Безопасность : Cisco IPS Sensor Software Version 7.1

Включите доступ в Интернет для ASA 5500-X модуль ips

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Согласно дизайну, новое Устройство адаптивной защиты (ASA) 5500-X модули Систем предотвращения вторжений (IPS) не разрешает трафик через коробку на менеджменте 0/0 порт. Поэтому, если IPS собирается использовать IP-адрес интерфейса управления ASA как шлюз по умолчанию, то датчиком нельзя управлять или обратиться от хостов позади других интерфейсов. Кроме того, датчик не будет в состоянии достигнуть Интернета.

Этот документ объясняет, как установить новый ASA 5500-X Модули ips для доступа к Интернету через ASA.

Примечание: Внесенный Тулэзи Шанкаром и Дэвидом Хоуком, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • ASA 5500-X Модули ips

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5500-X Модули ips

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Информация о функциональной возможности

Эти 5512-5555 устройств эффективно интегрируются с IPS, который выполняется как модуль ПО. Интерфейс Управления IPS совместно использует менеджмент 0/0 интерфейс с ASA. В настоящее время менеджмент 0/0 порт не позволяет трафик через коробку в ASA, серии 5500-X из устройств. Когда менеджмент 0/0 интерфейс установлен как шлюз по умолчанию для IPS, эта проблема влияет на простоту использования, особенно.

Методика устранения проблем

Предварительные условия:

Характеристика лицензирования IPS установлена на ASA. Это требуется, чтобы включать Модуль ips. Это может быть проверено с помощью команды Show version на ASA. Проверьте для Модуля ips: Включенный в show version выведен.

ASA(config)# show module

            Mod Card Type                                    Model              Serial No.
            --- -------------------------------------------- ------------------ -----------
              0 ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC ASA5515            FCH1549776V
            ips ASA 5515-X IPS Security Services Processor   ASA5515-IPS        FCH1549776V

            Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
            --- --------------------------------- ------------ ------------ ---------------
              0 503d.e59d.90a0 to 503d.e59d.90a7  1.0          2.1(9)8      8.6(1)
            ips 503d.e59d.909e to 503d.e59d.909e  N/A          N/A          7.1(4)E4

            Mod SSM Application Name           Status           SSM Application Version
            --- ------------------------------ ---------------- --------------------------
            ips IPS                            Up               7.1(4)E4

            Mod Status             Data Plane Status     Compatibility
            --- ------------------ --------------------- -------------
              0 Up Sys             Not Applicable
            ips Up                 Up

            Mod License Name   License Status  Time Remaining
            --- -------------- --------------- ---------------
            ips IPS Module     Enabled         perpetual

Обходной путь

Чтобы позволить Модулю ips обратиться к Интернету (например, для автоматических обновлений, Глобальной Корреляции, и т.д.), подключить менеджмент 0/0 порт на ASA к прибору слоя 3.

Например, менеджмент 0/0 порт может быть связан со свободным портом на маршрутизаторе, внутреннем или локальном для ASA. Маршрутизатор, в свою очередь, может иметь шлюз по умолчанию, который указывает к внутренней части/внутреннему интерфейсу ASA. Выполните следующие действия:

  1. Подключите менеджмент 0/0 порт ASA к прибору слоя 3. Кроме того, установите подключение между внутренним интерфейсом ASA и этим прибором слоя 3.

  2. Настройте Управление IP-адресами для Модуля ips. Удостоверьтесь, что этот адрес находится в той же подсети как IP-адрес Интерфейса управления ASA. В примере, 10.1.1.1 был назначен на интерфейс Management0/0 ASA и 10.1.1.2 к интерфейсу Управления IPS.

  3. Настройте шлюз по умолчанию на Модуле ips как упомянутый выше прибор слоя 3. Соответствующие маршруты или default-gateway должны собираться соответственно на приборе слоя 3 передать необходимый трафик к внутренней части/внутреннему интерфейсу ASA.

  4. Настройте статический маршрут на ASA так, чтобы ответный трафик достиг Модуля ips через этот прибор слоя 3.

Топология:

http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113691-enable-int-ipsm-01.gif

Пример конфигурации:

Маршрутизатор:

interface GigabitEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto
end
!
interface GigabitEthernet0/1
 ip address 10.1.1.3 255.255.255.0
 duplex auto
 speed auto
end
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1

ASA 5515:

ASA# show running-config
: Saved
:
ASA Version 8.6(1)2
!
hostname ASA
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif internet
 security-level 0
 ip address 172.16.103.73 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
object network obj-10.0.0.0
 subnet 10.1.0.0 255.255.0.0
!
object network obj-10.0.0.0
 nat (inside,internet) dynamic interface
!
route internet 0.0.0.0 0.0.0.0 172.16.103.64 1

!--- Route configured to reach the ips module through the internal router

route inside 10.1.1.2 255.255.255.255 192.168.1.2 1

ASA 5515 ДЮЙМ В СЕКУНДУ:

sensor#show configuration
! ------------------------------
! Current configuration last modified Sun Sep 18 00:06:25 2012
! ------------------------------
! Version 7.1(4)! Host:
!     Realm Keys          key1.0
! Signature Definition:!     Signature Update    S615.0   2012-01-03
! ------------------------------
service interface
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings

!--- The management IP address is set.

host-ip 10.1.1.2/24,10.1.1.3

!--- The access-list is set to allow management from the 10.0.0.0/8 network.

access-list 10.0.0.0/8
dns-primary-server enabled

!--- The DNS server IP address is set.

address 8.8.8.8
exit
exit
exit

Запрос новых функций был повышен для разрешения трафика через коробку на менеджменте 0/0 порт для IPS.

Подробные данные могут быть найдены здесь: Идентификатор ошибки Cisco CSCua67798 (только зарегистрированные клиенты): 5500-X ASA ENH - Для разрешения трафика через коробку на порте управления

Часто задаваемые вопросы

Вопрос: У меня нет прибора слоя 3 в точке сети шлюзом по умолчанию к. Как IPS может достигнуть Интернета?

О: См. этот документ для других дизайнов: http://www.cisco.com/cisco/web/support/RU/111/1116/1116696_ips-config-mod-00.html.


Дополнительные сведения


Document ID: 113691