IPS 6.X und höher/IDSM2: Modus für Inline-Schnittstellenpaare mit IDM-Konfigurationsbeispiel

Download-Optionen

  • PDF     (269.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:23. Oktober 2009
Dokument-ID:107540

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Beim Betrieb im Inline-Schnittstellenpaar-Modus wird das Intrusion Prevention System (IPS) direkt in den Datenverkehrsfluss integriert. Dies wirkt sich auf die Paketweiterleitungsraten aus, wodurch diese bei Hinzufügung von Latenz langsamer werden. Auf diese Weise kann der Sensor Angriffe stoppen und schädlichen Datenverkehr verwerfen, bevor er das gewünschte Ziel erreicht. Auf diese Weise bietet er einen Schutzdienst. Das Inline-Gerät verarbeitet nicht nur Informationen auf den Layern 3 und 4, sondern analysiert auch Inhalt und Nutzlast der Pakete für komplexere Embedded-Angriffe (Layer 3 bis 7). Diese tiefer gehende Analyse ermöglicht es dem System, Angriffe zu identifizieren und zu stoppen bzw. zu blockieren, die normalerweise ein herkömmliches Firewall-Gerät passieren.

Im Inline Interface Pair-Modus gelangt ein Paket über die erste Schnittstelle des Paars auf dem Sensor und über die zweite Schnittstelle des Paars. Das Paket wird an die zweite Schnittstelle des Paars gesendet, es sei denn, dieses Paket wird abgelehnt oder durch eine Signatur geändert.

Hinweis: Sie können AIM-IPS und AIP-SSM für den Inline-Betrieb konfigurieren, auch wenn diese Module nur über eine Sensorschnittstelle verfügen.

Hinweis: Wenn die gepaarten Schnittstellen mit demselben Switch verbunden sind, sollten Sie sie auf dem Switch als Access-Ports mit unterschiedlichen Zugangs-VLANs für die beiden Ports konfigurieren. Andernfalls fließt der Datenverkehr nicht über die Inline-Schnittstelle.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco IPS Sensor, der die Befehlszeilenschnittstelle 6.0 und den Intrusion Prevention System Device Manager (IDM) 6.0 verwendet.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Die Informationen in diesem Dokument gelten auch für das Dienstmodul des Intrusion Detection System (IDSM-2).

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfiguration der Inline-Schnittstellenpaare

Verwenden Sie den Befehl inline-interfaces name im Dienstschnittstellen-Submodus, um Inline-Schnittstellenpaare zu erstellen.

Hinweis: Verwenden Sie das Command Lookup Tool, also das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Hinweis: AIP-SSM wird für den Inline-Schnittstellenmodus über die Cisco ASA CLI und nicht über die Cisco IPS CLI konfiguriert.

Diese Optionen gelten für:

  • inline-interfaces name - Name des logischen Inline-Schnittstellenpaars

    Hinweis: An allen Rückwandplatinen-Sensorschnittstellen aller Module (IDSM-2 NM-CIDS und AIP-SSM) ist admin-state auf enabled und protected gesetzt (Sie können die Einstellung nicht ändern). Der admin-state hat keine Auswirkungen (und ist geschützt) auf die Command-and-Control-Schnittstelle. Es betrifft nur Sensorschnittstellen. Die Command-and-Control-Schnittstelle muss nicht aktiviert werden, da sie nicht überwacht werden kann.

  • default: Setzt den Wert auf die Standardeinstellung des Systems zurück

  • description: Ihre Beschreibung des Inline-Schnittstellenpaars

  • interface1 interface_name: Die erste Schnittstelle im Inline-Schnittstellenpaar

  • interface2 interface_name: Die zweite Schnittstelle im Inline-Schnittstellenpaar

  • no (Nein) - Entfernt eine Eintrag- oder Auswahleinstellung.

  • admin-state {enabled | disabled (Deaktiviert): Der administrative Verbindungsstatus der Schnittstelle, unabhängig davon, ob die Schnittstelle aktiviert oder deaktiviert ist.

CLI-Konfiguration

Gehen Sie wie folgt vor, um die Inline-VLAN-Paareinstellungen auf dem Sensor zu konfigurieren:

  1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

  2. Öffnen Sie den Schnittstellen-Submodus:

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. Überprüfen Sie, ob Inline-Schnittstellen vorhanden sind. Der Subschnittstellentyp sollte "none" lauten, wenn keine Inline-Schnittstellen konfiguriert wurden:

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. Nennen Sie das Inline-Paar:

    sensor(config-int)#inline-interfaces PAIR1

  5. Liste der verfügbaren Schnittstellen anzeigen:

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. Konfigurieren Sie zwei Schnittstellen zu einem Paar: 

    sensor(config-int)#interface1 GigabitEthernet0/0

    sensor(config-int-inl)#interface2 GigabitEthernet0/1

    Sie müssen die Schnittstelle einem virtuellen Sensor zuweisen und aktivieren, bevor sie den Datenverkehr überwachen kann. Weitere Informationen finden Sie in Schritt 10.

  7. Fügen Sie eine Beschreibung dieser Schnittstelle hinzu:

    sensor(config-int-phy)#description PAIR1 Gig0/0 and Gig0/1

  8. Wiederholen Sie die Schritte 4 bis 7 für alle anderen Schnittstellen, die Sie für Inline-Schnittstellenpaare konfigurieren möchten.

  9. Überprüfen Sie die Einstellungen: 

    sensor(config-int-inl)#show settings
   name: PAIR1
   -----------------------------------------------
      description: PAIR1 Gig0/0 & Gig0/1 default:
      interface1: GigabitEthernet0/0
      interface2: GigabitEthernet0/1
   -----------------------------------------------

  10. Aktivieren Sie die Schnittstellen, die dem Schnittstellenpaar zugewiesen sind: 

    sensor(config-int)#exit
sensor(config-int)#physical-interfaces GigabitEthernet0/0
sensor(config-int-phy)#admin-state enabled
sensor(config-int-phy)#exit
sensor(config-int)#physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)#admin-state enabled
sensor(config-int-phy)#exit
sensor(config-int)#

  11. Überprüfen Sie, ob die Schnittstellen aktiviert sind: 

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 5)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: enabled default: disabled
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/1
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: enabled default: disabled
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
--MORE--

  12. Führen Sie diesen Befehl aus, um ein Inline-Schnittstellenpaar zu löschen und die Schnittstellen in den Promiscuous-Modus zurückzuversetzen: 

    sensor(config-int)#no inline-interfaces PAIR1

    Sie müssen auch das Inline-Schnittstellenpaar von dem virtuellen Sensor löschen, dem es zugewiesen ist.

  13. Überprüfen Sie, ob das Inline-Schnittstellenpaar gelöscht wurde: 

    sensor(config-int)#show settings
  -----------------------------------------------
  command-control: Management0/0 <protected>
  inline-interfaces (min: 0, max: 999999999, current: 0)
  -----------------------------------------------
  -----------------------------------------------
  bypass-mode: auto <defaulted>
  interface-notifications
  -----------------------------------------------

  14. Schnittstellenkonfigurations-Untermodus beenden: 

    sensor(config-int)#exit
Apply Changes:?[yes]:

  15. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

IDM-Konfiguration

Führen Sie die folgenden Schritte aus, um die Inline-VLAN-Paareinstellungen auf dem Sensor mithilfe von IDM zu konfigurieren:

  1. Öffnen Sie Ihren Browser, und geben Sie https://<Management_IP_Address_of_IPS> ein, um auf IDM auf dem IPS zuzugreifen.

  2. Klicken Sie auf IDM Launcher herunterladen und IDM starten, um das Installationsprogramm für die Anwendung herunterzuladen.

  3. Rufen Sie die Startseite auf, um Geräteinformationen wie Hostname, IP-Adresse, Version und Modell anzuzeigen.

    ips5x-inline-mode-config-01.gif

  4. Gehen Sie zu Configuration > Sensor Setup, und klicken Sie auf Network. Hier können Sie den Hostnamen, die IP-Adresse und die Standardroute angeben.

    ips5x-inline-mode-config-02.gif

  5. Gehen Sie zu Konfiguration > Schnittstellenkonfiguration, und klicken Sie auf Übersicht.

    Auf dieser Seite wird die Konfigurationsübersicht der Sensorschnittstelle angezeigt:

    ips5x-inline-mode-config-03.gif

  6. Gehen Sie zu Configuration > Interface Configuration > Interfaces, und wählen Sie den Schnittstellennamen aus. Klicken Sie anschließend auf Enable (Aktivieren), um die Sensorschnittstelle zu aktivieren. Konfigurieren Sie außerdem die Duplex-, Geschwindigkeits- und VLAN-Informationen.

    ips5x-inline-mode-config-04.gif

  7. Gehen Sie zu Konfiguration > Schnittstellenkonfiguration > Schnittstellenpaare, und klicken Sie auf Hinzufügen, um das Inline-Paar zu erstellen.

    ips5x-inline-mode-config-05.gif

  8. Zeigen Sie die Zusammenfassung der Inline-Paar-Konfiguration an, und wenden Sie sie an.

    ips5x-inline-mode-config-06.gif

  9. Gehen Sie zu Konfiguration > Analysis Engine > Virtueller Sensor, und klicken Sie auf Bearbeiten, um den neuen virtuellen Sensor zu erstellen.

    ips5x-inline-mode-config-07.gif

  10. Weisen Sie das Inline-Paar INLINE dem virtuellen Sensor vs0 zu.

    ips5x-inline-mode-config-08.gif

  11. Zeigen Sie die Zusammenfassung der zugewiesenen virtuellen Sensordaten an.

    ips5x-inline-mode-config-09.gif

Konfigurieren des Switches für IDSM-2 im Inline-Modus

Weitere Informationen zur Konfiguration des Switches für den IDSM-2 Inline-Modus finden Sie im Abschnitt Configuring the Catalyst Series 6500 Switch for IDSM-2 im Abschnitt Configuring IDSM-2 (Konfigurieren des Switch für den IDSM-2 Inline-Modus).

Fehlerbehebung

Problem

Wenn das IPS ausfällt und inline konfiguriert wird, schlagen die Schnittstellen beim Öffnen (der Datenverkehr bleibt bestehen) oder beim Schließen (der Datenverkehr wird verworfen) fehl.

Lösung

Sie können IPS im Fail-Open-Status konfigurieren. Wenn das IPS ausfällt, wird der Datenverkehr zwar weitergeleitet, aber nicht überwacht.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
01-Jul-2008
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.