Cisco ASA/IPS
Материал из Xgu.ru
На этой странице описывается настройка IPS на Cisco ASA.
Содержание |
[править] Общая информация
Хотя у модуля AIP-SSM только один sensing-интерфейс, он всё равно может анализировать трафик в inline-режиме.
ASA отправляет пакеты на анализ AIP-SSM непосредственно перед тем как пакет выйдет из исходящего интерфейса (или перед шифрованием, если оно настроено) и после того как другие политики ASA были применены.
[править] Настройка ASA для отправки трафика на анализ IPS
ASA может отправлять трафик на анализ AIP SSM в таких двух режимах:
- Inline режим — в этом режиме AIP SSM находится непосредственно на пути трафика. Если в ASA указано, что трафик должен быть на анализ в модуль AIP SSM, то этот трафик не может пройти сквозь ASA пока он не пройдет через модуль и не пройдет проверку в модуле. Этот режим наиболее безопасный, так как трафик анализирует до того как он попадет в сеть и соответственно может быть заблокирован. Однако этот режим может влиять на пропускную способность.
- Promiscuous режим — в этом режиме ASA отправляет копию трафика на анализ модулю AIP SSM. Этот режим менее безопасный, но меньше влияет на пропускную способность. В этом режиме AIP SSM может блокировать трафик проинструктировав ASA: оборвать соединение или to shun трафик. Кроме того, в то время как AIP SSM анализирует трафик, небольшое его количество может пройти сквозь ASA до того как он будет заблокирован.
Порядок настройки ASA для отправки трафика на анализ AIP SSM:
- Настроить class-map, которая будет указывать какой трафик отправлять на анализ
- Настроить policy-map, которая будет указывать в каком режиме будет анализироваться трафик и как обрабатывать трафик в случае недоступности модуля
- Применить policy-map на интерфейсе
[править] Настройка class-map
Отправить весь трафик на анализ AIP SSM:
ASA(config)# class-map IPS ASA(config-cmap)# match any
Отправить на анализ AIP SSM трафик предназначенный хосту 192.168.5.1:
ASA(config)# access list IPS_ACL extended permit ip any 192.168.5.1 255.255.255.255 ASA(config)# class-map IPS ASA(config-cmap)# match access-list IPS_ACL
[править] Настройка policy-map
Настройка policy-map TO_IPS
ASA(config)# policy-map TO_IPS ASA(config-pmap)# class IPS ASA(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}
Параметры команды ips:
- inline — анализ трафика в режиме inline
- promiscuous — анализ трафика в режиме promiscuous
- fail-close — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, не разрешено проходить через ASA
- fail-open — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, разрешено проходить через ASA
[править] Отправка трафика на несколько виртуальных сенсоров
Отправка трафика на несколько виртуальных сенсоров:
ASA(config)# policy-map TO_IPS ASA(config-pmap)# class IPS_1 ASA(config-pmap-c)# ips inline fail-close sensor vs1 ASA(config-pmap)# class IPS_2 ASA(config-pmap-c)# ips inline fail-close sensor vs2
Интерфейс сенсора должен быть присвоен vs0.
[править] Применение policy-map
Применение policy-map на интерфейсе:
ASA(config-pmap-c)# service-policy TO_IPS [global | interface <имя интерфейса>]
Параметры команды service-policy:
- global — применить политику на всех интерфейсах
- interface — применить политику на конкретном интерфейсе
[править] Настройка AIP-SSM
[править] Базовые настройки
Зайти на модуль из командной строки ASA (по умолчанию логин и пароль — cisco):
ASA(config)# session 1
Инициализация:
sensor# setup
Просмотр информации об интерфейсах (* напротив интерфейса значит, что это command and control interface):
sensor# sh interfaces brief CC Interface Sensing State Link Inline Mode Pair Status * GigabitEthernet0/0 Disabled Down GigabitEthernet0/1 Enabled Up Unpaired N/A
[править] service
sensor(config)# service <service-name> sensor(config-ser)#
Параметры команды service:
- analysis-engine,
- anomaly-detection,
- authentication,
- event-action-rules,
- host,
- interface,
- logger,
- network-access,
- notification,
- signature-definition,
- ssh-known-hosts,
- trusted-certificates,
- web-server
[править] Inline Bypass Mode
Функциональность inline bypass реализована в в операционной системе, а не на аппаратном уровне. Поэтому, если sensor отключен, inline bypass не работает — трафик не передается через sensor.
В ASA есть режимы fail-open и fail-close, которые указывают будет ли трафик, который должен был анализироваться IPS, проходить через ASA в случае, если модуль не доступен.
Inline bypass работает на AIP-SSM по таким правилам:
- Bypass Auto или Off — Если AIP-SSM выключен или reset, ASA разрешает прохождение трафика или запрещает на основании настроенного режима fail-open или fail-close;
- Bypass Auto — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA разрешает проходить всему трафику независимо от того настроен режим fail-open или fail-close;
- Bypass Off — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA запрещает проходить всему трафику независимо от того настроен режим fail-open или fail-close.
Настройка режима inline bypass:
sensor(config)# service interface sensor(config-int)# bypass-mode <off | on | auto>
Просмотр настроек:
sensor(config-int)# sh settings ......... command-control: GigabitEthernet0/0 <protected> bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted>
[править] Виртуальный сенсор
Виртуальный сенсор (virtual sensor) — набор политик, которые определяют как будет анализироваться трафик.
|
В IPS 6.0 поддерживает только 4 виртуальных сенсора. Нельзя удалить vs0, так как он используется по умолчанию. |
Создание нового виртуального сенсора:
sensor(config)# service analysis-engine sensor(config-ana)# virtual-sensor <name>
[править] Политика
Политика состоит из:
- signature definition policy — по умолчанию sig0;
- event action rules policy — по умолчанию rules0;
- anomaly detection policy — по умолчанию ad0.
[править] Обновление ОС модуля
Обновление ОС модуля выполняется из командной строки ASA.
Настройка параметров обновления:
hw-module module 1 recovery configure
Отслеживание процесса обновления модуля:
debug module-boot
Запуск процедуры обновления:
hw-module module 1 recovery boot
[править] Просмотр информации и debug
Отобразить сообщения о control plane, которая соединяет ASA и SSM:
debug cplane
[править] Дополнительная информация