IPS (Intrusion Prevention System) 5.1 contient plus de 1 000 signatures par défaut intégrées. Vous ne pouvez pas renommer ou supprimer des signatures de la liste des signatures intégrées, mais vous pouvez retirer des signatures pour les supprimer du moteur de détection. Vous pouvez plus tard activer les signatures retirées. Cependant, ce processus nécessite que les moteurs de détection reconstruisent leur configuration, ce qui prend du temps et peut retarder le traitement du trafic. Vous pouvez régler les signatures intégrées lorsque vous ajustez plusieurs paramètres de signature. Les signatures intégrées qui ont été modifiées sont appelées signatures ajustées.
Ce document illustre les étapes à suivre pour régler la signature à l'aide du gestionnaire de périphériques IPS (IDM). IDM est une application Java basée sur le Web qui vous permet de configurer et de gérer votre capteur. Le serveur Web pour IDM réside sur le capteur. Vous pouvez y accéder via Internet Explorer, Netscape ou Mozilla.
Remarque : Vous pouvez créer des signatures, appelées signatures personnalisées. Les ID de signature personnalisés commencent à 60 000. Vous pouvez les configurer pour plusieurs choses, telles que la correspondance des chaînes sur les connexions UDP, le suivi des inondations de réseau et les analyses. Chaque signature est créée à l'aide d'un moteur de signature spécifiquement conçu pour le type de trafic surveillé.
Aucune spécification déterminée n'est requise pour ce document.
Les informations de ce document sont basées sur Cisco Intrusion Prevention System Device Manager 5.x.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Afin de configurer un capteur pour surveiller le trafic réseau pour une signature particulière, vous devez activer la signature. Par défaut, les signatures les plus critiques sont activées lorsque vous installez la mise à jour des signatures. Lorsqu'une attaque est détectée qui correspond à une signature activée, le capteur génère une alerte, qui est stockée dans le magasin d'événements du capteur. Les alertes, ainsi que d'autres événements, peuvent être récupérées à partir du magasin d'événements par des clients Web. Par défaut, le capteur enregistre toutes les alertes d'informations ou plus.
Certaines signatures ont des sous-signatures. Autrement dit, la signature est divisée en sous-catégories. Lorsque vous configurez une sous-signature, les modifications apportées aux paramètres d'une sous-signature s'appliquent uniquement à cette sous-signature. Par exemple, si vous modifiez la sous-signature 3050 1 et modifiez la gravité, la modification de la gravité s'applique uniquement à la sous-signature 1 et non à 3050 2, 3050 3 et 3050 4.
Une icône + indique que d'autres options sont disponibles pour ce paramètre. Cliquez sur l'icône + pour développer la section et afficher les paramètres restants.
Une icône verte indique que le paramètre utilise actuellement la valeur par défaut. Cliquez sur l'icône verte pour la remplacer par rouge, ce qui active le champ de paramètre afin de modifier la valeur.
Complétez ces étapes afin de régler les signatures :
Connectez-vous à IDM à l'aide d'un compte disposant de privilèges d'administrateur ou d'opérateur.
Choisissez Configuration > Signature Definition > Signature Configuration.
Le volet Configuration des signatures apparaît.
Afin de localiser une signature, choisissez une option de tri dans la liste Sélectionner par.
Par exemple, si vous recherchez une signature d'inondation UDP, choisissez Protocole L2/L3/L4, puis Inondation UDP.
Le volet Configuration des signatures actualise et affiche uniquement les signatures qui correspondent à vos critères de tri.
Afin de régler une signature existante, sélectionnez-la et complétez ces étapes :
Cliquez sur Modifier pour ouvrir la boîte de dialogue Modifier la signature.
Vérifiez les valeurs des paramètres et modifiez la valeur de tous les paramètres à régler.
Remarque : Pour sélectionner plusieurs actions d'événement, maintenez la touche Ctrl enfoncée.
Sous Status, sélectionnez Yes pour activer la signature.
Remarque : la signature doit être activée pour que le capteur détecte activement l'attaque spécifiée par la signature.
Sous Status, spécifiez si cette signature est retirée. Cliquez sur Non pour activer la signature. Ceci place la signature dans le moteur.
Remarque : Une signature doit être activée pour que le capteur puisse détecter activement l'attaque spécifiée par la signature.
Remarque : Cliquez sur Annuler pour annuler vos modifications et fermer la boîte de dialogue Modifier la signature.
Click OK.
La signature modifiée apparaît maintenant dans la liste dont le type est réglé.
Remarque : si vous souhaitez annuler vos modifications, cliquez sur Réinitialiser.
Cliquez sur Apply pour appliquer vos modifications et enregistrer la configuration révisée.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
07-Apr-2007 |
Première publication |