Konfigurieren von Cisco IOS IPS mit einem Router und einem SDM

Download-Optionen

  • PDF     (919.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.5 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. Mai 2008
Dokument-ID:105627

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument beschreibt die Verwendung von Cisco Router und Security Device Manager (SDM) Version 2.5 zum Konfigurieren von Cisco IOS® Intrusion Prevention System (IPS) in Version 12.4(15)T3 und höheren Versionen.

Die Verbesserungen in SDM 2.5 für IOS IPS sind:

  • Gesamtzahl der kompilierten Signaturnummern, die in der GUI der Signaturliste angezeigt werden

  • SDM-Signaturdateien (ZIP-Dateiformat) z. B. sigv5-SDM-S307.zip) und CLI-Signaturpakete (pkg-Dateiformat; z. B. IOS-S313-CLI.pkg) zusammen in einem Vorgang heruntergeladen werden können.

  • Heruntergeladene Signaturpakete können optional automatisch an den Router gesendet werden.

Im Rahmen des ersten Bereitstellungsprozesses müssen folgende Aufgaben durchgeführt werden:

  1. SDM 2.5 herunterladen und installieren

  2. Verwenden Sie SDM Auto Update, um das IOS IPS-Signaturpaket auf einen lokalen PC herunterzuladen.

  3. Starten Sie den IPS-Richtlinienassistenten, um IOS IPS zu konfigurieren.

  4. Überprüfen des ordnungsgemäßen Ladens der IOS IPS-Konfiguration und -Signaturen

Cisco SDM ist ein webbasiertes Konfigurationstool, das die Router- und Sicherheitskonfiguration mithilfe intelligenter Assistenten vereinfacht. Mit diesen Assistenten können Kunden einen Cisco Router schnell und einfach bereitstellen, konfigurieren und überwachen, ohne dass Kenntnisse über die Kommandozeile erforderlich sind.

SDM Version 2.5 kann von Cisco.com unter http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm heruntergeladen werden (nur registrierte Kunden). Die Versionshinweise finden Sie unter http://www.cisco.com/en/US/docs/routers/access/cisco_router_and_security_device_manager/software/release/notes/SDMr.25.html

Hinweis: Cisco SDM erfordert eine Bildschirmauflösung von mindestens 1024 x 768.

Hinweis: Für Cisco SDM muss die Größe des Java-Arbeitsspeichers mindestens 256 MB betragen, um IOS IPS zu konfigurieren. Um die Heapgröße des Java-Speichers zu ändern, öffnen Sie das Java-Bedienfeld, klicken Sie auf die Registerkarte Java, klicken Sie auf Ansicht unter den Java-Applet-Laufzeiteinstellungen, und geben Sie -Xmx256m in die Spalte Java-Laufzeitparameter ein.

sdm_ios_ips_config_01.gif

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco IOS IPS ab Version 12.4(15)T3

  • Cisco Router and Security Device Manager (SDM) Version 2.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

Hinweis: Öffnen Sie eine Konsolen- oder Telnet-Sitzung mit dem Router (wobei "term monitor" aktiviert ist), um Nachrichten zu überwachen, wenn Sie mit SDM IOS IPS bereitstellen.

  1. Laden Sie SDM 2.5 von Cisco.com unter http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm herunter (nur registrierte Kunden), und installieren Sie es auf einem lokalen PC.

  2. Führen Sie SDM 2.5 vom lokalen PC aus.

  3. Wenn das Dialogfeld IOS IPS Login (IOS IPS-Anmeldung) angezeigt wird, geben Sie den Benutzernamen und das Kennwort ein, die Sie für die SDM-Authentifizierung des Routers verwenden.

    sdm_ios_ips_config_02.gif

  4. Klicken Sie in der SDM-Benutzeroberfläche auf Konfigurieren und dann auf Intrusion Prevention.

  5. Klicken Sie auf die Registerkarte Edit IPS (IPS bearbeiten).

  6. Wenn die SDEE-Benachrichtigung auf dem Router nicht aktiviert ist, klicken Sie auf OK, um die SDEE-Benachrichtigung zu aktivieren.

    sdm_ios_ips_config_03.gif

  7. Klicken Sie im Bereich Download Signaturdatei von Cisco.com auf der Registerkarte Edit IPS (IPS bearbeiten) auf das Optionsfeld Get the latest SDM file and CLI pkg (Aktuelle SDM-Datei und CLI pkg abrufen), und klicken Sie dann auf Browse (Durchsuchen), um ein Verzeichnis auf Ihrem lokalen PC auszuwählen, in dem die heruntergeladenen Dateien gespeichert werden sollen.

    Sie können das Stammverzeichnis des TFTP- oder FTP-Servers auswählen, das später verwendet wird, wenn Sie das Signaturpaket für den Router bereitstellen.

  8. Klicken Sie auf Download (Herunterladen).

    sdm_ios_ips_config_04.gif

  9. Wenn das Dialogfeld "CCO-Anmeldung" angezeigt wird, verwenden Sie Ihren CCO-Benutzernamen und Ihr Kennwort.

    sdm_ios_ips_config_05.gif

    SDM stellt eine Verbindung zu Cisco.com her und lädt sowohl die SDM-Datei (z. B. sigv5-SDM-S307.zip) als auch die CLI-Pkg-Datei (z. B. IOS-S313-CLI.pkg) in das in Schritt 7 ausgewählte Verzeichnis herunter.

    Nachdem beide Dateien heruntergeladen wurden, werden Sie von SDM aufgefordert, das heruntergeladene Signaturpaket auf den Router zu übertragen.

    sdm_ios_ips_config_06.gif

  10. Klicken Sie auf Nein, da IOS IPS noch nicht auf dem Router konfiguriert wurde.

  11. Nachdem SDM das neueste IOS CLI-Signaturpaket heruntergeladen hat, klicken Sie auf die Registerkarte Create IPS (IPS erstellen), um die erste IOS IPS-Konfiguration zu erstellen.

  12. Wenn Sie aufgefordert werden, Änderungen auf den Router anzuwenden, klicken Sie auf Änderungen übernehmen.

  13. Klicken Sie auf IPS-Regelassistent starten.

    Es wird ein Dialogfeld angezeigt, das Sie darüber informiert, dass SDM ein SDEE-Abonnement für den Router einrichten muss, um Warnungen abzurufen.

    sdm_ios_ips_config_07.gif

  14. Klicken Sie auf OK.

    Das Dialogfeld "Authentifizierung erforderlich" wird angezeigt.

    sdm_ios_ips_config_08.gif

  15. Geben Sie den Benutzernamen und das Kennwort ein, den Sie für die Authentifizierung von SDM am Router verwendet haben, und klicken Sie auf OK.

    Das Dialogfeld IPS Policies Wizard (IPS-Richtlinienassistent) wird angezeigt.

    sdm_ios_ips_config_09.gif

  16. Klicken Sie auf Weiter.

    sdm_ios_ips_config_10.gif

  17. Wählen Sie im Fenster "Ausgewählte Schnittstellen" die Schnittstelle und die Richtung aus, auf die das IOS IPS angewendet wird, und klicken Sie dann auf Weiter, um fortzufahren.

    sdm_ios_ips_config_12.gif

  18. Klicken Sie im Bereich Signaturdatei des Fensters Signaturdatei und Öffentlicher Schlüssel auf das Optionsfeld Signaturdatei angeben, die Sie mit IOS IPS verwenden möchten, und klicken Sie dann auf die Schaltfläche Signaturdatei (..), um den Speicherort der Signaturpaket-Datei anzugeben, die dem in Schritt 7 angegebenen Verzeichnis entspricht.

    sdm_ios_ips_config_11.gif

  19. Klicken Sie auf das Optionsfeld Signaturdatei mit URL angeben, und wählen Sie ein Protokoll aus der Dropdown-Liste Protokoll aus.

    Hinweis: In diesem Beispiel wird TFTP verwendet, um das Signaturpaket auf den Router herunterzuladen.

  20. Geben Sie den URL für die Signaturdatei ein, und klicken Sie auf OK.

  21. Geben Sie im Fenster Signaturdatei und öffentlicher Schlüssel im Bereich Configure Public Key (Öffentlichen Schlüssel konfigurieren) realm-cisco.pub im Feld Name ein, und kopieren Sie diesen öffentlichen Schlüssel, und fügen Sie ihn in das Feld Schlüssel ein.

    30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101

00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36

006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

F3020301 0001

    Hinweis: Dieser öffentliche Schlüssel kann von Cisco.com unter folgender Adresse heruntergeladen werden: http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup (nur registrierte Kunden).

  22. Klicken Sie auf Weiter, um fortzufahren.

    sdm_ios_ips_config_13.gif

  23. Klicken Sie im Fenster Config Location (Speicherort und Kategorie) auf die Schaltfläche Config Location (Speicherort der Konfiguration) (..), um einen Speicherort für die Signaturdefinition und Konfigurationsdateien anzugeben.

    Das Dialogfeld "Konfigurationsstandort hinzufügen" wird angezeigt.

    sdm_ios_ips_config_14.gif

  24. Klicken Sie im Dialogfeld Speicherort für Konfiguration hinzufügen auf das Optionsfeld Konfigurationsspeicherort für diesen Router angeben, und klicken Sie dann auf die Schaltfläche Verzeichnisname (...), um die Konfigurationsdatei zu suchen.

    Das Dialogfeld Ordner auswählen wird angezeigt, in dem Sie ein vorhandenes Verzeichnis auswählen oder im Router-Flash ein neues Verzeichnis erstellen können, in dem die Signaturdefinitions- und Konfigurationsdateien gespeichert werden.

    sdm_ios_ips_config_15.gif

  25. Klicken Sie oben im Dialogfeld auf Neues Verzeichnis, wenn Sie ein neues Verzeichnis erstellen möchten.

  26. Wenn Sie das Verzeichnis ausgewählt haben, klicken Sie auf OK, um die Änderungen zu übernehmen, und klicken Sie dann auf OK, um das Dialogfeld Speicherort für Konfig. hinzufügen zu schließen.

  27. Wählen Sie im Dialogfeld IPS Policies Wizard (IPS-Richtlinienassistent) die Signaturkategorie entsprechend der auf dem Router installierten Speicherkapazität aus. Sie können in SDM zwei Signaturkategorien auswählen: Einfach und Erweitert.

    Wenn auf dem Router 128 MB DRAM installiert sind, empfiehlt Cisco, die Kategorie "Basic" zu wählen, um Speicherzuweisungsfehler zu vermeiden. Wenn auf dem Router mindestens 256 MB DRAM installiert sind, können Sie eine der beiden Kategorien auswählen.

  28. Wenn Sie eine zu verwendende Kategorie ausgewählt haben, klicken Sie auf Weiter, um zur Übersichtsseite fortzufahren.

    Die Übersichtsseite bietet eine kurze Beschreibung der Aufgaben, die bei der Erstkonfiguration von IOS IPS durchgeführt werden.

    sdm_ios_ips_config_16.gif

  29. Klicken Sie auf der Übersichtsseite auf Fertig stellen, um die Konfigurationen und das Signaturpaket an den Router zu senden.

    Wenn die Option Preview-Befehle in den Einstellungen für Voreinstellungen in SDM aktiviert ist, zeigt SDM das Dialogfeld Deliver Configuration to Router (Konfiguration an Router bereitstellen) an, in dem eine Zusammenfassung der CLI-Befehle angezeigt wird, die vom SDM an den Router übermittelt werden.

    sdm_ios_ips_config_17.gif

  30. Klicken Sie auf Deliver, um fortzufahren.

    Das Dialogfeld "Commands Delivery Status" (Status der Zustellung von Befehlen) wird angezeigt und zeigt den Status der Zustellung von Befehlen an.

    sdm_ios_ips_config_18.gif

  31. Wenn die Befehle an den Router übermittelt werden, klicken Sie auf OK, um fortzufahren.

    Das Dialogfeld "IOS IPS-Konfigurationsstatus" zeigt an, dass die Signaturen auf den Router geladen werden.

    sdm_ios_ips_config_19.gif

  32. Beim Laden der Signaturen zeigt SDM die Registerkarte Edit IPS (IPS bearbeiten) mit der aktuellen Konfiguration an. Überprüfen Sie, welche Schnittstelle und in welche Richtung das IOS IPS aktiviert ist, um die Konfiguration zu überprüfen.

    sdm_ios_ips_config_20.gif

    Die Router-Konsole zeigt, dass die Signaturen geladen wurden.

    sdm_ios_ips_config_21.gif

  33. Verwenden Sie den Befehl show ip ips signature, um zu überprüfen, ob die Signaturen ordnungsgemäß geladen wurden.

    router#show ip ips signatures count
Cisco SDF release version S313.0
Trend SDF release version V0.0
|
snip
|
Total Signatures: 2158
 Total Enabled Signatures: 829
 Total Retired Signatures: 1572
 Total Compiled Signatures: 580
 Total Signatures with invalid parameters: 6
         Total Obsoleted Signatures: 11

    Die erste Bereitstellung von IOS IPS mit SDM 2.5 ist abgeschlossen.

  34. Überprüfen Sie die Signaturnummern mit SDM, wie in diesem Bild gezeigt.

    sdm_ios_ips_config_22.gif

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-May-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.