Система предотвращения вторжений (IPS).
В целом линейка продуктов Cisco для систем предотвращения вторжений достаточно широка.
Сюда входят отдельно стоящие датчики IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизаторе (ISR) — NME-IPS, «карточка» в ISR — AIM- ИПС.
Cisco пытается привнести ту же идеологию в программные решения на базе ISR, добавляя соответствующий функционал в IOS. Вся идеология обнаружения и предотвращения вторжений основана на концепции сигнатуры.
Сигнатура — это, по сути, образец «ненормальности» в одном пакете или потоке.
«Нарушения» могут быть разными, начиная от типовых методов разведки и заканчивая сетевыми червями.
Эти шаблоны тщательно написаны программистами Cisco и доходят до пользователя в виде обновлений.
Те.
система является реактивной по своей природе и опирается на постоянные обновления, которые стоят денег.
Лицензии на обновление привязаны непосредственно к каждому элементу оборудования.
Без лицензии вы можете сменить ОС, но не сможете выкатить обновления сигнатур.
Немного истории систем обнаружения и предотвращения вторжений на основе маршрутизаторов.
Первая система IDS (система обнаружения вторжений) была реализована на маршрутизаторах под управлением iOS 12.2.8T с набором функций брандмауэра.
Тогда это были роутеры 26ХХ и 36ХХ.
Система состояла из нескольких десятков (максимум 105) подписей.
Их можно было только отключить или настроить на работу не для всего трафика.
Эта система была включена командами имя IP-аудита Действие атаки IDS {тревога, сброс, сброс} имя IP-аудита Информация IDS действие {тревога, сброс, сброс} интервал f0/0 IP-аудит IDS {вход|выход} Это была вещь сама по себе.
Никакой гибкой настройки, никаких обновлений, понятия не имею, что там в сигнатурах.
Следующим шагом было введение отдельного файла определения подписи.
Этот специальный файл был загружен на роутер, на него было указано в настройках, в нем сохранились все подписи и их параметры.
Эта конструкция была настроена следующим образом: ip ips sdf location flash: {256MB.sdf|128MB.sdf|attack-drop.sdf} файл выбирается исходя из объема оперативной памяти роутера.
Самый большой файл, 256MB.sdf, содержал более 1500 подписей и требовал минимум 256 мегабайт оперативной памяти.
ip ips имя IPS интервал f0/0 ip ips IPS {вход|выход} После привязки правила IPS к интерфейсу циска загружала подписи из файла в память и давала возможность настраивать их как через консоль, так и через web-GUI (кстати, GUI, называемый Security Device Manager, SDM, очень удобно при настройке IPS) Для обратной совместимости iOS (до 12.4.T(11)) по-прежнему имела встроенные подписи.
Было рекомендовано отключить их при использовании внешнего файла.
нет встроенного ip ips sdf Была возможность запросить блокировку трафика, если невозможно было загрузить sdf-файл или произошел сбой подсистемы IPS ip ips не закрывается Но формат подписи здесь был такой же, как и в сенсорах IPS версии 4. Такой формат не позволял провести более глубокий анализ трафика и отсечь новые хитрые атаки.
К тому времени на самих IPS-сенсорах уже появился новый формат — 5, в котором можно настраивать совокупные параметры риска атак (Risk Rating), создавать зоны более пристального внимания (Target Value Rating) и многое другое.
Поэтому, начиная с версии 12.4.T(11), старый формат больше не поддерживается; обновление подписей формата 4 прекращено в августе 2008 г.
Для перехода на новый формат и гибкой защиты сети с помощью системы IPS теперь необходимо загрузить еще один файл.
IOS-S###-CLI.pkg в котором хранятся зашифрованные текущие подписи и их параметры.
Число ### постоянно увеличивается, обновления необходимо постоянно скачивать.
Кстати, это можно сделать автоматически командой ip ips автообновление Далее вам необходимо установить на роутер ключ Cisco для расшифровки (вернее, проверки цифровой подписи) скачанного файла.
Мы делаем это: криптоключ pubkeychain rsa подпись с именованным ключом Realm-cisco.pub брелок 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 Б199АБКБ Д34ЭД0Ф9 085ФАДК1 359К189? Ф30АФ10А К0ЭФБ624 7?0764БФ 3?53053? 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 ФФБЕ85Б9 5?4189ФФ КК189КБ9 69К46Ф9К А84ДФБА5 7А0АФ99? АД768К36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001 покидать Эти команды можно просто ввести в режим Ро(конфигурация)# копировать вставить.
Ключ один и тот же для всех.
Желательно создать во флеше роутера отдельную папку для файлов IPS. Ro# mkdir flash:/IPS Туда нужно скопировать файл IOS-S###-CLI.pkg, а также указать, что в нем будут храниться необходимые для работы файлы Ro(config)# ip ips расположение конфигурации flash:/IPS/ Теперь осталось только установить туда эти самые нужные файлы.
Это делает хитрая команда Ro# копировать flash:/IPS/IOS-S###-CLI.pkg idconf Эта процедура займет значительное время (несколько минут), и вы сразу увидите результаты.
21 0 27 мая 2009 14:22:58 +04:00 IPS 22 8662169 27 мая 2009 г.
14:24:22 +04:00 IPS/IOS-S399-CLI.pkg 23 284871 28 мая 2009 г.
22:48:00 +04:00 IPS/ccmt-2811-sigdef-default.xml 24 255 27 мая 2009 г.
16:35:56 +04:00 IPS/ccmt-2811-sigdef-delta.xml 25 34761 28 мая 2009 г.
22:43:44 +04:00 IPS/ccmt-2811-sigdef-category.xml 26 304 27 мая 2009 г.
16:35:56 +04:00 IPS/ccmt-2811-seap-delta.xml 27 8509 28 мая 2009 г.
22:43:40 +04:00 IPS/ccmt-2811-sigdef-typedef.xml 28 491 27 мая 2009 г.
17:05:00 +04:00 IPS/ccmt-2811-seap-typedef.xml Эти XML-файлы содержат настройки по умолчанию, ваши изменения, параметры блокировки и т. д. Почти все.
Вам просто нужно создать правило и прикрепить его к интерфейсу, как это делалось раньше: ip ips имя IPS интервал f0/0 ip ips IPS {вход|выход} После этого подписи загрузятся в память и сразу начнут работать те, которые включены по умолчанию.
Помните, что сигнатур много, они съедают много памяти и процессора, поэтому Cisco настоятельно рекомендует сделать следующее.
1. Отключите категорию «Все подписи».
Ro(config)# ip ips подпись-категория Ro(config-ips-category)# категория все Ro(config-ips-category-action)# удалено true 2. Для начала включите категорию, предназначенную для iOS, причем в базовой версии Ro(config)# ip ips подпись-категория Ro(config-ips-category)# категория ios_ips Basic Ro(config-ips-category-action)# удалено false Ro(config-ips-category-action)# включено true Конфигурация обновляется после выхода обратно в режим (config)#.
3. Далее, следя за загрузкой памяти и процессора, можно добавить другие категории сигнатур.
Настройка самих подписей возможна либо через консоль из режима ip определение подписи ips и через SDM или более новый WEB-GUI — CCE (Cisco Configuration Expert) Параметры и механизм настройки сигнатур максимально приближены к настройке на датчиках, поэтому если у вас есть опыт настройки датчиков AIP-SSM, 42XX или IDMS2, вы можете смело приступать к делу.
Если у вас нет такого опыта, лучше прочтите про настройку подписей.
Или пройти курс IPS 6.0 :)
Продолжение следует.
Теги: #cisco #cisco #маршрутизатор #ips-
Игры Minecraft И Их Стратегии
19 Oct, 24 -
Shadowcloud — Универсальный Облачный Клиент
19 Oct, 24 -
Ян Мердок В Гостях У Спблуга
19 Oct, 24 -
Канобувости, 57 Выпуск
19 Oct, 24 -
Skype: Эксперимент С Телефонной Будкой
19 Oct, 24 -
Javascript-Кроссворды
19 Oct, 24
