Безопасность : Система предотвращения вторжений Cisco (IPS)

Настройте IPS для предотвращения ошибочного допуска Использование фильтра действия события

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет шаги, требуемые для настройки Системы предотвращения вторжений (IPS) для Предотвращения Ошибочного допуска с помощью диспетчера устройств IPS (IDM) или IPS Manager Express (IME). Ошибочный допуск, настраивающийся на IPS, достигнут функцией, названной Фильтром действия события (EAF).

Примечание: Внесенный Aastha Chaudhary, специалистом службы технической поддержки Cisco.

Перед началом работы

Требования

Читатели данной документации должны ознакомиться с Cisco IPS.

Используемые компоненты

Сведения в этом документе не на основе определенных версий программного и аппаратного обеспечения.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Понимание EAFs

EAFs настроены прежде всего для настройки ошибочного допуска. EAF предоставляет возможность иметь особую подпись не, берут необходимые действия для подмножества трафика.

EAFs полезны в ситуациях, где это требуется, чтобы удовлетворять множественные условия, такие как:

  • Подпись x не принимает меры y для требуемой подсети трафика.

  • Подпись x принимает меры y для всего другого трафика.

EAFs полезны имея дело с мягким вызовом подписи.

Конфигурация

Пример: Событие Ошибочного допуска: Подпись 1300 вызывает для трафика, прибывающего от и до известных надежных хостов.

Примечание: Это - просто демонстрационный пример цели только. Если вы не уверены, мягко ли определенное событие из-за спускового механизма подписи или нет, обратитесь в техническую поддержку Cisco для дальнейшего анализа.

Примечание: Обратитесь к Подписям системы предотвращения вторжений Cisco (IPS) для дополнительных сведений относительно подписей IPS.

Выполните следующие действия:

  1. Проверьте действия по умолчанию для подписи (1300, в данном примере), для которого должен быть настроен EAF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-01.gif

    Действия по умолчанию подписи 1300 включают, Производят Предупреждение и Запрещают Встроенное Соединение.

  2. Определите хосты, для которых не должна стрелять эта подпись. Например, вы не хотите, чтобы подпись стреляла для трафика, прибывающего из доверяемой подсети, такой как 10.1.1.1-10.1.1.254.

  3. Создайте EAF для критериев, описанных в Шаге 2:

    1. От IDM/IME перейдите к Конфигурации> Политика> Политика IPS. Нажмите вкладку Event Action Filters. Под этой вкладкой нажмите Add.

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-02.gif

      Это окно отображено:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-03.gif

    2. Настройте различные поля, такие как Название, Идентификатор подписи, IP Атакующего, и т.д.

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-04.gif

    3. Нажмите значок направо от поля Actions to Subtract для открытия диалогового окна Действий Редактирования.

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-05.gif

      В этом окне можно задать Действия подписи, которые вы не хотите, чтобы IPS выполнил.

      Примечание: Для корректного выбора действий подписи, которые вы хотите вычесть, необходимо понять действия подписей по умолчанию, как описано в Шаге 1.

      В данном примере мы выбрали Produce Alert и Deny Connection Inline.

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-06.gif

      Если подпись 1300 года вызовет для трафика, прибывающего от 10.1.1.1-10.1.1.254, IPS не примет эти меры.

      Для всего другого трафика, действия подписи по умолчанию Предупреждения Продукта и Запрещают Встроенное Соединение, все еще применится.

      После выбора Produce Alert и Deny Packet Inline вы будете видеть, что эти действия заполняют у основания экрана EAF:

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-07.gif

    4. Нажмите OK, и затем Применитесь для сохранения изменений.

      http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113575-tune-ips-eaf-08.gif

Для конфигурации Фильтра Действия События с помощью CLI обратитесь к разделу Интерфейса командной строки IPS на странице Configuration Guides. От соответствующего Руководства по конфигурации нажмите Configuring Event Action Rules и поиск "Фильтров Действия События Настройки".

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113575