности (severity), который настроен для сигнатуры:
    • Informational (25)
    • Low (50)
    • Medium (75)
    • High (50)
  • Target Value Rating (TVR) — оценка значимости ресурса. Ресурс идентифицируется по IP-адресу. По умолчанию используется значение medium:
    • Zero (50)
    • Low (75)
    • Medium (100)
    • High (150)
    • Mission Critical (200)
  • Signature Fidelity Rating (SFR) — оценка точности сигнатуры. Этот параметр указывает насколько хорошо сигнатура отрабатывает при отсутствии специфических знаний о цели. Возможные значения от 0 до 100.
  • Attack Relevancy Rating (ARR)
    • Relevant (10)
    • Unknown (0)
    • Not Relevant (-10)
  • Promiscuous Delta (PD)
  • Watch List Rating (WLR)
RR = ASR * TVR * SFR /10000 

[править] Дополнительная информация

Источник — «http://xgu.ru/wiki/Cisco_IPS»