IPS 6.X en hoger/IDSM2: inline interfaceparen met IDM Configuration Voorbeeld
Inhoud
Inleiding
In de modus Inline interfacepaar wordt het Inbraakpreventiesysteem (IPS) rechtstreeks in de verkeersstroom gezet en is van invloed op pakketdoorstuursnelheden, waardoor ze langzamer worden wanneer latentie wordt toegevoegd. Dit stelt de sensor in staat om aanvallen te stoppen zodat het kwaadaardig verkeer laat vallen voordat het het beoogde doel bereikt, dus het biedt een beschermende dienst. Niet alleen is de inline apparaatverwerking informatie over Lagen 3 en 4, maar het analyseert ook de inhoud en de lading van de pakketten voor meer geavanceerde ingebedde aanvallen (Lagen 3 tot 7). Deze diepere analyse laat het systeem aanvallen identificeren en tegenhouden en/of blokkeren die normaal door een traditioneel firewallapparaat overgaan.
In de modus Inline interfacepaar komt een pakket binnen via de eerste interface van het paar op de sensor en uit de tweede interface van het paar. Het pakket wordt verzonden naar de tweede interface van het paar tenzij dat pakket wordt ontkend of door een handtekening gewijzigd.
Opmerking: U kunt AIM-IPS en AIP-SSM configureren om inline te werken, ook al hebben deze modules maar één sensinginterface.
N.B.: Als de gekoppelde interfaces op dezelfde switch zijn aangesloten, moet u deze op de switch configureren als toegangspoorten met verschillende toegang-VLAN’s voor de twee poorten. Anders loopt het verkeer niet door de inline interface.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco IPS Sensor die de Command Line Interface 6.0 en Inbraakpreventiesysteem Apparaatbeheer (IDM) 6.0 gebruikt.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Verwante producten
De informatie in dit document is ook van toepassing op de servicesmodule voor inbraakdetectiesysteem (IDSM-2).
Conventies
Configuratie van inline interfaceparen
Gebruik de naam van inline-interfaces in de submodus van de serviceinterface om inline interfaceparen te maken.
Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Opmerking: AIP-SSM is geconfigureerd voor inline interfacemodus van Cisco ASA CLI en niet van Cisco IPS CLI.
Deze opties zijn van toepassing:
-
inline-interfaces, naam —Naam van het logische inline interfacepaar
Opmerking: op alle backplane sensinginterfaces op alle modules (IDSM-2 NM-CIDS en AIP-SSM) is de beheerstatus ingesteld op ingeschakeld en beveiligd (u kunt de instelling niet wijzigen). De admin-state heeft geen effect (en is beveiligd) op de commando- en besturingsinterface. Het beïnvloedt alleen detectieinterfaces. De commando- en besturingsinterface hoeft niet te worden ingeschakeld omdat deze niet kan worden bewaakt.
-
standaard—Hiermee wordt de waarde weer ingesteld op de standaardinstelling van het systeem
-
beschrijving—Uw beschrijving van het inline interfacepaar
-
interface1 interface_name—De eerste interface in het inline interfacepaar
-
interface2 interface_name—De tweede interface in het inline interfacepaar
-
no—verwijdert een invoer of selectie-instelling
-
admin-state {ingeschakeld | gehandicapt} - de administratieve verbindingsstaat van de interface, of de interface wordt toegelaten of gehandicapt.
CLI-configuratie
Voltooi deze stappen om de inline VLAN-paarinstellingen op de sensor te configureren:
-
Meld u aan bij de CLI met een account met beheerdersrechten.
-
Voer de submodus van de interface in:
sensor#configure terminal sensor(config)#service interface sensor(config-int)#
-
Controleer of er inline interfaces bestaan. Het subinterfacetype zou niets moeten lezen als geen inline interfaces zijn gevormd:
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 2) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: Management0/0 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <protected> duplex: auto <defaulted> speed: auto <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications ----------------------------------------------- missed-percentage-threshold: 0 percent <defaulted> notification-interval: 30 seconds <defaulted> idle-interface-delay: 30 seconds <defaulted> ----------------------------------------------- sensor(config-int)# -
Geef het inline paar een naam:
sensor(config-int)#inline-interfaces PAIR1
-
Toont de lijst met beschikbare interfaces:
sensor(config-int)#physical-interfaces ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet0/2 GigabitEthernet0/2 physical interface. GigabitEthernet0/3 GigabitEthernet0/3 physical interface. Management0/0 Management0/0 physical interface. sensor(config-int)#physical-interfaces
-
Configureer twee interfaces in een paar:
sensor(config-int)#interface1 GigabitEthernet0/0
sensor(config-int-inl)#interface2 GigabitEthernet0/1
U moet de interface toewijzen aan een virtuele sensor en deze inschakelen voordat het verkeer kan controleren. Zie stap 10 voor meer informatie.
-
Voeg een beschrijving van deze interface toe:
sensor(config-int-phy)#description PAIR1 Gig0/0 and Gig0/1
-
Herhaal stap 4 tot en met 7 voor alle andere interfaces die u wilt configureren voor inline interfaceparen.
-
Controleer de instellingen:
sensor(config-int-inl)#show settings name: PAIR1 ----------------------------------------------- description: PAIR1 Gig0/0 & Gig0/1 default: interface1: GigabitEthernet0/0 interface2: GigabitEthernet0/1 ----------------------------------------------- -
Schakel de interfaces in die aan het interfacepaar zijn toegewezen:
sensor(config-int)#exit sensor(config-int)#physical-interfaces GigabitEthernet0/0 sensor(config-int-phy)#admin-state enabled sensor(config-int-phy)#exit sensor(config-int)#physical-interfaces GigabitEthernet0/1 sensor(config-int-phy)#admin-state enabled sensor(config-int-phy)#exit sensor(config-int)#
-
Controleer of de interfaces ingeschakeld zijn:
sensor(config-int)#show settings physical-interfaces (min: 0, max: 999999999, current: 5) ----------------------------------------------- <protected entry> name: GigabitEthernet0/0 ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: enabled default: disabled duplex: auto <defaulted> speed: auto <defaulted> default-vlan: 0 <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/1 ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: enabled default: disabled duplex: auto <defaulted> speed: auto <defaulted> default-vlan: 0 <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/2 <defaulted> ----------------------------------------------- media-type: tx <protected> description: <defaulted> admin-state: disabled <defaulted> duplex: auto <defaulted> speed: auto <defaulted> default-vlan: 0 <defaulted> alt-tcp-reset-interface ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- subinterface-type ----------------------------------------------- none ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- <protected entry> name: GigabitEthernet0/3 <defaulted> ----------------------------------------------- media-type: tx <protected> --MORE-- -
Geef deze opdracht uit om een inline interfacepaar te verwijderen en de interfaces terug te brengen naar de promiscuous mode:
sensor(config-int)#no inline-interfaces PAIR1
U moet ook het inline interfacepaar verwijderen uit de virtuele sensor waaraan het is toegewezen.
-
Controleer of het inline interfacepaar is verwijderd:
sensor(config-int)#show settings ----------------------------------------------- command-control: Management0/0 <protected> inline-interfaces (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- bypass-mode: auto <defaulted> interface-notifications -----------------------------------------------
-
De submodus van de interfaceconfiguratie afsluiten:
sensor(config-int)#exit Apply Changes:?[yes]:
-
Druk op ENTER om de wijzigingen toe te passen of op nee om ze te verwijderen.
Configuratie IDM
Voltooi deze stappen om de inline VLAN-paarinstellingen op de sensor te configureren met behulp van de IDM:
-
Open uw browser en voer https://<Management_IP_Address_of_IPS> in om toegang te krijgen tot de IDM op het IPS.
-
Klik op Download IDM Launcher en Start IDM om het installatieprogramma voor de toepassing te downloaden.
-
Ga naar de pagina Home om de apparaatinformatie te bekijken zoals hostnaam, IP-adres, versie en het model.
-
Ga naar Configuration > Sensor Setup en klik op Network. Hier kunt u de Hostname, IP-adres en standaardroute opgeven.
-
Ga naar Configuration > Interface Configuration en klik op Samenvatting.
Deze pagina toont de configuratiesamenvatting van de sensinginterface:
-
Ga naar Configuration > Interface Configuration > Interfaces en selecteer de interfacenaam. Klik vervolgens op Inschakelen om de sensorinterface in te schakelen. Configureer ook de informatie over duplex, snelheid en VLAN.
-
Ga naar Configuration > Interface Configuration > Interface Paren klik op Add om het Inline paar te maken.
-
Bekijk de samenvatting van de configuratie van het inline paar en pas deze toe.
-
Ga naar Configuration > Analysis Engine > Virtual Sensor en klik op Bewerken om de nieuwe virtuele sensor te maken.
-
Wijs het Inline paar INLINE toe aan de Virtual Sensor vs0.
-
Bekijk de samenvatting van de toegewezen virtuele sensorinformatie.
De Switch voor IDSM-2 in inline modus configureren
Raadpleeg het gedeelte Catalyst Series 6500 Switch voor IDSM-2 in inline modus van het configureren van IDSM-2 om de switch voor IDSM-2 inline modus te configureren.
Problemen oplossen
Probleem
Als IPS mislukt en inline is geconfigureerd, falen de interfaces in open (verkeer blijft overgaan) of gesloten (verkeer wordt verbroken).
Oplossing
U kunt IPS in faalvrije staat vormen. Als IPS dus mislukt, zal het het verkeer blijven overgaan, maar het zal het verkeer niet controleren.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
01-Jul-2008 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)