Ips cisco что это
В IPS конфигурационный файл отличается от IOS. В IPS при вводе команд конфигурация сразу сохраняется и становится постоянной.
Показать текущую конфигурацию:
Создать backup конфигурационного файла:
Перезаписать текущую конфигурацию backup конфигурацией:
Параметры команды service:
- analysis-engine,
- anomaly-detection,
- authentication,
- event-action-rules,
- host,
- interface,
- logger,
- network-access,
- notification,
- signature-definition,
- ssh-known-hosts,
- trusted-certificates,
- web-server
Восстановить настройки сервиса в настройки по умолчанию:
Пользователю может быть присвоена одна из таких ролей:
- Administrator
- Operator
- Viewer
- Service
Команда show settings показывает настройки актуальные для текущего режима.
- Command and control
- Monitoring
- Alternate TCP reset
Monitoring интерфейс может работать в одном из четырёх режимов:
- Promiscuous mode
- Inline interface mode
- Inline VLAN pair mode
- VLAN group mode
В режиме inline interface:
- Command and control интерфейс не может быть частью пары inline,
- Интерфейс не может быть спарен с собой,
- Интерфейс может принадлежать только одной паре.
Inline VLAN pair mode:
VLAN group mode:
- Интерфейс, который является частью inline VLAN pair, не может использоваться в VLAN group mode.
Виртуальный сенсор (virtual sensor) -- логическая группа состоящая из:
- monitoring интерфейсов,
- политики для signature engines,
- alarm filters, которые применяются к signature engines.
Cisco IPS поддерживает такие виды сигнатур:
Fidelity Rating — насколько хорошо отработает сигнатура без специфических знаний о цели.
- High — 100
- Medium — 75
- Low — 50
- Informational — 25
Risk Rating ассоциируется с alert, а не с сигнатурой. Это число которое вычисляется из нескольких компонентов и используется в event action override.
Высокая производительность. Отказоустойчивость. Повышение безопасности операций.
Всесторонняя согласованная защита
По мере развития техники кибератак для обеспечения комплексной защиты сети требуется непревзойденный уровень интеллектуального контроля, охватывающего угрозы всех видов. А для исполнения различных организационных обязанностей и проведения мероприятий необходим согласованный механизм обеспечения безопасности. Ужесточающиеся эксплуатационные требования предполагают новый подход к специализированной системе Secure IPS, позволяющий обеспечить повышенный уровень безопасности и контроля для предприятия.
Supported Cisco IOS IPS Signatures
SUMMARY STEPS
1. enable
2. configure terminal
3. ip ips sdf location url
4. ip ips name ips-name [ list acl ]
5. ip ips signature signature-id [:sub-signature-id] < delete | disable | list acl-list >
6. ip ips deny-action ips-interface
7. interface type name
8. ip ips ips-name < in | out >
9. exit
10. show ip ips configuration
Cisco ASA — межсетевой экран, позволяет ограничить определенные виды трафика на хост, подсеть или интерфейс. Но если трафик разрешен, то он будет доставлен к адресату, и неважно что в нём давно известная и распространённая атака. Для обнаружения и предотвращения атак существует различное специализированное оборудование Cisco IDS/IPS, также существуют IPS-модули для Cisco ASA, такие как AIP SSM-10, с ним сейчас и познакомимся.
Система предотвращения вторжений (Intrusion Prevention System, IPS) — программа или железка, которая обнаруживает нарушения системы безопасности и защищает от них. Системы обнаружения вторжений (Intrusion Detection System, IDS) менее функциональны, поскольку только обнаруживают и оповещают о произошедших событиях, не имея возможности автоматически им противодействовать. В принципе понятно, что в составе каждой IPS должен иметься IDS.
AIP SSM-10. Название расшифровывается как Advanced Inspection and Prevention Security Services Module.
Benefits
How to Load IPS-Based Signatures onto a Router
Before configuring Cisco IOS IPS on a router, you should determine which one of the following deployment scenarios best addresses your situation and configure the associated task, as appropriate:
•You are installing a new router with the latest version of Cisco IOS IPS.
To perform this task, see the section "Installing Cisco IOS IPS on a New Router."
•Your network is transitioning to Cisco IOS IPS in Cisco IOS Release 12.3(8)T or later.
To perform this task, see the section "Upgrading to the Latest Cisco IOS IPS Signature Definition File (SDF)."
•You are merging the default (built-in) Cisco IOS IPS signatures with the latest version of the Cisco IOS IPS signature detection file, "attack-drop.sdf."
To perform this task, see the section "Merging Built-In Signatures with the attack-drop.sdf File"
•You are loading signatures onto a router via VMS IDS MC or SDM:
To use VMS IDS MC, see the documents on the VMS index.
To use SDM, see the document SDM Intrusion Prevention System (IPS) User's Guide.
After you have configured Cisco IOS IPS on your router, refer to the following optional sections:
•Monitoring Cisco IOS IPS Signatures via Syslog or SDEE
•Troubleshooting Cisco IOS IPS
Installing Cisco IOS IPS on a New Router
Use this task to install the latest Cisco IOS IPS signatures on a router for the first time.
This task allows you to load the default, built-in signatures or the SDF called "attack-drop.sdf"—but not both. If you want to merge the two signature files, you must load the default, built-in signatures as described in this task. Then, you can merge the default signatures with the attack-drop.sdf file as described in the task "Merging Built-In Signatures with the attack-drop.sdf File."
Note The signatures provided in Flash is the recommended method in Cisco IOS Release 12.3(8)T for IPS attack mitigation.
Интеграция
Secure IPS подключается к сети без существенных аппаратных изменений, не требуя значительного времени для внедрения. Из одной панели с помощью Firepower Management Center можно включать и управлять несколькими приложениями безопасности. Легко переключайтесь между системами Secure IPS, Secure Firewall и Secure Endpoint, чтобы оптимизировать обеспечение безопасности и получать сторонние данные через Cisco Threat Intelligence Director.
6. Проверка работы
Остаётся убедиться, что IPS задействован и проверяет трафик.
Для начала проверьте, что Cisco ASA прогоняет нужные пакеты через модуль IPS. Это можно сделать генерируя пакеты при помощи packet-tracer. Например, генерация пакета из внешней сети на внешний интерфейс для www-сервера в dmz (нужен любой пакет, который будет направлен через IPS, согласно вашим access-list):
а также статистику:
Что делать, если событий пока нет? Их можно организовать самостоятельно… В своей сети для теста IPS я установил honeypot со стороны интерфейса dmz и сканер уязвимострей с другой. События безопасности при сканировании узла гарантированы.
А горшочек с мёдом, как оказалось, и сам очень быстро приманил разных мух:
Статистика работы сенсора
Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.
Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.
«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.
Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Первая система IDS (Intrusion Detection System) была внедрена на маршрутизаторах с IOS 12.2.8T с firewall feature set. Тогда это были 26ХХ и 36ХХ маршрутизаторы. Система представляла собой несколько десятков (максимум 105) сигнатур. Их можно было только отключить или задать работу не для всего трафика.
Эта система включалась командами
ip audit name IDS attack action
ip audit name IDS info action
int f0/0
ip audit IDS
Это была вещь в себе. Ни гибкой настройки, ни апдейтов, ни понятия о том, что же там в сигнатурах.
Следующий шаг был сделан с внедрением отдельного файла signature definition. Это спец.файл загружался на маршрутизатор, на него указывали в настройке, в нем хранились все сигнатуры и их параметры. Настраивалась эта конструкция так:
ip ips sdf location flash:
файл подбирается исходя из количества оперативной памяти на маршрутизаторе. Самый большой файл — 256MB.sdf — содержал более 1500 сигнатур и требовал минимум 256 мегабайт оперативной памяти
ip ips name IPS
int f0/0
ip ips IPS
После привешивания на интерфейс правила IPS циска подгружала в память сигнатуры из файла и давала возможность их настроить как через консоль, так и через web-GUI (кстати, GUI, называемый Security Device Manager, SDM, весьма удобен при настройке IPS)
Для обратной совместимости в IOSах (до 12.4.Т(11)) оставались и встроенные сигнатуры. При использовании внешнего файла их рекомендовалось отключать
no ip ips sdf builtin
Можно было потребовать, чтобы трафик блокировался в случае, если невозможно подгрузить файл sdf или произошёл сбой подсистемы IPS
ip ips fail close
Но формат сигнатур тут был такой же, как и в сенсорах IPS версии 4. Этот формат не позволял глубже анализировать трафик и отсекать новые хитрые атаки. На самих IPS сенсорах уже появился к тому времени новый формат — 5, в котором можно настраивать накопительные параметры риска атаки (Risk Rating), создавать зоны более пристального внимания (Target Value Rating) и многое другое.
Поэтому с версии 12.4.Т(11) старый формат более не поддерживается, обновления сигнатур формата 4 прекратились в августе 2008.
ip ips auto-update
Далее, надо установить на маршрутизатор ключ компании cisco для расшифровывания (а вернее, проверки цифровой подписи) выкачанного файла
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
Желательно создать во флеше маршрутизатора отдельную папку для файлов IPS
Теперь осталось эти самые нужные файлы туда установить. Делается это хитрой командой
Эта процедура займет существенное время (несколько минут) и в результаты вы увидите во флеше
21 0 May 27 2009 14:22:58 +04:00 IPS
22 8662169 May 27 2009 14:24:22 +04:00 IPS/IOS-S399-CLI.pkg
23 284871 May 28 2009 22:48:00 +04:00 IPS/ccmt-2811-sigdef-default.xml
24 255 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-sigdef-delta.xml
25 34761 May 28 2009 22:43:44 +04:00 IPS/ccmt-2811-sigdef-category.xml
26 304 May 27 2009 16:35:56 +04:00 IPS/ccmt-2811-seap-delta.xml
27 8509 May 28 2009 22:43:40 +04:00 IPS/ccmt-2811-sigdef-typedef.xml
28 491 May 27 2009 17:05:00 +04:00 IPS/ccmt-2811-seap-typedef.xml
Эти xml файлы содержат дефолтные настройки, ваши изменения, параметры блокировки и т.д.
Практически всё. Надо только создать правило и повесить его на интерфейс, как это делалось и раньше:
ip ips name IPS
int f0/0
ip ips IPS
После этого произойдёт подгрузка в память сигнатур и те из них, которые по умолчанию включены, сразу примутся за работу.
Помните, что сигнатур много, они кушают много памяти и процессора, поэтому циска настоятельно рекомендует сделать следующее.
1. Отключить категорию сигнатур all
3. Далее, следя за памятью и загрузкой процессора, можно добавлять и другие категории сигнатур. Настройка самих сигнатур возможна как через консоль из режима
ip ips signature-definition
так и через SDM или более новый WEB-GUI — ССE (Cisco Configuration Expert)
Параметры и механизм настройки сигнатур максимально приближен к настройке на сенсорах, поэтому если вы имеете опыт настройки AIP-SSM, сенсоров 42ХХ или IDMS2, можете смело браться за дело. Если такого опыта нет, лучше почитать о настройке сигнатур. Или сходить на курс IPS 6.0 :)
Гибкость
Гибкие варианты развертывания Cisco Secure IPS отвечают потребностям предприятия. Платформу можно развернуть на периметре, в распределении/ядре центров обработки данных или за межсетевым экраном, чтобы защитить критически важные ресурсы, гостевой доступ и подключения к глобальной сети. Secure IPS можно развернуть для встроенной проверки или пассивного обнаружения.
Знакомьтесь— Cisco SecureX
Если ваши сотрудники тратят слишком много времени на интеграцию решений от разных поставщиков, подумайте о переходе на платформу SecureX, действительно наделенную возможностями интеграции, которая упростит обеспечение безопасности и повысит ее уровень.
1. Проверка модуля и сброс пароля
Для начала посмотрите общую информацию о модуле, его текущее состояние и версию ПО. Команды выполняются из командной строки Cisco ASA:
В моём случае всё в порядке: Status = Up.
Модуль AIP SSM-10 по сути является отдельным компьютером, встраиваемым в шасси Cisco ASA и работающий под Linux. AIP SSM-20 — более мощный компьютер, AIP SSM-40 — ещё более мощный.
Для подключения к командному интерфейсу модуля выполните:
Логин/пароль по умолчанию: cisco/cisco. Ну а если не подходит, то его легко сбросить:
Обратите внимание, что на более старых версиях ПО (5.0 .. 6.0) параметра password-reset нет. И для восстановления пароля придётся делать сброс всего модуля (reset).
После сброса пароля мой модуль ушел в ребут, нужно немного подождать. Текущий статус загрузки модуля можно контролировать той же командой show module 1
Подключитесь к модулю:
При входе с паролем по умолчанию создайте новый пароль.
Prerequisites for Cisco IOS IPS
4. Выборочная проверка трафика
В предыдущем примере проверялся весь трафик. Где было указано что весь? В первой и последней строке. Первая строка добавляет в список доступа весь трафик, а последняя применяет политику на все интерфейсы (glogal).
Если вам не нужно проверять весь трафик, то нужно указать какой трафик проверять и на каких интерфейсах. В следующем примере на IPS передаётся весь трафик из сети 10.75.20.0/24 с интерфейса inside, кроме трафика, предназначенного сети 192.168.1.0/24.
5. Настройка действий IPS при событиях
- событие — обнаружение трафика, соответствующего одной из активных сигнатур;
- действие — ответная реакция на возникшее событие со стороны IPS;
- риск — вычисляемый параметр, характеризующий степень угрозы произошедшего события (число от 0 до 100).
По умолчанию правило одно: если возникает событие с высоким риском (риск от 90 до 100), то нужно блокировать проходящие пакеты. Вы не можете удалить это правило, но если оно вам не нужно, то его можно отключить.
Вы можете переопределять (overrides) действия связанные с событиями. Переопределение действий — это простой способ изменить действия на события глобально, без необходимости перенастраивать все сигнатуры по отдельности. Каждому ответному действию на события соответствует заданный диапазон уровня риска. Если событие произошло и уровень его риска попадает в заданный диапазон действия, то это действие добавляется к реакции на событие. Например, если вы хотите, чтобы любое событие (с рейтингом риска от 1 до 100) добавлялось в лог, то вы можете установить диапазон рейтинга риска для действия log-pair-packets на 1-89 (события высокого риска 90-100 уже логируются).
Изменим определенное по умолчанию поведение, добавив логирование всех обнаруженных событий:
Какие действия можно переопределять?
Высокопроизводительные устройства
Устройства Cisco Firepower (серий 4100 и 9000) специально созданы для обеспечения необходимой пропускной способности, поддержки модульной концепции и масштабируемости операторского класса. У них однопроходная конструкция с низкой задержкой и интерфейсы Fail-to-wire.
Эксплуатационные расходы
Используйте автоматизацию на основе Secure IPS, чтобы повысить эксплуатационную эффективность и снизить накладные расходы, отделяя события, требующие внимания и дальнейших действий, от событий, которые можно игнорировать. Определите приоритеты угроз для персонала и повысьте уровень безопасности с помощью рекомендаций по политике, основанных на сетевых уязвимостях. Получайте информацию об активации и деактивации правил, а также фильтруйте события, относящиеся к устройствам в вашей сети.
Характеристики и преимущества Secure IPS
Эффективность
Secure IPS получает новые правила политики и сигнатуры каждые два часа, что обеспечивает актуальность системы безопасности в любое время. Cisco Talos использует крупнейшую в мире сеть обнаружения угроз, чтобы повысить эффективность каждого решения Cisco для обеспечения безопасности. Эта ведущая в отрасли аналитика угроз работает как система раннего предупреждения, которая постоянно обновляется с учетом новых угроз.
Связаться с Cisco
Мониторинг
Firepower Management Center позволяет просматривать больше контекстных данных из сети и точно настраивать механизмы поддержания безопасности. Просматривайте приложения, признаки компрометации, профили хостов, траекторию файлов, изолированную программную среду, информацию об уязвимостях и обеспечивайте прозрачность ОС на уровне устройств. Используйте эти входные данные для оптимизации безопасности с помощью рекомендаций по политикам или настроек Snort.
Contents
The Signature Definition File
3. Пропускаем весь трафик через IPS
Последняя строка может выдать ошибку, подобную вот этой:
ERROR: Policy map global_policy is already configured as a service policy
Это означает, что у Вас уже есть политика, которую вы применили глобально, на все интерфейсы. В моём случае эта политика называется global_policy. Решить проблему можно так:
1. Вместо создания новой политики policy-map my-ips-policy использовать ту, которая уже есть policy-map global_policy.
2. Использовать политику не глобально, а только для определённого интерфейса:
При назначении трафика AIP-SSM использовались два параметра: inline и fail-close.
Первый параметр указывает режим подключения IPS:
- inline — подключение в разрыв сети, это позволяет не только анализировать трафик, но и оперативно вмешиваться, блокировать нарушителей;
- promiscuous — на анализ отправляется только копия трафика, в данном режиме сам IPS блокировать нарушителей уже не может, но может для этого управлять другими устройствами, например, добавить новый фильтр на маршрутизаторе.
Второй параметр определяет поведение Cisco ASA при недоступности модуля IPS (отключение, перезагрузка, выход из строя):
- fail-close — если модуль недоступен, то и трафик блокируется;
- fail-open — если модуль недоступен, то трафик проходит дальше без проверки.
Используя описанную здесь конфигурацию, вы перенаправляете весь трафик через IPS и в случае его недоступности весь трафик блокируется.
Restrictions for Cisco IOS IPS
Signature Support Deprecation
Effective Cisco IOS Release 12.(8)T, the following signatures are no longer supported by Cisco IOS IPS:
•1100 IP Fragment Attack (Attack, Atomic)
Triggers when any IP datagram is received with the "more fragments" flag set to 1 or if there is an offset indicated in the offset field. 1
•1105 Broadcast Source Address (Compound/Attack)
Triggers when an IP packet with a source address of 255.255.255.255 is detected. This signature may be an indicator of an IP spoof attack or an attempt to subvert a firewall, proxy, or gateway.
•1106 Multicast IP Source Address (Compound/Attack)
Triggers when an IP packet with a source address of 224.x.x.x is detected. This signature may be an indicator of an IP spoof attack or an attempt to subvert a firewall, proxy, or gateway.
•8000 FTP Retrieve Password File (Attack, Atomic) SubSig ID: 2101
Triggers on string "passwd" issued during an FTP session. May indicate that someone is attempting to retrieve the password file from a machine to crack it and gain unauthorized access to system resources.
Action Configuration via CLI No Longer Supported
Cisco IOS IPS actions (such as resetting the TCP connection) can no longer be configured via CLI. If you are using the attack-drop.sdf signature file, the signatures are preset with actions to mitigate the attack by dropping the packet and resetting the connection, if applicable. If you are using VMS or SDM to deploy signatures to the router, you will need to tune the signatures to use the desired actions before the deployment.
Any CLI that is issued to configure IPS actions will be silently ignored.
Memory Impact on Low-End to Mid-Range Routers
Intrusion detection configuration on certain routers may not be able to support the complete list of signatures due to lack of sufficient memory. Thus, the network administrator may have to select a smaller subset of signatures or choose to use the standard 100 (builtin) signatures that the routers are shipped with.
2. Первичная настройка, управление и лицензирование
Information About Cisco IOS IPS
Lists of Supported Signature Engines
Table 1 lists supported signature engines and engine-specific parameter exceptions, if applicable.
Note If the SDF contains a signature that requires an engine that is not supported, the engine will be ignored and an error message will be displayed. If a signature within a supported engine contains a parameter that is not supported, the parameter will be ignored and an error message will be displayed.
Table 2 lists support for the 100 signatures that are available in Cisco IOS IDS prior to Cisco IOS Release 12.3(8)T. These 100 signatures are a part of the Cisco IOS IPS builtin SDF. By default, signatures are loaded from this builtin SDF. Table 2 lists support for these 100 signatures under Cisco IOS IPS.
Note Because Cisco IOS IPS counts signatures on the basis of signature-id and subsignature-id, the 100 signatures under Cisco IOS IDS are counted as 132 signatures under Cisco IOS IPS.
Связаться с Cisco
Signature Micro-Engines: Overview and Lists of Supported Engines
Cisco IOS IPS uses signature micro-engines (SMEs) to load the SDF and scan signatures.
Signatures contained within the SDF are handled by a variety of SMEs. The SDF typically contains signature definitions for multiple engines. The SME typically corresponds to the protocol in which the signature occurs and looks for malicious activity in that protocol.
A packet is processed by several SMEs. Each SME scans for various conditions that can lead to a signature pattern match. When an SME scans the packets, it extracts certain values, searching for patterns within the packet via the regular expression engine.
For a list of supported signature engines, refer to the section Lists of Supported Signature Engines.
Cisco IOS IPS Overview
The Cisco IOS IPS acts as an in-line intrusion detection sensor, watching packets and sessions as they flow through the router and scanning each packet to match any of the Cisco IOS IPS signatures. When it detects suspicious activity, it responds before network security can be compromised and logs the event through Cisco IOS syslog messages or Security Device Event Exchange (SDEE). The network administrator can configure Cisco IOS IPS to choose the appropriate response to various threats. When packets in a session match a signature, Cisco IOS IPS can take any of the following actions, as appropriate:
•Send an alarm to a syslog server or a centralized management interface
•Drop the packet
•Reset the connection
•Deny traffic from the source IP address of the attacker for a specified amount of time
•Deny traffic on the connection for which the signature was seen for a specified amount of time
Cisco developed its Cisco IOS software-based Intrusion-Prevention capabilities and Cisco IOS Firewall with flexibility in mind, so that individual signatures could be disabled in case of false positives. Generally, it is preferable to enable both the firewall and Cisco IOS IPS to support network security policies. However, each of these features may be enabled independently and on different router interfaces.
Читайте также: