Cisco ASA

Матеріал із Xgu.ru

Якщо ви вважаєте, що її варто було б допрацювати якнайшвидше, будь ласка, скажіть про це.

На цій сторінці описано налаштування IPS на Cisco ASA.

Зміст

[ред.] Загальна інформація

Хоча у модуля AIP-SSM є лише один sensing-інтерфейс, він все одно може аналізувати трафік в inline-режимі.

ASA відправляє пакети на аналіз AIP-SSM безпосередньо перед тим, як пакет вийде з вихідного інтерфейсу (або перед шифруванням, якщо воно налаштоване) і після того, як інші політики ASA були застосовані.

[ред.] Налаштування ASA для надсилання трафіку на аналіз IPS

ASA може надсилати трафік на аналіз AIP SSM у таких двох режимах:

  • Inline режим— у цьому режимі AIP SSM знаходиться безпосередньо на шляху трафіку. Якщо в ASA вказано, що трафік повинен бути на аналіз у модуль AIP SSM, то цей трафік не може пройти крізь ASA, поки він не пройде через модуль і не пройде перевірку в модулі. Цей режим є найбільш безпечним, оскільки трафік аналізує до того, як він потрапить у мережу і відповідно може бути заблокований. Однак, цей режим може впливати на пропускну здатність.
  • Promiscuous режим— у цьому режимі ASA надсилає копію трафіку на аналіз модулю AIP SSM. Цей режим є менш безпечним, але менш впливає на пропускну здатність. У цьому режимі AIP SSM може блокувати трафік проінструктувавши ASA: обірвати з'єднання або shun трафік. Крім того, в той час, як AIP SSM аналізує трафік, невелика його кількість може пройти крізь ASA до того, як він буде заблокований.

Порядок налаштування ASA для надсилання трафіку на аналіз AIP SSM:

  1. Налаштувати class-map, яка вказуватиме який трафіквідправляти на аналіз
  2. Налаштувати policy-map, яка вказуватиме в якому режимі буде аналізуватися трафік і як обробляти трафік у разі недоступності модуля
  3. Застосувати policy-map на інтерфейсі

[ред.] Налаштування class-map

Надіслати весь трафік на аналіз AIP SSM:

Надіслати на аналіз AIP SSM трафік призначений хосту 192.168.5.1:

[ред.] Налаштування policy-map

Налаштування policy-map TO_IPS

Параметри команди ips:

  • inline - аналіз трафіку в режимі inline
  • promiscuous - аналіз трафіку в режимі promiscuous
  • fail-close — якщо модуль недоступний, то трафіку, який мав бути відправлений на модуль,не дозволенопроходити через ASA
  • fail-open — якщо модуль недоступний, то трафіку, який мав бути відправлений на модуль, дозволено проходити через ASA.

[ред.] Відправка трафіку на кілька віртуальних сенсорів

Надсилання трафіку на кілька віртуальних сенсорів:

Інтерфейс сенсора має бути присвоєний vs0.

[ред.] Застосування policy-map

Застосування policy-map на інтерфейсі:

Параметри команди service-policy:

  • global - застосувати політику на всіх інтерфейсах
  • interface - застосувати політику на конкретному інтерфейсі

[ред.] Налаштування AIP-SSM

[ред.] Базові налаштування

Зайти на модуль з командного рядка ASA (за замовчуванням логін та пароль - cisco):

Перегляд інформації про інтерфейси (* напроти інтерфейсу означає, що це command and control interface):

[ред.] service

Параметри команди service:

  • analysis-engine,
  • anomaly-detection,
  • authentication,
  • event-action-rules,
  • host,
  • interface,
  • logger,
  • network-access,
  • notification,
  • signature-definition,
  • ssh-known-hosts,
  • trusted-certificates,
  • web-server

[ред.] Inline Bypass Mode

Функціональність inline bypass реалізована в операційній системі, а не на апаратному рівні. Тому якщо sensor відключений, inline bypass не працює — трафік не передається через sensor.

В ASA є режими fail-open і fail-close, які вказують, чи буде трафік, який повинен був аналізуватися IPS, проходити через ASA у випадку, якщо модуль не доступний.

Inline bypass працює на AIP-SSM за такими правилами:

  • Bypass Auto або Off— Якщо AIP-SSM вимкнений або reset, ASA дозволяє проходження трафіку або забороняє на підставі налаштованого режиму fail-open або fail-close;
  • Bypass Auto— Якщо в AIP-SSM зупиняється sensor (а сам модуль включений), ASA дозволяє проходити всьому трафіку незалежно від того, налаштований режим fail-open або fail-close;
  • Bypass Off— Якщо в AIP-SSM зупиняється sensor (а сам модуль увімкнений), ASA забороняє проходити всьому трафіку незалежно від того, налаштований режим fail-open або fail-close.

Налаштування режиму inline bypass:

[ред.] Віртуальний сенсор

Віртуальний сенсор (virtual sensor)— набір політик, які визначають як аналізуватиметься трафік.

В IPS 6.0 підтримує лише 4 віртуальні сенсори. Не можна видалити vs0, оскільки він використовується за умовчанням.

Створення нового віртуального сенсора:

[ред.] Політика

Політика складається з:

  • signature definition policy — за замовчуваннямsig0;
  • event action rules policy - за умовчаннямrules0;
  • anomaly detection policy - за умовчаннямad0.

[ред.] Оновлення ОС модуля

Оновлення модуля виконується з командного рядка ASA.

Налаштування параметрів оновлення:

Відстеження процесу оновлення модуля:

Запуск процедури оновлення:

[ред.] Перегляд інформації та debug

Відобразити повідомлення про control plane, що з'єднує ASA та SSM: