L'objectif de ce document est de vous montrer comment configurer le système de prévention des intrusions (IPS) sur les routeurs de la gamme RV34x.
Le système de prévention des intrusions analyse le trafic pour rechercher les modèles d'attaque connus à bloquer. Il surveille les paquets et les sessions lorsqu'ils traversent le routeur et analyse chaque paquet pour qu'il corresponde à l'une des signatures Cisco IPS. Lorsqu'il détecte une activité suspecte, il est conçu pour la consigner ou la bloquer. Il est important de mettre à jour les bases de données et les définitions IPS et Antivirus. Ils peuvent être mis à jour manuellement ou automatiquement.
Regardez ces vidéos sur Cisco Intrusion Prevention System :
Toutefois, le système IPS peut affecter les performances du routeur. En général, il n'a pas d'impact sur le débit total pour le trafic HTTP (Hypertext Transfer Protocol) et FTP (File Transfer Protocol), mais il peut réduire le nombre maximal de connexions simultanées de manière quelque peu spectaculaire.
Remarque importante : Si le routeur est actuellement soumis à une charge de travail importante, cela peut aggraver le problème.
Le tableau ci-dessous fournit les statistiques attendues sur les performances dans différentes configurations. Ces valeurs doivent servir de guide, car les performances réelles peuvent différer en raison d'un certain nombre de facteurs.
Connexions simultanées | Taux de connexion | Débit HTTP | Débit FTP | |
Paramètres par défaut | 40000 | 3000 | 982 Mo/s | 981 Mo/s |
Activer le contrôle APP | 15000-16000 | 1300 | 982 Mo/s | 981 Mo/s |
Activer Antivirus | 16000 | 1500 | 982 Mo/s | 981 Mo/s |
Activer IPS | 17000 | 1300 | 982 Mo/s | 981 Mo/s |
Activer App Control Antivirus et IPS | 15000-16000 | 1000 | 982 Mo/s | 981 Mo/s |
Les champs suivants sont définis comme suit :
Connexions simultanées - Nombre total de connexions simultanées. Par exemple, si vous téléchargez un fichier à partir d'un site, il s'agit d'une connexion, la diffusion audio en continu à partir de Spotify qui sera une autre connexion, ce qui fait qu'il y a deux connexions simultanées.
Taux de connexion - Nombre de demandes de connexion/seconde qu'il peut traiter.
Débit HTTP/FTP : les débits HTTP et FTP sont les débits de téléchargement en Mo/s.
Les licences de sécurité ont été mises à jour pour inclure la protection IPS en plus des applications existantes et du filtrage Web. Un compte Smart est requis pour disposer d'une licence de sécurité. Si vous n'avez pas encore de compte Smart actif, la section 1 de ce document sera requise.
Pour savoir comment configurer l'antivirus sur RV34x, cliquez ici.
· RV34x
· 1.0.03.x
2. Configuration du système de prévention des intrusions
3. Signatures du système de prévention des intrusions
4. Table des signatures du système de prévention des intrusions
5. État IPS
6. Mise à jour des définitions IPS
7. Conclusion
Si vous ne disposez pas d'un compte Smart actif, vous devrez suivre les étapes ci-dessous.
Si vous rencontrez des problèmes ou des problèmes lors de la configuration de votre compte Smart License, notre équipe d'assistance vous aidera à résoudre les problèmes potentiels et peut être atteinte par plusieurs méthodes. N'hésitez pas à utiliser votre méthode préférée pour atteindre.
· Communauté de routeurs : Communauté d'assistance Cisco Small Business
· FAQ sur la gamme RV34x : FAQ sur les routeurs de la gamme RV34x
· Présentation de la licence Smart : Licence logicielle Smart
· FAQ sur les licences Smart : FAQ sur les licences Smart et les comptes Smart pour les partenaires, les distributeurs et les clients
· Soumettre un dossier : Gestionnaire de dossiers d'assistance
· Numéro de téléphone : 1-866-606-1866 ou Contacts TAC pour PME
· E-mail de licence : licensing@cisco.com
Étape 1. Si vous avez récemment créé ou visité votre compte Cisco.com, un message vous invite à créer votre propre compte Smart License. Si ce n'est pas le cas, cliquez ici pour accéder à la page de création de compte Smart License. Vous devrez peut-être vous connecter.
Note: Pour plus d'informations sur les étapes de demande de votre compte Smart, cliquez ici.
Étape 2. Lors de l'achat d'une licence Smart pour un routeur, le fournisseur doit effectuer un processus qui déplace l'ID de licence unique vers votre compte Smart License. Vous trouverez ci-dessous un tableau des informations nécessaires à l'achat des offres groupées.
Note: IPS et antivirus font partie de la licence de sécurité utilisée pour le filtrage Web et le filtrage d'application.
Informations requises | Localisation des informations |
ID utilisateur Cisco.com | Situé dans votre profil de compte, ou cliquez ici. |
Nom du compte de licence Smart | Il est préférable de créer votre compte Smart avant d'acheter la licence. Il doit s'agir de l'étape 8 de l'article Création de compte de licence Smart. |
Référence de licence Smart | Code d'identification du produit du périphérique. Ex. RV340-K9-NA |
Note: Si vous avez acheté une licence et qu'elle n'apparaît pas dans votre compte virtuel, vous devez soit faire un suivi auprès du revendeur pour demander qu'il effectue le transfert, soit nous contacter.
Pour accélérer le processus, vous devez disposer de votre facture de licence, de votre numéro de commande Cisco et d'une capture d'écran de votre page de licence de compte Smart (à partager avec notre équipe).
Étape 3. Pour générer un jeton, accédez à votre compte Smart Software License. Cliquez ensuite sur Inventaire > Onglet Général. Cliquez sur le bouton Nouveau jeton....
Étape 4. Une fenêtre Créer un jeton d'enregistrement s'ouvre. Entrez une description, Expire après et Max. Nombre d'utilisations. Appuyez ensuite sur le bouton Créer un jeton.
Note: 30 jours pour Expire Après est recommandé.
Étape 5. Une fois le jeton généré, vous pouvez cliquer sur le lien Jeton (zone bleue avec une flèche blanche) à droite de votre jeton récemment créé.
Étape 6. Une fenêtre Token doit s'afficher avec le jeton complet que vous pouvez copier. Mettez le jeton en surbrillance, cliquez avec le bouton droit sur le jeton et cliquez sur Copier ou vous pouvez maintenir le bouton ctrl sur votre clavier et cliquez c en même temps pour copier le texte.
Étape 7. Une fois que vous avez copié votre jeton, vous devez vous connecter au périphérique et télécharger la clé de jeton. Connectez-vous à la page de configuration Web du routeur.
Étape 8. Accédez à Licence.
Étape 9. Si votre périphérique n'est pas enregistré, votre statut d'autorisation de licence sera répertorié en tant que mode d'évaluation. Collez le jeton (étape 6 de cette section) que vous avez généré à partir de la page Gestionnaire de licences Smart. Cliquez ensuite sur Register.
Note: Le processus d'inscription peut prendre un certain temps, veuillez attendre qu'il se termine.
Étape 10. Une fois le jeton enregistré, vous devez allouer la licence. Cliquez sur le bouton Choisir les licences.
Étape 11. La fenêtre Choisir des licences Smart doit apparaître. Vérifiez la licence de sécurité, puis appuyez sur Enregistrer et Autoriser.
Étape 12. Le statut de votre licence de sécurité doit être autorisé maintenant.
Vous devez maintenant pouvoir configurer le système de prévention des intrusions.
Étape 1. Si vous ne vous êtes pas encore connecté au routeur, connectez-vous à la page de configuration Web du routeur.
Étape 2. Accédez à Security > Threat/IPS > IPS.
Étape 3. Sélectionnez On pour activer la fonction Système de prévention des intrusions. Si vous souhaitez l'éteindre, sélectionnez Désactivé.
Nous allons sélectionner On dans cet exemple.
Étape 4. Sélectionnez Bloquer les attaques (Prévention) ou Enregistrer uniquement. Dans cet exemple, nous allons sélectionner Bloquer les attaques (Prévention). Les options suivantes sont définies ci-dessous.
· Bloquer les attaques (Prévention) : sélectionnez cette option pour bloquer toutes les attaques. Il enregistre également l'anomalie.
· Journal uniquement - Cette option génère le journal uniquement (avec les informations du client, l'ID de signature, etc.) lorsque les anomalies sont identifiées. Elle n'a pas d'impact sur la connexion.
Étape 5. Sélectionnez le niveau de sécurité IPS à utiliser. Les options suivantes sont définies comme suit :
· Connectivité - Ce mode détecte les attaques les plus critiques. Cette protection est minimale : seules les attaques à risque (de gravité élevée) sont détectées. Il s'agit de l'option la moins sécurisée.
· Équilibré - Le mode sélectionné détecte les attaques graves ainsi que les attaques critiques. Ceci fournit une protection moyenne : (gravité élevée + moyenne) sont inspectées, en transmettant des signatures à faible risque. Il s'agit d'une sécurité de niveau intermédiaire pour IPS.
· Sécurité - Le mode de sécurité détecte les attaques normales ainsi que les attaques graves et critiques. Cette protection est optimale : Toutes les règles (gravité élevée + moyenne + faible) sont inspectées. Il s'agit du niveau de sécurité le plus élevé pour IPS.
Note: Plus le niveau de sécurité choisi est élevé, plus les attaques sont surveillées, plus l'impact sur les performances du système est important.
Nous sélectionnerons Balancé pour cette démonstration.
Étape 6. Dans le champ Dernière mise à jour, la date et l'heure de la dernière signature mise à jour s'affichent.
Étape 7. La version du fichier affiche la version de signature utilisée.
Étape 8. Pour rechercher un ID de signature, saisissez l'ID de signature dans le champ Rechercher par l'ID de signature IPS et cliquez sur Rechercher pour vérifier si la signature est prise en charge ou non. Si l'ID de signature est pris en charge, le tableau est mis à jour avec le résultat suivant :
Note: Si l'ID de signature n'est pas pris en charge, rien n'apparaît dans le tableau.
Étape 9. Dans la table des signatures IPS, les champs suivants sont définis comme suit :
· Name - Nom de la signature.
· ID - Identificateur unique de la signature. Si vous cliquez sur l'ID, une fenêtre s'affiche pour vous permettre d'afficher les détails complets de la signature sélectionnée.
· gravité - Le niveau de gravité indique l'impact sur la sécurité.
· Catégorie - Catégorie à laquelle appartient la signature.
Étape 10. (Facultatif) Si vous avez cliqué sur l'ID de signature dans la table des signatures IPS, une fenêtre s'affiche pour vous afficher les détails complets de la signature sélectionnée.
Étape 11. En bas de la table des signatures IPS, sélectionnez les flèches ainsi que les numéros à parcourir dans la table. Vous pouvez également sélectionner le nombre de lignes (50, 100 ou 150) par page dans la liste déroulante lignes par page.
Étape 12. Cliquez sur Apply pour enregistrer vos modifications dans le fichier de configuration en cours.
Note: Toutes les configurations utilisées par le routeur se trouvent actuellement dans le fichier de configuration en cours, qui est volatile et qui n'est pas conservé entre les redémarrages. Afin de conserver votre configuration entre les redémarrages, copiez votre fichier de configuration en cours dans le fichier de configuration initiale.
Au cours des prochaines étapes, nous allons vous montrer comment copier votre configuration en cours dans la configuration de démarrage.
Étape 13. Cliquez sur l'icône Disquette (Enregistrer) en haut de la page. Cela vous redirigera vers la gestion de la configuration pour enregistrer votre configuration en cours dans la configuration de démarrage.
Étape 14. Dans la Gestion de la configuration, faites défiler jusqu'à la section Copier/Enregistrer la configuration. Vérifiez que la source est Configuration en cours et que la destination est Configuration de démarrage. Cliquez sur Apply. Le fichier de configuration en cours sera alors copié dans le fichier de configuration initiale pour conserver la configuration entre les redémarrages.
Étape 1. Accédez à Security > Threat/IPS > Status.
Étape 2. La page Status affiche les détails des menaces et des attaques lorsque les fonctions Anti Threat and IPS sont configurées. Le tableau de bord vous donne un aperçu de l'ensemble des événements, ainsi que des informations détaillées sur les menaces et les attaques détectées par sélection (jour, semaine et mois).
Étape 3. Cliquez sur l'onglet IPS. Les 10 principaux clients attaqués ainsi que les 10 principales attaques IPS s'affichent.
Vous pouvez mettre à jour la définition IPS manuellement ou automatiquement. Les étapes 1 à 2 vous indiquent comment mettre à jour manuellement la définition IPS tandis que les étapes 3 à 6 vous indiquent comment mettre à jour automatiquement la définition IPS.
Meilleure pratique : Il est recommandé de mettre à jour les signatures de sécurité automatiquement une fois par semaine.
Étape 1. Pour mettre à jour manuellement les définitions IPS, accédez à Administration > File Management.
Étape 2. Faites défiler jusqu'à la section Mise à niveau manuelle de la page Gestion des fichiers. Choisissez Signature File for File Type et cisco.com for Upgrade From. Appuyez ensuite sur Mise à niveau. Cette opération télécharge la dernière signature de sécurité et l'installe.
Étape 3. Pour mettre à jour automatiquement les définitions IPS, accédez à Configuration système > Mises à jour automatiques.
Étape 4. La page Mises à jour automatiques s'ouvre. Vous avez la possibilité de rechercher des mises à jour, que ce soit sur une base hebdomadaire ou mensuelle. Vous pouvez demander au routeur d'envoyer une notification par e-mail ou via l'interface utilisateur Web. Dans cet exemple, nous sélectionnerons pour vérifier chaque semaine.
Note: Il est recommandé de mettre à jour automatiquement les signatures de sécurité chaque semaine.
Étape 5. Faites défiler jusqu'à la section Mise à jour automatique et recherchez le champ Signature de sécurité. Dans la liste déroulante Mise à jour des signatures de sécurité, sélectionnez l'heure de mise à jour automatique. Dans cet exemple, nous allons sélectionner Immédiatement.
Étape 6. Cliquez sur Apply pour enregistrer les modifications apportées au fichier de configuration en cours.
Note: N'oubliez pas de cliquer sur l'icône Disquette en haut pour accéder à la page Gestion de la configuration pour copier votre fichier de configuration en cours dans le fichier de configuration initiale. Cela vous aidera à conserver vos configurations entre les redémarrages.
Vous devez maintenant avoir correctement configuré le système de prévention des intrusions sur le routeur de la gamme RV34x.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Mar-2019 |
Première publication |