Cisco IPS
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Содержание
[править] Базовые настройки
В global configuration mode можно настроить:
[править] Инициализация сенсора
[править] Конфигурационные файлы
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
Создать backup конфигурационного файла:
Перезаписать текущую конфигурацию backup конфигурацией:
[править] Режим service
Параметры команды service:
Восстановить настройки сервиса в настройки по умолчанию:
[править] service host
[править] service interface
[править] service logger
[править] service network-access
[править] service notification
[править] service signature-definition
[править] Пользователи
Пользователю может быть присвоена одна из таких ролей:
[править] Просмотр настроек
Команда show settings показывает настройки актуальные для текущего режима.
[править] Интерфейсы
[править] Monitoring
Monitoring интерфейс может работать в одном из четырёх режимов:
В режиме inline interface:
Inline VLAN pair mode:
[править] Виртуальный сенсор
[править] Сигнатуры
Cisco IPS поддерживает такие виды сигнатур:
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
[править] Risk Rating System
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
Курс молодого бойца: защищаемся маршрутизатором. Продолжение: IPS
Система предотвращения вторжений (Intrusion Prevention System, IPS).
Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.
Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.
«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.
Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Первая система IDS (Intrusion Detection System) была внедрена на маршрутизаторах с IOS 12.2.8T с firewall feature set. Тогда это были 26ХХ и 36ХХ маршрутизаторы. Система представляла собой несколько десятков (максимум 105) сигнатур. Их можно было только отключить или задать работу не для всего трафика.
Эта система включалась командами
ip audit name IDS attack action
ip audit name IDS info action
Это была вещь в себе. Ни гибкой настройки, ни апдейтов, ни понятия о том, что же там в сигнатурах.
Следующий шаг был сделан с внедрением отдельного файла signature definition. Это спец.файл загружался на маршрутизатор, на него указывали в настройке, в нем хранились все сигнатуры и их параметры. Настраивалась эта конструкция так:
ip ips sdf location flash:
файл подбирается исходя из количества оперативной памяти на маршрутизаторе. Самый большой файл — 256MB.sdf — содержал более 1500 сигнатур и требовал минимум 256 мегабайт оперативной памяти
int f0/0
ip ips IPS
После привешивания на интерфейс правила IPS циска подгружала в память сигнатуры из файла и давала возможность их настроить как через консоль, так и через web-GUI (кстати, GUI, называемый Security Device Manager, SDM, весьма удобен при настройке IPS)
Для обратной совместимости в IOSах (до 12.4.Т(11)) оставались и встроенные сигнатуры. При использовании внешнего файла их рекомендовалось отключать
no ip ips sdf builtin
Можно было потребовать, чтобы трафик блокировался в случае, если невозможно подгрузить файл sdf или произошёл сбой подсистемы IPS
ip ips fail close
Но формат сигнатур тут был такой же, как и в сенсорах IPS версии 4. Этот формат не позволял глубже анализировать трафик и отсекать новые хитрые атаки. На самих IPS сенсорах уже появился к тому времени новый формат — 5, в котором можно настраивать накопительные параметры риска атаки (Risk Rating), создавать зоны более пристального внимания (Target Value Rating) и многое другое.
Поэтому с версии 12.4.Т(11) старый формат более не поддерживается, обновления сигнатур формата 4 прекратились в августе 2008.
Чтобы перейти на новый формат и гибко защитить сеть при помощи системы IPS надо теперь грузить другой файл
IOS-S###-CLI.pkg
в котором хранятся зашифрованные актуальные сигнатуры и их параметры. Номер ### постоянно увеличивается, обновления надо постоянно подгружать. К слову, это можно сделать автоматически командой
ip ips auto-update
Далее, надо установить на маршрутизатор ключ компании cisco для расшифровывания (а вернее, проверки цифровой подписи) выкачанного файла
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
Эти команды можно просто вколотить в режим
Ro(config)#
копипастом. Ключ один для всех.
Желательно создать во флеше маршрутизатора отдельную папку для файлов IPS
Ro# mkdir flash:/IPS
Туда надо скопировать файл IOS-S###-CLI.pkg, а также указать, что в ней будут храниться нужные для работы файлы
Ro(config)# ip ips config location flash:/IPS/
Теперь осталось эти самые нужные файлы туда установить. Делается это хитрой командой
Ro# copy flash:/IPS/IOS-S###-CLI.pkg idconf
Эта процедура займет существенное время (несколько минут) и в результаты вы увидите во флеше
21 0 May 27 2009 14:22:58 +04:00 IPS
22 8662169 May 27 2009 14:24:22 +04:00 IPS/IOS-S399-CLI.pkg
23 284871 May 28 2009 22:48:00 +04:00 IPS/ccmt-2811-sigdef-default.xml
24 255 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-sigdef-delta.xml
25 34761 May 28 2009 22:43:44 +04:00 IPS/ccmt-2811-sigdef-category.xml
26 304 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-seap-delta.xml
27 8509 May 28 2009 22:43:40 +04:00 IPS/ccmt-2811-sigdef-typedef.xml
28 491 May 27 2009 17:05:00 +04:00 IPS/ccmt-2811-seap-typedef.xml
Эти xml файлы содержат дефолтные настройки, ваши изменения, параметры блокировки и т.д.
int f0/0
ip ips IPS
После этого произойдёт подгрузка в память сигнатур и те из них, которые по умолчанию включены, сразу примутся за работу.
Помните, что сигнатур много, они кушают много памяти и процессора, поэтому циска настоятельно рекомендует сделать следующее.
1. Отключить категорию сигнатур all
Ro(config)# ip ips signature-category
Ro(config-ips-category)# category all
Ro(config-ips-category-action)# retired true
2. Включить для начала категорию, рассчитанную на IOS, причём в базовом исполнении
Ro(config)# ip ips signature-category
Ro(config-ips-category)# category ios_ips basic
Ro(config-ips-category-action)# retired false
Ro(config-ips-category-action)# enabled true
Конфиг актуализируется после выхода обратно в режим (config)#
3. Далее, следя за памятью и загрузкой процессора, можно добавлять и другие категории сигнатур. Настройка самих сигнатур возможна как через консоль из режима
ip ips signature-definition
так и через SDM или более новый WEB-GUI — ССE (Cisco Configuration Expert)
Параметры и механизм настройки сигнатур максимально приближен к настройке на сенсорах, поэтому если вы имеете опыт настройки AIP-SSM, сенсоров 42ХХ или IDMS2, можете смело браться за дело. Если такого опыта нет, лучше почитать о настройке сигнатур. Или сходить на курс IPS 6.0 🙂
Secure IPS (NGIPS)
Высокая производительность. Отказоустойчивость. Повышение безопасности операций.
Связаться с Cisco
Всесторонняя согласованная защита
По мере развития техники кибератак для обеспечения комплексной защиты сети требуется непревзойденный уровень интеллектуального контроля, охватывающего угрозы всех видов. А для исполнения различных организационных обязанностей и проведения мероприятий необходим согласованный механизм обеспечения безопасности. Ужесточающиеся эксплуатационные требования предполагают новый подход к специализированной системе Secure IPS, позволяющий обеспечить повышенный уровень безопасности и контроля для предприятия.
Знакомьтесь— Cisco SecureX
Если ваши сотрудники тратят слишком много времени на интеграцию решений от разных поставщиков, подумайте о переходе на платформу SecureX, действительно наделенную возможностями интеграции, которая упростит обеспечение безопасности и повысит ее уровень.
Характеристики и преимущества Secure IPS
Мониторинг
Firepower Management Center позволяет просматривать больше контекстных данных из сети и точно настраивать механизмы поддержания безопасности. Просматривайте приложения, признаки компрометации, профили хостов, траекторию файлов, изолированную программную среду, информацию об уязвимостях и обеспечивайте прозрачность ОС на уровне устройств. Используйте эти входные данные для оптимизации безопасности с помощью рекомендаций по политикам или настроек Snort.
Эффективность
Secure IPS получает новые правила политики и сигнатуры каждые два часа, что обеспечивает актуальность системы безопасности в любое время. Cisco Talos использует крупнейшую в мире сеть обнаружения угроз, чтобы повысить эффективность каждого решения Cisco для обеспечения безопасности. Эта ведущая в отрасли аналитика угроз работает как система раннего предупреждения, которая постоянно обновляется с учетом новых угроз.
Эксплуатационные расходы
Используйте автоматизацию на основе Secure IPS, чтобы повысить эксплуатационную эффективность и снизить накладные расходы, отделяя события, требующие внимания и дальнейших действий, от событий, которые можно игнорировать. Определите приоритеты угроз для персонала и повысьте уровень безопасности с помощью рекомендаций по политике, основанных на сетевых уязвимостях. Получайте информацию об активации и деактивации правил, а также фильтруйте события, относящиеся к устройствам в вашей сети.
Гибкость
Гибкие варианты развертывания Cisco Secure IPS отвечают потребностям предприятия. Платформу можно развернуть на периметре, в распределении/ядре центров обработки данных или за межсетевым экраном, чтобы защитить критически важные ресурсы, гостевой доступ и подключения к глобальной сети. Secure IPS можно развернуть для встроенной проверки или пассивного обнаружения.
Интеграция
Secure IPS подключается к сети без существенных аппаратных изменений, не требуя значительного времени для внедрения. Из одной панели с помощью Firepower Management Center можно включать и управлять несколькими приложениями безопасности. Легко переключайтесь между системами Secure IPS, Secure Firewall и Secure Endpoint, чтобы оптимизировать обеспечение безопасности и получать сторонние данные через Cisco Threat Intelligence Director.
Высокопроизводительные устройства
Устройства Cisco Firepower (серий 4100 и 9000) специально созданы для обеспечения необходимой пропускной способности, поддержки модульной концепции и масштабируемости операторского класса. У них однопроходная конструкция с низкой задержкой и интерфейсы Fail-to-wire.
Выбор оптимального решения Secure IPS
Система Cisco Secure IPS доступна на многих моделях устройств как в физическом, так и в виртуальном формате. Выберите лучший вариант исходя из своих условий использования и необходимой пропускной способности.
Firepower серии 1000
Firepower серии 2100
Firepower серии 4100
Firepower серии 9000
Secure IPSv для VMware
Firepower Threat Defense для ISR
Secure IPS обеспечивает превосходную защиту от угроз
Cisco IPS
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Содержание
[править] Базовые настройки
В global configuration mode можно настроить:
[править] Инициализация сенсора
[править] Конфигурационные файлы
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
Создать backup конфигурационного файла:
Перезаписать текущую конфигурацию backup конфигурацией:
[править] Режим service
Параметры команды service:
Восстановить настройки сервиса в настройки по умолчанию:
[править] service host
[править] service interface
[править] service logger
[править] service network-access
[править] service notification
[править] service signature-definition
[править] Пользователи
Пользователю может быть присвоена одна из таких ролей:
[править] Просмотр настроек
Команда show settings показывает настройки актуальные для текущего режима.
[править] Интерфейсы
[править] Monitoring
Monitoring интерфейс может работать в одном из четырёх режимов:
В режиме inline interface:
Inline VLAN pair mode:
[править] Виртуальный сенсор
[править] Сигнатуры
Cisco IPS поддерживает такие виды сигнатур:
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
[править] Risk Rating System
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
Cisco IPS
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Содержание
[править] Базовые настройки
В global configuration mode можно настроить:
[править] Инициализация сенсора
[править] Конфигурационные файлы
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
Создать backup конфигурационного файла:
Перезаписать текущую конфигурацию backup конфигурацией:
[править] Режим service
Параметры команды service:
Восстановить настройки сервиса в настройки по умолчанию:
[править] service host
[править] service interface
[править] service logger
[править] service network-access
[править] service notification
[править] service signature-definition
[править] Пользователи
Пользователю может быть присвоена одна из таких ролей:
[править] Просмотр настроек
Команда show settings показывает настройки актуальные для текущего режима.
[править] Интерфейсы
[править] Monitoring
Monitoring интерфейс может работать в одном из четырёх режимов:
В режиме inline interface:
Inline VLAN pair mode:
[править] Виртуальный сенсор
[править] Сигнатуры
Cisco IPS поддерживает такие виды сигнатур:
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
[править] Risk Rating System
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
