Cisco ASA/IPS

Материал из Xgu.ru

Эта статья находится в процессе написания.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

На этой странице описывается настройка IPS на Cisco ASA.

Содержание

1 Общая информация
2 Настройка ASA для отправки трафика на анализ IPS
3 Настройка AIP-SSM
4 Обновление ОС модуля
5 Просмотр информации и debug
6 Дополнительная информация

[править] Общая информация

Хотя у модуля AIP-SSM только один sensing-интерфейс, он всё равно может анализировать трафик в inline-режиме.

ASA отправляет пакеты на анализ AIP-SSM непосредственно перед тем как пакет выйдет из исходящего интерфейса (или перед шифрованием, если оно настроено) и после того как другие политики ASA были применены.

[править] Настройка ASA для отправки трафика на анализ IPS

ASA может отправлять трафик на анализ AIP SSM в таких двух режимах:

Inline режим — в этом режиме AIP SSM находится непосредственно на пути трафика. Если в ASA указано, что трафик должен быть на анализ в модуль AIP SSM, то этот трафик не может пройти сквозь ASA пока он не пройдет через модуль и не пройдет проверку в модуле. Этот режим наиболее безопасный, так как трафик анализирует до того как он попадет в сеть и соответственно может быть заблокирован. Однако этот режим может влиять на пропускную способность.
Promiscuous режим — в этом режиме ASA отправляет копию трафика на анализ модулю AIP SSM. Этот режим менее безопасный, но меньше влияет на пропускную способность. В этом режиме AIP SSM может блокировать трафик проинструктировав ASA: оборвать соединение или to shun трафик. Кроме того, в то время как AIP SSM анализирует трафик, небольшое его количество может пройти сквозь ASA до того как он будет заблокирован.

Порядок настройки ASA для отправки трафика на анализ AIP SSM:

Настроить class-map, которая будет указывать какой трафик отправлять на анализ
Настроить policy-map, которая будет указывать в каком режиме будет анализироваться трафик и как обрабатывать трафик в случае недоступности модуля
Применить policy-map на интерфейсе

[править] Настройка class-map

Отправить весь трафик на анализ AIP SSM:

ASA(config)# class-map IPS
ASA(config-cmap)# match any

Отправить на анализ AIP SSM трафик предназначенный хосту 192.168.5.1:

ASA(config)# access list IPS_ACL extended permit ip any 192.168.5.1 255.255.255.255
ASA(config)# class-map IPS
ASA(config-cmap)# match access-list IPS_ACL

[править] Настройка policy-map

Настройка policy-map TO_IPS

ASA(config)# policy-map TO_IPS
ASA(config-pmap)# class IPS
ASA(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}

Параметры команды ips:

inline — анализ трафика в режиме inline
promiscuous — анализ трафика в режиме promiscuous
fail-close — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, не разрешено проходить через ASA
fail-open — если модуль недоступен, то трафику, который должен был быть отправлен на модуль, разрешено проходить через ASA

[править] Отправка трафика на несколько виртуальных сенсоров

Отправка трафика на несколько виртуальных сенсоров:

ASA(config)# policy-map TO_IPS
ASA(config-pmap)# class IPS_1
ASA(config-pmap-c)# ips inline fail-close sensor vs1
ASA(config-pmap)# class IPS_2
ASA(config-pmap-c)# ips inline fail-close sensor vs2

Интерфейс сенсора должен быть присвоен vs0.

[править] Применение policy-map

Применение policy-map на интерфейсе:

ASA(config-pmap-c)# service-policy TO_IPS [global | interface <имя интерфейса>]

Параметры команды service-policy:

global — применить политику на всех интерфейсах
interface — применить политику на конкретном интерфейсе

[править] Настройка AIP-SSM

[править] Базовые настройки

Зайти на модуль из командной строки ASA (по умолчанию логин и пароль — cisco):

ASA(config)# session 1

Инициализация:

sensor# setup

Просмотр информации об интерфейсах (* напротив интерфейса значит, что это command and control interface):

sensor# sh interfaces brief   
CC   Interface            Sensing State   Link   Inline Mode   Pair Status   
*    GigabitEthernet0/0   Disabled        Down                               
     GigabitEthernet0/1   Enabled         Up     Unpaired      N/A

[править] service

sensor(config)# service <service-name>
sensor(config-ser)#

Параметры команды service:

analysis-engine,
anomaly-detection,
authentication,
event-action-rules,
host,
interface,
logger,
network-access,
notification,
signature-definition,
ssh-known-hosts,
trusted-certificates,
web-server

[править] Inline Bypass Mode

Функциональность inline bypass реализована в в операционной системе, а не на аппаратном уровне. Поэтому, если sensor отключен, inline bypass не работает — трафик не передается через sensor.

В ASA есть режимы fail-open и fail-close, которые указывают будет ли трафик, который должен был анализироваться IPS, проходить через ASA в случае, если модуль не доступен.

Inline bypass работает на AIP-SSM по таким правилам:

Bypass Auto или Off — Если AIP-SSM выключен или reset, ASA разрешает прохождение трафика или запрещает на основании настроенного режима fail-open или fail-close;
Bypass Auto — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA разрешает проходить всему трафику независимо от того настроен режим fail-open или fail-close;
Bypass Off — Если в AIP-SSM останавливается sensor (а сам модуль включен), ASA запрещает проходить всему трафику независимо от того настроен режим fail-open или fail-close.

Настройка режима inline bypass:

sensor(config)# service interface   
sensor(config-int)# bypass-mode <off | on | auto>

Просмотр настроек:

sensor(config-int)# sh settings
.........
   command-control: GigabitEthernet0/0 <protected>
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>

[править] Виртуальный сенсор

Виртуальный сенсор (virtual sensor) — набор политик, которые определяют как будет анализироваться трафик.

В IPS 6.0 поддерживает только 4 виртуальных сенсора. Нельзя удалить vs0, так как он используется по умолчанию.

Создание нового виртуального сенсора:

sensor(config)# service analysis-engine   
sensor(config-ana)# virtual-sensor <name>

[править] Политика

Политика состоит из:

signature definition policy — по умолчанию sig0;
event action rules policy — по умолчанию rules0;
anomaly detection policy — по умолчанию ad0.

[править] Обновление ОС модуля

Обновление ОС модуля выполняется из командной строки ASA.

Настройка параметров обновления:

hw-module module 1 recovery configure

Отслеживание процесса обновления модуля:

debug module-boot

Запуск процедуры обновления:

hw-module module 1 recovery boot

[править] Просмотр информации и debug

Отобразить сообщения о control plane, которая соединяет ASA и SSM:

debug cplane

[править] Дополнительная информация

Инициализация AIP-SSM

Cisco

Устройства	Cisco 871 \| Cisco Router \| Cisco IPS \| Cisco ASA \| PIX \| Dynamips

Безопасность (коммутаторы и маршрутизаторы)	Cisco Security \| Port security \| DHCP snooping \| Dynamic ARP Protection \| IP Source Guard \| Аутентификация при доступе к сети \| Zone-Based Policy Firewall \| Cisco NAT \| NAT в Cisco
Cisco ASA	Cisco ASA/NAT \| Cisco ASA/Troubleshooting \| Cisco ASA/IPS \| Cisco ASA failover \| Cisco ASA/Transparent firewall \| Cisco ASA/WebVPN \| Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) \| Центр сертификатов на Cisco ASA

VPN	IPsec в Cisco \| Настройка DMVPN на маршрутизаторах Cisco \| Cisco Easy VPN \| Cisco Web VPN \| Cisco ipsec preshared

Канальный уровень	CDP \| VLAN в Cisco \| ISL \| VTP \| STP в Cisco \| Cisco Express Forwarding \| Агрегирование каналов \| Зеркалирование трафика
Сетевой уровень	Маршрутизация в Cisco \| RIP \| EIGRP \| IS-IS \| OSPF в Cisco \| BGP в Cisco \| PIM в Cisco \| Multicast в Cisco \| GLBP \| VRRP в Cisco \| HSRP в Cisco \| DHCP \| IPv6 в Cisco \| Cisco IPv6 IPv4
Разное	Режим ROMMON в Cisco \| Опция 82 DHCP \| 802.1X и RADIUS \| SNMP в Cisco \| QoS в Cisco e