Cisco IPS
Материал из Xgu.ru
Cisco IPS
Содержание |
[править] Базовые настройки
Режимы CLI:
- Privileged mode
- Global configuration mode
- Service mode
- Multi-instance service mode
В global configuration mode можно настроить:
- создать пользователей,
- настроить SSH и TLS,
- обновить ОС сенсора,
- upgrade и downgrade system software и сигнатуры,
- перейти в режим service.
[править] Инициализация сенсора
Инициализация:
sensorP# setup
[править] Конфигурационные файлы
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
sensor# more current-config
или:
sensor# show configuration
Создать backup конфигурационного файла:
sensor# copy current-config backup-config
Перезаписать текущую конфигурацию backup конфигурацией:
sensor# copy /erase backup-config current-config
[править] Режим service
Режим service:
sensorP(config)# service <service-name> sensorP(config-ser)#
Параметры команды service:
- analysis-engine,
- anomaly-detection,
- authentication,
- event-action-rules,
- host,
- interface,
- logger,
- network-access,
- notification,
- signature-definition,
- ssh-known-hosts,
- trusted-certificates,
- web-server
Восстановить настройки сервиса в настройки по умолчанию:
sensor# default service <имя сервиса>
[править] service host
ASA1-Sensor(config)# service host ASA1-Sensor(config-hos)# show settings network-settings ----------------------------------------------- host-ip: 192.168.100.1/24,192.168.100.100 default: 10.1.9.201/24,10.1.9.1 host-name: ASA1-Sensor default: sensor telnet-option: enabled default: disabled access-list (min: 0, max: 512, current: 1) ----------------------------------------------- network-address: 192.168.100.0/24 ----------------------------------------------- ----------------------------------------------- ftp-timeout: 300 seconds <defaulted> login-banner-text: <defaulted> ----------------------------------------------- time-zone-settings ----------------------------------------------- offset: 0 minutes default: 0 standard-time-zone-name: UTC default: UTC ----------------------------------------------- ntp-option ----------------------------------------------- disabled ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- summertime-option ----------------------------------------------- disabled ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- auto-upgrade-option ----------------------------------------------- disabled ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- crypto ----------------------------------------------- key (min: 0, max: 10, current: 2) ----------------------------------------------- <protected entry> name: realm-cisco.pub <defaulted> type ----------------------------------------------- rsa-pubkey ----------------------------------------------- length: 2048 <defaulted> exponent: 65537 <defaulted> modulus: 24442189989357747083874855335232628843599968934198559648630199473878411519325039111726689401 ----------------------------------------------- ----------------------------------------------- <protected entry> name: realm-trend.pub <defaulted> type ----------------------------------------------- rsa-pubkey ----------------------------------------------- length: 2048 <defaulted> exponent: 65537 <defaulted> modulus: 2176556142257302131415985535141872303162509338077705369663817289527060570932551065489818190d ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- password-recovery: allowed <defaulted>
[править] service interface
ASA1-Sensor(config)# service interface ASA1-Sensor(config-int)# show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: backplane <protected> description: <defaulted> admin-state: enabled <protected> duplex: auto <protected> speed: auto <protected> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: GigabitEthernet0/0 <protected> bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> -----------------------------------------------
[править] service logger
ASA1-Sensor(config)# service logger ASA1-Sensor(config-log)# ? default Set the value back to the system default setting. event-store Set which events are logged to the event store. Warning: filtering events may result in the loss of audit information and/or affect the reliability of management systems that utilize these events. exit Exit service configuration mode. master-control Allows simultaneous control of all logging zones. no Remove an entry or selection setting. show Display system settings and/or history information. zone-control Allows individual control of each logging zone.
[править] service network-access
ASA1-Sensor(config)# service network-access ASA1-Sensor(config-net)# show settings general ----------------------------------------------- log-all-block-events-and-errors: true <defaulted> enable-nvram-write: false <defaulted> enable-acl-logging: false <defaulted> allow-sensor-block: false <defaulted> block-enable: true <defaulted> block-max-entries: 250 <defaulted> max-interfaces: 250 <defaulted> rate-limit-max-entries: 250 <defaulted> master-blocking-sensors (min: 0, max: 100, current: 0) ----------------------------------------------- ----------------------------------------------- never-block-hosts (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- never-block-networks (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- block-hosts (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- block-networks (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- user-profiles (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- cat6k-devices (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- router-devices (min: 0, max: 250, current: 0) ----------------------------------------------- ----------------------------------------------- firewall-devices (min: 0, max: 250, current: 0) ----------------------------------------------- -----------------------------------------------
[править] service notification
ASA1-Sensor(config)# service notification ASA1-Sensor(config-not)# show settings trap-destinations (min: 0, max: 10, current: 0) ----------------------------------------------- ----------------------------------------------- error-filter: error|fatal <defaulted> enable-detail-traps: false <defaulted> enable-notifications: false <defaulted> enable-set-get: false <defaulted> snmp-agent-port: 161 <defaulted> snmp-agent-protocol: udp <defaulted> read-only-community: <defaulted> read-write-community: <defaulted> trap-community-name: public <defaulted> system-location: Unknown <defaulted> system-contact: Unknown <defaulted>
[править] service signature-definition
ASA1-Sensor(config)# service signature-definition sig0 ASA1-Sensor(config-sig)# signatures 12505 3 ASA1-Sensor(config-sig-sig)# ? alert-frequency Summary options for grouping alerts alert-severity Severity of the alert default Set the value back to the system default setting. engine Select an engine event-counter Event count settings exit Exit signatures configuration submode promisc-delta Delta value used to determine seriousness of the alert show Display system settings and/or history information. sig-description Description of signature sig-fidelity-rating Rating of the fidelity of signature specify-mars-category This is the MARS category text. status Enabled, Retired grouping vulnerable-os List of OS types vulnerable to this attack signature.
[править] Пользователи
Пользователю может быть присвоена одна из таких ролей:
- Administrator
- Operator
- Viewer
- Service
[править] Просмотр настроек
Команда show settings показывает настройки актуальные для текущего режима.
Просмотр событий:
sensor# show events [alert | error | hh:mm:ss | log | NAC | past | status]
sensor# show statistics host
sensor# show clock
[править] Интерфейсы
Роли интерфейсов:
- Command and control
- Monitoring
- Alternate TCP reset
[править] Monitoring
Monitoring интерфейс может работать в одном из четырёх режимов:
- Promiscuous mode
- Inline interface mode
- Inline VLAN pair mode
- VLAN group mode
В режиме inline interface:
- Command and control интерфейс не может быть частью пары inline,
- Интерфейс не может быть спарен с собой,
- Интерфейс может принадлежать только одной паре.
Inline VLAN pair mode:
- Поддерживают все сенсоры, кроме AIP-SSM.
VLAN group mode:
- Интерфейс, который является частью inline VLAN pair, не может использоваться в VLAN group mode.
[править] Виртуальный сенсор
Виртуальный сенсор (virtual sensor) -- логическая группа состоящая из:
- monitoring интерфейсов,
- политики для signature engines,
- alarm filters, которые применяются к signature engines.
[править] Сигнатуры
Cisco IPS поддерживает такие виды сигнатур:
- Default
- Tuned
- Custom
Base RR (risk rating) = (Fidelity Rating x Severity factor / 100)
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
Severity factor:
- High — 100
- Medium — 75
- Low — 50
- Informational — 25
[править] Risk Rating System
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
- Attack Severity Rating (ASR) — оценка серьезности атаки. Оценивается по уровню серьезности (severity), который настроен для сигнатуры:
- Informational (25)
- Low (50)
- Medium (75)
- High (50)
- Target Value Rating (TVR) — оценка значимости ресурса. Ресурс идентифицируется по IP-адресу. По умолчанию используется значение medium:
- Zero (50)
- Low (75)
- Medium (100)
- High (150)
- Mission Critical (200)
- Signature Fidelity Rating (SFR) — оценка точности сигнатуры. Этот параметр указывает насколько хорошо сигнатура отрабатывает при отсутствии специфических знаний о цели. Возможные значения от 0 до 100.
- Attack Relevancy Rating (ARR) —
- Relevant (10)
- Unknown (0)
- Not Relevant (-10)
- Promiscuous Delta (PD) —
- Watch List Rating (WLR) —
RR = ASR * TVR * SFR /10000