Безопасность : Система предотвращения вторжений Cisco (IPS)

Следите за развитием Событий, Генерируемых использованием Системы предотвращения вторжений Cisco IOS IPS Manager Express

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ объясняет, как использовать, следят за развитием событий, генерируемых Системой предотвращения вторжений Cisco IOS (IPS IOS) с помощью IPS Manager Express (IME).

IPS Cisco IOS является программной функцией глубокой проверки пакетов, которая эффективно смягчает широкий диапазон сетевых атак.

Cisco IME является простым, на основе GUI программное обеспечение управления IPS.

Примечание: Внесенный Сидом Чандрэчудом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для использования данного документа требуется знание следующих тем.

  • Система предотвращения вторжений Cisco IOS

  • IPS Manager Express

Используемые компоненты

Сведения в этом документе основываются на Системе предотвращения вторжений Cisco IOS с помощью IPS Manager Express.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Функции

Требование:

Для IME для поддержки IPS IOS маршрутизатор должен выполнить Cisco IOS Software Release 12.3 (14) T7 и 12.4 (15) T2 или более новый. IME может поддержать до 10 устройств.

Примечание: IME только поддерживает мониторинг событий для IPS IOS. Конфигурация не поддерживается.

Конфигурация

IME использует SDEE для получения событий от IPS IOS. Уведомление SDEE отключено по умолчанию и должно быть вручную включено. Для использования SDEE Web-сервер маршрутизатора должен быть включен. По умолчанию IME пытается установить безопасное соединение с маршрутизатором с помощью HTTPS (TCP 443). Это требует, чтобы цифровой сертификат был настроен на маршрутизаторе. Дополнительно, IME может быть настроен для поддержки небезопасного соединения с помощью HTTP (TCP 80).

Выбор конфигурации маршрутизатора

  1. Включите уведомление SDEE:

    Router(config)# ip ips notify sdee
  2. Включите HTTPS:

    Router(config)#ip http secure-server
  3. Включите HTTP (Необязательно):

    Router(config)# ip http server

Настройка IME

  1. Загрузки и установка IME. Выполните IME. Потом нажмите кнопку Add (добавить).

    Загрузки IME:

    http://www.cisco.com/cisco/software/navigator.html? mdfid=278875433&flowid=4460

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113576-ptn-113576-01.gif

    Примечание: Настройка по умолчанию использует HTTPS и порт 443 для соединения с маршрутизатором. Можно также принять решение подключить HTTP использования только и изменить порт на 80.

  2. При использовании HTTPS вам предоставляют экран для принятия подписанного сертификата от маршрутизатора. Нажмите кнопку Yes (Да).

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113576-ptn-113576-02.gif

    После того, как правильно добавленный, вы будете видеть придерживающееся:

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113576-ptn-113576-03.gif

    Примечание: Если HTTPS будет использоваться для соединения с маршрутизатором, то любые изменения к сертификату на маршрутизаторе потребуют, чтобы устройство было открыто вновь в IME. Для регенерации сертификата в IME, дважды щелкают маршрутизатор под Списком устройств. Затем нажмите OK для проверки подключений IME к маршрутизатору для получения нового сертификата. Нажмите Yes для принятия обновленного сертификата.

  3. Просмотр Событий: Нажмите Event Monitoring. Удостоверьтесь, что вы выбираете маршрутизатор под "Названием Датчика".

    Примечание: По умолчанию, в обзорных параметрах настройки под полем "Threat Rating", значение установлено в"> =70". Это значение заставляет результат отобразить подписи только с оценкой угрозы выше и равный 70.

    Для просмотра всех подписей степеней серьезности ошибки поддерживают пробел поля "Threat Rating".

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/113576-ptn-113576-04.gif

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113576