Cisco ASA/IPS

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


На этой странице описывается настройка IPS на Cisco ASA.

Содержание

[править] Общая информация

Хотя у модуля AIP-SSM только один sensing-интерфейс, он всё равно может анализировать трафик в inline-режиме.

ASA отправляет пакеты на анализ AIP-SSM непосредственно перед тем как пакет выйдет из исходящего интерфейса (или перед шифрованием, если оно настроено) и после того как другие политики ASA были применены.

[править] Настройка ASA для отправки трафика на анализ IPS

ASA может отправлять трафик на анализ AIP SSM в таких двух режимах:

  • Inline режим — в этом режиме AIP SSM находится непосредственно на пути трафика. Если в ASA указано, что трафик должен быть на анализ в модуль AIP SSM, то этот трафик не может пройти сквозь ASA пока он не пройдет через модуль и не пройдет проверку в модуле. Этот режим наиболее безопасный, так как трафик анализирует до того как он попадет в сеть и соответственно может быть заблокирован. Однако этот режим может влиять на пропускную способность.
  • Promiscuous режим — в этом режиме ASA отправляет копию трафика на анализ модулю AIP SSM. Этот режим менее безопасный, но меньше влияет на пропускную способность. В этом режиме AIP SSM может блокировать трафик проинструктировав ASA: оборвать соединение или to shun трафик. Кроме того, в то время как AIP SSM анализирует трафик, небольшое его количество может пройти сквозь ASA до того как он будет заблокирован.

Порядок настройки ASA для отправки трафика на анализ AIP SSM:

  1. Настроить class-map, которая будет указывать какой трафик отправлять на анализ
  2. Настроить policy-map, которая будет указывать в каком режиме будет анализироваться трафик и как обрабатывать трафик в случае недоступности модуля
  3. Применить policy-map на интерфейсе

[править] Настройка class-map

Отправить весь трафик на анализ AIP SSM:

ASA(config)# class-map IPS
ASA(config-cmap)# match any

Отправить на анализ AIP SSM трафик предназначенный хосту 192.168.5.1:

ASA(config)# access list IPS_ACL extended permit ip any 192.168.5.1 255.255.255.255
ASA(config)# class-map IPS
ASA(config-cmap)# match access-list IPS_ACL

[править] Настройка policy-map

Настройка policy-map TO_IPS

ASA(config)# policy-map TO_IPS
ASA(config-pmap)# class IPS
ASA(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}

Параметры команды ips:

  • inline — анализ трафика в режиме inline
  • promiscuous — анализ трафика в режиме promiscuous
  • fail-close — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, не разрешено проходить через ASA
  • fail-open — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, разрешено проходить через ASA

[править] Отправка трафика на несколько виртуальных сенсоров

Отправка трафика на несколько виртуальных сенсоров:

ASA(config)# policy-map TO_IPS
ASA(config-pmap)# class IPS_1
ASA(config-pmap-c)# ips inline fail-close sensor vs1
ASA(config-pmap)# class IPS_2
ASA(config-pmap-c)# ips inline fail-close sensor vs2

Интерфейс сенсора должен быть присвоен vs0.

[править] Применение policy-map

Применение policy-map на интерфейсе:

ASA(config-pmap-c)# service-policy TO_IPS [global | interface <имя интерфейса>]

Параметры команды service-policy:

  • global — применить политику на всех интерфейсах
  • interface — применить политику на конкретном интерфейсе

[править] Настройка AIP-SSM

[править] Базовые настройки

Зайти на модуль из командной строки ASA (по умолчанию логин и пароль — cisco):

ASA(config)# session 1

Инициализация:

sensor# setup

Просмотр информации об интерфейсах (* напротив интерфейса значит, что это command and control interface):

sensor# sh interfaces brief   
CC   Interface            Sensing State   Link   Inline Mode   Pair Status   
*    GigabitEthernet0/0   Disabled        Down                               
     GigabitEthernet0/1   Enabled         Up     Unpaired      N/A           

[править] service

sensor(config)# service <service-name>
sensor(config-ser)#

Параметры команды service:

  • analysis-engine,
  • anomaly-detection,
  • authentication,
  • event-action-rules,
  • host,
  • interface,
  • logger,
  • network-access,
  • notification,
  • signature-definition,
  • ssh-known-hosts,
  • trusted-certificates,
  • web-server

[править] Inline Bypass Mode

Функциональность inline bypass реализована в в операционной системе, а не на аппаратном уровне. Поэтому, если sensor отключен, inline bypass не работает — трафик не передается через sensor.

В ASA есть режимы fail-open и fail-close, которые указывают будет ли трафик, который должен был анализироваться IPS, проходить через ASA в случае, если модуль не доступен.

Inline bypass работает на AIP-SSM по таким правилам:

  • Bypass Auto или Off — Если AIP-SSM выключен или reset, ASA разрешает прохождение трафика или запрещает на основании настроенного режима fail-open или fail-close;
  • Bypass Auto — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA разрешает проходить всему трафику независимо от того настроен режим fail-open или fail-close;
  • Bypass Off — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA запрещает проходить всему трафику независимо от того настроен режим fail-open или fail-close.

Настройка режима inline bypass:

sensor(config)# service interface   
sensor(config-int)# bypass-mode <off | on | auto>

Просмотр настроек:

sensor(config-int)# sh settings
.........
   command-control: GigabitEthernet0/0 <protected>
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>

[править] Виртуальный сенсор

Виртуальный сенсор (virtual sensor) — набор политик, которые определяют как будет анализироваться трафик.

Note-icon.gif

В IPS 6.0 поддерживает только 4 виртуальных сенсора. Нельзя удалить vs0, так как он используется по умолчанию.

Создание нового виртуального сенсора:

sensor(config)# service analysis-engine   
sensor(config-ana)# virtual-sensor <name>

[править] Политика

Политика состоит из:

  • signature definition policy — по умолчанию sig0;
  • event action rules policy — по умолчанию rules0;
  • anomaly detection policy — по умолчанию ad0.

[править] Обновление ОС модуля

Обновление ОС модуля выполняется из командной строки ASA.

Настройка параметров обновления:

hw-module module 1 recovery configure

Отслеживание процесса обновления модуля:

debug module-boot

Запуск процедуры обновления:

hw-module module 1 recovery boot

[править] Просмотр информации и debug

Отобразить сообщения о control plane, которая соединяет ASA и SSM:

debug cplane

[править] Дополнительная информация


Источник — «http://xgu.ru/wiki/Cisco_ASA/IPS»