Cisco IPS
Материал из Xgu.ru
Cisco IPS
Содержание |
[править] Базовые настройки
Режимы CLI:
- Privileged mode
- Global configuration mode
- Service mode
- Multi-instance service mode
В global configuration mode можно настроить:
- создать пользователей,
- настроить SSH и TLS,
- обновить ОС сенсора,
- upgrade и downgrade system software и сигнатуры,
- перейти в режим service.
[править] Инициализация сенсора
Инициализация:
sensorP# setup
[править] Конфигурационные файлы
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
sensor# more current-config
или:
sensor# show configuration
Создать backup конфигурационного файла:
sensor# copy current-config backup-config
Перезаписать текущую конфигурацию backup конфигурацией:
sensor# copy /erase backup-config current-config
[править] Режим service
Режим service:
sensorP(config)# service <service-name> sensorP(config-ser)#
Параметры команды service:
- analysis-engine,
- anomaly-detection,
- authentication,
- event-action-rules,
- host,
- interface,
- logger,
- network-access,
- notification,
- signature-definition,
- ssh-known-hosts,
- trusted-certificates,
- web-server
Восстановить настройки сервиса в настройки по умолчанию:
sensor# default service <имя сервиса>
[править] service host
ASA1-Sensor(config)# service host
ASA1-Sensor(config-hos)# show settings
network-settings
-----------------------------------------------
host-ip: 192.168.100.1/24,192.168.100.100 default: 10.1.9.201/24,10.1.9.1
host-name: ASA1-Sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 192.168.100.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
time-zone-settings
-----------------------------------------------
offset: 0 minutes default: 0
standard-time-zone-name: UTC default: UTC
-----------------------------------------------
ntp-option
-----------------------------------------------
disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
summertime-option
-----------------------------------------------
disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
auto-upgrade-option
-----------------------------------------------
disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
crypto
-----------------------------------------------
key (min: 0, max: 10, current: 2)
-----------------------------------------------
<protected entry>
name: realm-cisco.pub <defaulted>
type
-----------------------------------------------
rsa-pubkey
-----------------------------------------------
length: 2048 <defaulted>
exponent: 65537 <defaulted>
modulus: 24442189989357747083874855335232628843599968934198559648630199473878411519325039111726689401
-----------------------------------------------
-----------------------------------------------
<protected entry>
name: realm-trend.pub <defaulted>
type
-----------------------------------------------
rsa-pubkey
-----------------------------------------------
length: 2048 <defaulted>
exponent: 65537 <defaulted>
modulus: 2176556142257302131415985535141872303162509338077705369663817289527060570932551065489818190d
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
password-recovery: allowed <defaulted>
[править] service interface
ASA1-Sensor(config)# service interface
ASA1-Sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 2)
-----------------------------------------------
<protected entry>
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
description: <defaulted>
admin-state: disabled <protected>
duplex: auto <defaulted>
speed: auto <defaulted>
alt-tcp-reset-interface
-----------------------------------------------
none
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
<protected entry>
name: GigabitEthernet0/1 <defaulted>
-----------------------------------------------
media-type: backplane <protected>
description: <defaulted>
admin-state: enabled <protected>
duplex: auto <protected>
speed: auto <protected>
alt-tcp-reset-interface
-----------------------------------------------
none
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
command-control: GigabitEthernet0/0 <protected>
bypass-mode: auto <defaulted>
interface-notifications
-----------------------------------------------
missed-percentage-threshold: 0 percent <defaulted>
notification-interval: 30 seconds <defaulted>
idle-interface-delay: 30 seconds <defaulted>
-----------------------------------------------
[править] service logger
ASA1-Sensor(config)# service logger
ASA1-Sensor(config-log)# ?
default Set the value back to the system default setting.
event-store Set which events are logged to the event store. Warning:
filtering events may result in the loss of audit information
and/or affect the reliability of management systems that
utilize these events.
exit Exit service configuration mode.
master-control Allows simultaneous control of all logging zones.
no Remove an entry or selection setting.
show Display system settings and/or history information.
zone-control Allows individual control of each logging zone.
[править] service network-access
ASA1-Sensor(config)# service network-access
ASA1-Sensor(config-net)# show settings
general
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
rate-limit-max-entries: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
block-networks (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
user-profiles (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
cat6k-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
router-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
firewall-devices (min: 0, max: 250, current: 0)
-----------------------------------------------
-----------------------------------------------
[править] service notification
ASA1-Sensor(config)# service notification ASA1-Sensor(config-not)# show settings trap-destinations (min: 0, max: 10, current: 0) ----------------------------------------------- ----------------------------------------------- error-filter: error|fatal <defaulted> enable-detail-traps: false <defaulted> enable-notifications: false <defaulted> enable-set-get: false <defaulted> snmp-agent-port: 161 <defaulted> snmp-agent-protocol: udp <defaulted> read-only-community: <defaulted> read-write-community: <defaulted> trap-community-name: public <defaulted> system-location: Unknown <defaulted> system-contact: Unknown <defaulted>
[править] service signature-definition
ASA1-Sensor(config)# service signature-definition sig0 ASA1-Sensor(config-sig)# signatures 12505 3 ASA1-Sensor(config-sig-sig)# ? alert-frequency Summary options for grouping alerts alert-severity Severity of the alert default Set the value back to the system default setting. engine Select an engine event-counter Event count settings exit Exit signatures configuration submode promisc-delta Delta value used to determine seriousness of the alert show Display system settings and/or history information. sig-description Description of signature sig-fidelity-rating Rating of the fidelity of signature specify-mars-category This is the MARS category text. status Enabled, Retired grouping vulnerable-os List of OS types vulnerable to this attack signature.
[править] Пользователи
Пользователю может быть присвоена одна из таких ролей:
- Administrator
- Operator
- Viewer
- Service
[править] Просмотр настроек
Команда show settings показывает настройки актуальные для текущего режима.
Просмотр событий:
sensor# show events [alert | error | hh:mm:ss | log | NAC | past | status]
sensor# show statistics host
sensor# show clock
[править] Интерфейсы
Роли интерфейсов:
- Command and control
- Monitoring
- Alternate TCP reset
[править] Monitoring
Monitoring интерфейс может работать в одном из четырёх режимов:
- Promiscuous mode
- Inline interface mode
- Inline VLAN pair mode
- VLAN group mode
В режиме inline interface:
- Command and control интерфейс не может быть частью пары inline,
- Интерфейс не может быть спарен с собой,
- Интерфейс может принадлежать только одной паре.
Inline VLAN pair mode:
- Поддерживают все сенсоры, кроме AIP-SSM.
VLAN group mode:
- Интерфейс, который является частью inline VLAN pair, не может использоваться в VLAN group mode.
[править] Виртуальный сенсор
Виртуальный сенсор (virtual sensor) -- логическая группа состоящая из:
- monitoring интерфейсов,
- политики для signature engines,
- alarm filters, которые применяются к signature engines.
[править] Сигнатуры
Cisco IPS поддерживает такие виды сигнатур:
- Default
- Tuned
- Custom
Base RR (risk rating) = (Fidelity Rating x Severity factor / 100)
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
Severity factor:
- High — 100
- Medium — 75
- Low — 50
- Informational — 25
[править] Risk Rating System
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
- Attack Severity Rating (ASR) — оценка серьезности атаки. Оценивается по уровню серьезности (severity), который настроен для сигнатуры:
- Informational (25)
- Low (50)
- Medium (75)
- High (50)
- Target Value Rating (TVR) — оценка значимости ресурса. Ресурс идентифицируется по IP-адресу. По умолчанию используется значение medium:
- Zero (50)
- Low (75)
- Medium (100)
- High (150)
- Mission Critical (200)
- Signature Fidelity Rating (SFR) — оценка точности сигнатуры. Этот параметр указывает насколько хорошо сигнатура отрабатывает при отсутствии специфических знаний о цели. Возможные значения от 0 до 100.
- Attack Relevancy Rating (ARR) —
- Relevant (10)
- Unknown (0)
- Not Relevant (-10)
- Promiscuous Delta (PD) —
- Watch List Rating (WLR) —
RR = ASR * TVR * SFR /10000
