Seguridad : Cisco IPS Sensor Software Version 7.1

Acceso a internet del permiso para el módulo ips ASA 5500-X

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios


Contenido

FAQ

Introducción

Según el diseño, los nuevos módulos adaptantes del (IPS) de los sistemas de las prevenciones de intromisión 5500-X del dispositivo de seguridad (ASA) no permiten el tráfico del por--cuadro en el puerto de la Administración 0/0. Por lo tanto, si el IPS se fija para utilizar la dirección IP de la interfaz de administración del ASA como el default gateway, después el sensor no se puede manejar o acceder de los hosts detrás de otras interfaces. También, el sensor no podrá alcanzar Internet.

Este documento explica cómo configurar los nuevos módulos ASA 5500-X IPS para acceder Internet vía el ASA.

Nota: Contribuido por Thulasi Shankar y David Houck, ingenieros de Cisco TAC.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Módulos ASA 5500-X IPS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Módulos ASA 5500-X IPS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Información sobre la Función

Los 5512-5555 dispositivos son seamlessly integrado con el IPS, que se ejecuta como módulo de software. La interfaz de la Administración de IPS comparte la interfaz de la Administración 0/0 con el ASA. Actualmente, el puerto de la Administración 0/0 no permite el tráfico del por--cuadro en las 5500-X Series ASA de dispositivos. Este problema afecta la facilidad de empleo, especialmente cuando la interfaz de la Administración 0/0 se fija como el default gateway para el IPS.

Metodología de Troubleshooting

Requisitos previos:

Licencia de función IPS instalada en el ASA. Esto se requiere para habilitar el módulo ips. Esto se puede verificar usando el comando show version en el ASA. Comprobación para el módulo ips: Habilitado en la demostración version output.

ASA(config)# show module

            Mod Card Type                                    Model              Serial No.
            --- -------------------------------------------- ------------------ -----------
              0 ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC ASA5515            FCH1549776V
            ips ASA 5515-X IPS Security Services Processor   ASA5515-IPS        FCH1549776V

            Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
            --- --------------------------------- ------------ ------------ ---------------
              0 503d.e59d.90a0 to 503d.e59d.90a7  1.0          2.1(9)8      8.6(1)
            ips 503d.e59d.909e to 503d.e59d.909e  N/A          N/A          7.1(4)E4

            Mod SSM Application Name           Status           SSM Application Version
            --- ------------------------------ ---------------- --------------------------
            ips IPS                            Up               7.1(4)E4

            Mod Status             Data Plane Status     Compatibility
            --- ------------------ --------------------- -------------
              0 Up Sys             Not Applicable
            ips Up                 Up

            Mod License Name   License Status  Time Remaining
            --- -------------- --------------- ---------------
            ips IPS Module     Enabled         perpetual

Solución Aternativa

Para permitir al módulo ips para acceder Internet (por ejemplo para los automóviles Update Button, la correlación global, el etc.), conecte el puerto de la Administración 0/0 en el ASA con un dispositivo de la capa 3.

Por ejemplo, el puerto de la Administración 0/0 se puede conectar con un puerto libre en un router interno o local al ASA. El router, a su vez, puede tener el default gateway que señala al interior/a la interfaz interna del ASA. Complete estos pasos:

  1. Conecte el puerto de la Administración 0/0 del ASA con el dispositivo de la capa 3. También, establezca la Conectividad entre una interfaz interna del ASA y este dispositivo de la capa 3.

  2. Configure el IP Address de administración para el módulo ips. Aseegure este direccionamiento está en la misma subred como la dirección IP de la interfaz de administración ASA. En el ejemplo, 10.1.1.1 se ha asignado a la interfaz Management0/0 del ASA y de 10.1.1.2 a la interfaz de la Administración de IPS.

  3. Configure el default gateway en el módulo ips como el dispositivo de la capa 3 mencionado anteriormente. Las rutas apropiadas o el gateway predeterminado se deben fijar por consiguiente en el dispositivo de la capa 3 para remitir el tráfico necesario ante el interior/la interfaz interna del ASA.

  4. Configure una Static ruta en el ASA de modo que el tráfico de retorno alcance el módulo ips a través de este dispositivo de la capa 3.

Topología:

http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113691-enable-int-ipsm-01.gif

Configuración de ejemplo:

Router:

interface GigabitEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto
end
!
interface GigabitEthernet0/1
 ip address 10.1.1.3 255.255.255.0
 duplex auto
 speed auto
end
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA 5515:

ASA# show running-config
: Saved
:
ASA Version 8.6(1)2
!
hostname ASA
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif internet
 security-level 0
 ip address 172.16.103.73 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
object network obj-10.0.0.0
 subnet 10.1.0.0 255.255.0.0
!
object network obj-10.0.0.0
 nat (inside,internet) dynamic interface
!
route internet 0.0.0.0 0.0.0.0 172.16.103.64 1

!--- Route configured to reach the ips module through the internal router

route inside 10.1.1.2 255.255.255.255 192.168.1.2 1

ASA 5515-IPS:

sensor#show configuration
! ------------------------------
! Current configuration last modified Sun Sep 18 00:06:25 2012
! ------------------------------
! Version 7.1(4)! Host:
!     Realm Keys          key1.0
! Signature Definition:!     Signature Update    S615.0   2012-01-03
! ------------------------------
service interface
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings

!--- The management IP address is set.

host-ip 10.1.1.2/24,10.1.1.3

!--- The access-list is set to allow management from the 10.0.0.0/8 network.

access-list 10.0.0.0/8
dns-primary-server enabled

!--- The DNS server IP address is set.

address 8.8.8.8
exit
exit
exit

Se ha aumentado una petición de la característica de permitir el tráfico del por--cuadro en el puerto de la Administración 0/0 para el IPS.

Los detalles se pueden encontrar aquí: Id. de bug Cisco CSCua67798 (clientes registrados solamente): ENH ASA 5500-X - Para permitir el tráfico del por--cuadro en el puerto de administración

FAQ

A: No tengo un dispositivo de la capa 3 dentro de la punta de la red el default gateway a. ¿Cómo puede el IPS alcanzar Internet?

R: Refiera a este documento para otros diseños: http://www.cisco.com/cisco/web/support/LA/111/1117/1117301_ips-config-mod-00.html.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113691