IPS 6.X e later/IDSM2: A relação Inline emparelha o modo usando o exemplo de configuração IDM

Opções de download

  • PDF     (602.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (697.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (756.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de outubro de 2009
ID do documento:107540

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Operar-se no modo Inline dos pares da relação põe o Intrusion Prevention System (IPS) diretamente no fluxo de tráfego e afeta taxas do encaminhamento de pacote, que as faz mais lentas quando a latência é adicionada. Isto permite que o sensor pare ataques assim que deixa cair o tráfego malicioso antes que alcance o alvo pretendido, assim proporciona um serviço protetor. É não somente a informação de processamento inline do dispositivo nas camadas 3 e 4, mas igualmente analisa os índices e o payload dos pacotes para uns ataques encaixados mais sofisticados (camadas 3 a 7). Esta análise mais profunda deixa o sistema identificar e parar e/ou obstruir os ataques que passam normalmente através de um dispositivo de firewall tradicional.

No modo Inline dos pares da relação, um pacote entra através da primeira relação dos pares no sensor e para fora da segunda relação dos pares. O pacote é enviado à segunda relação dos pares a menos que esse pacote estiver sendo negado ou alterado por uma assinatura.

Nota: Você pode configurar AIM-IPS e AIP-SSM para operar-se inline mesmo que estes módulos tenham somente uma relação de detecção.

Nota: Se as relações emparelhadas são conectadas ao mesmo interruptor, você deve configurar-las no interruptor como portas de acesso com acesso diferente VLAN para as duas portas. Se não, o tráfego não corre através da relação inline.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no sensor de Cisco IPS que usa a interface da linha de comando 6.0 e o gerente de dispositivo de sistema da prevenção de intrusão (IDM) 6.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

A informação neste documento é igualmente aplicável ao Módulo de serviços do sistema de detecção de intrusões (IDSM-2).

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

A relação Inline emparelha a configuração

Use o comando name das inline-relações no submode da relação do serviço a fim criar pares inline da relação.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Nota: AIP-SSM é configurado para o modo inline da relação de Cisco ASA CLI e não de Cisco IPS CLI.

Estas opções aplicam-se:

  • nome das inline-relações — Nome dos pares inline lógicos da relação

    Nota: Em toda a placa traseira que detecta relações em todos os módulos (IDSM-2 NM-CIDS, e em AIP-SSM), o estado administrativo é ajustado ao permitido e protegido (você não pode mudar o ajuste). O estado administrativo não tem nenhum efeito (e é protegido) no comando e na interface de controle. Afeta somente a detecção de relações. O comando e a interface de controle não precisam de ser permitidos porque não pode ser monitorada.

  • padrão — Ajusta o valor de volta ao ajuste de padrão de sistema

  • descrição — Sua descrição dos pares inline da relação

  • interface_name interface1 — A primeira relação nos pares inline da relação

  • interface_name interface2 — A segunda relação nos pares inline da relação

  • não — Remove um ajuste da entrada ou da seleção

  • estado administrativo {permitido | deficiente} — o estado administrativo da relação da relação, se a relação está permitida ou desabilitada.

Configuração de CLI

Termine estas etapas a fim configurar os ajustes inline dos pares VLAN no sensor:

  1. Entre ao CLI com uma conta que tenha privilégios do administrado.

  2. Incorpore o submode da relação:

    sensor#configure terminal
sensor(config)#service interface 
sensor(config-int)#

  3. Verifique se alguma relação inline existe. O tipo do subinterface deve não ler nenhuns se nenhuma relação inline foi configurada:

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 2)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
<protected entry>
      name: GigabitEthernet0/1 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: Management0/0 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <protected>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
   -----------------------------------------------
   command-control: Management0/0 <protected>
   inline-interfaces (min: 0, max: 999999999, current: 0)
   -----------------------------------------------
   -----------------------------------------------
   bypass-mode: auto <defaulted>
   interface-notifications
   -----------------------------------------------
      missed-percentage-threshold: 0 percent <defaulted>
      notification-interval: 30 seconds <defaulted>
      idle-interface-delay: 30 seconds <defaulted>
   -----------------------------------------------
sensor(config-int)#

  4. Nomeie os pares inline:

    sensor(config-int)#inline-interfaces PAIR1

  5. Indique a lista de relações disponíveis:

    sensor(config-int)#physical-interfaces ?
GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
Management0/0          Management0/0 physical interface.
sensor(config-int)#physical-interfaces

  6. Configurar duas relações em um par: 

    sensor(config-int)#interface1 GigabitEthernet0/0

    sensor(config-int-inl)#interface2 GigabitEthernet0/1

    Você deve atribuir a relação a um sensor virtual e permiti-la antes que possa monitorar o tráfego. Veja a etapa 10 para mais informação.

  7. Adicionar uma descrição desta relação:

    sensor(config-int-phy)#description PAIR1 Gig0/0 and Gig0/1

  8. Repita etapas 4 com 7 para todas as outras relações que você quiser configurar aos pares inline da relação.

  9. Verifique os ajustes: 

    sensor(config-int-inl)#show settings
   name: PAIR1
   -----------------------------------------------
      description: PAIR1 Gig0/0 & Gig0/1 default:
      interface1: GigabitEthernet0/0
      interface2: GigabitEthernet0/1
   -----------------------------------------------

  10. Permita as relações atribuídas aos pares da relação: 

    sensor(config-int)#exit
sensor(config-int)#physical-interfaces GigabitEthernet0/0
sensor(config-int-phy)#admin-state enabled
sensor(config-int-phy)#exit
sensor(config-int)#physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)#admin-state enabled
sensor(config-int-phy)#exit
sensor(config-int)#

  11. Verifique que as relações estão permitidas: 

    sensor(config-int)#show settings
   physical-interfaces (min: 0, max: 999999999, current: 5)
   -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/0
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: enabled default: disabled
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/1
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: enabled default: disabled
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/2 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
         description: <defaulted>
         admin-state: disabled <defaulted>
         duplex: auto <defaulted>
         speed: auto <defaulted>
         default-vlan: 0 <defaulted>
         alt-tcp-reset-interface
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
         subinterface-type
         -----------------------------------------------
            none
            -----------------------------------------------
            -----------------------------------------------
         -----------------------------------------------
      -----------------------------------------------
      <protected entry>
      name: GigabitEthernet0/3 <defaulted>
      -----------------------------------------------
         media-type: tx <protected>
--MORE--

  12. Emita este comando a fim suprimir de um par inline da relação e retornar as relações ao modo misturado: 

    sensor(config-int)#no inline-interfaces PAIR1

    Você deve igualmente suprimir dos pares inline da relação do sensor virtual a que é atribuído.

  13. Verifique que o par inline da relação esteve suprimido: 

    sensor(config-int)#show settings
  -----------------------------------------------
  command-control: Management0/0 <protected>
  inline-interfaces (min: 0, max: 999999999, current: 0)
  -----------------------------------------------
  -----------------------------------------------
  bypass-mode: auto <defaulted>
  interface-notifications
  -----------------------------------------------

  14. Retire o submode da configuração da interface: 

    sensor(config-int)#exit
Apply Changes:?[yes]:

  15. A imprensa entra a fim aplicar as mudanças ou entrá-las nenhum a fim rejeitá-las.

Configuração IDM

Termine estas etapas a fim configurar os ajustes inline dos pares VLAN no sensor usando o IDM:

  1. Abra seu navegador e incorpore o <Management_IP_Address_of_IPS> de https:// para alcançar o IDM no IPS.

  2. Clique o lançador da transferência IDM e comece o IDM transferir o instalador para o aplicativo.

  3. Vá ao Home Page a fim ver a informação do dispositivo tal como o nome de host, o IP address, a versão, e o modelo.

    ips5x-inline-mode-config-01.gif

  4. Vá à configuração > à instalação do sensor e clique a rede. Aqui você pode especificar o hostname, o IP address e a rota padrão.

    ips5x-inline-mode-config-02.gif

  5. Vá à configuração > à configuração da interface e clique o sumário.

    Esta página mostra o sumário de configuração da relação de detecção:

    ips5x-inline-mode-config-03.gif

  6. Vá à configuração > à configuração da interface > às relações e selecione o nome da relação. Então, o clique permite a fim permitir a relação de detecção. Também, configurar o duplex, a velocidade e a informação VLAN.

    ips5x-inline-mode-config-04.gif

  7. Vá aos pares da configuração > da configuração da interface > da relação e o clique adiciona a fim criar os pares Inline.

    ips5x-inline-mode-config-05.gif

  8. Veja o sumário da configuração Inline dos pares e aplique-o.

    ips5x-inline-mode-config-06.gif

  9. Vai ao motor da configuração > da análise > o sensor virtual e o clique edita a fim criar o sensor virtual novo.

    ips5x-inline-mode-config-07.gif

  10. Atribua os pares Inline INLINE ao sensor virtual vs0.

    ips5x-inline-mode-config-08.gif

  11. Veja o sumário da informação virtual atribuída do sensor.

    ips5x-inline-mode-config-09.gif

Configurar o interruptor para o IDSM-2 no modo Inline

Refira configurar o 6500 Switch do Catalyst Series para o IDSM-2 na seção de modo Inline de configurar o IDSM-2 a fim configurar o interruptor para o modo IDSM-2 inline.

Troubleshooting

Problema

Se o IPS falha e está configurado inline, faça as relações falham aberto (o tráfego continua a passar) ou fechado (o tráfego é deixado cair).

Solução

Você pode configurar o IPS no estado falha-aberto. Assim, se o IPS falha continuará a passar o tráfego, mas não monitora o tráfego.

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos