IPS v5

Wizard · gio 17 mag , 2007 7:00 pm

Dalle ultime versioni della IOS sui router Cisco è uscito il sistema IPS 5.x.
Ho avuto a che fare con la versione 5 oggi e quesa è la sintassi per la configurazione:

Codice: Seleziona tutto

#mkdir ips-store

(config)#crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
Quit

do wr

(config)#ip ips name IPS-IN
(config)#ip ips config location flash:ips-store
(config)#ip ips notify log

(config)#int atm0.1
(config-if)#ip ips IPS-IN in

do wr

copy tftp://<Server IP address>/IOS-S259-CLI.pkg idconf
# Il file si scarica da http://www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/crypto/3DES/ciscosecure/ids/sigup/5.0/ios/I# OS-S259-CLI.pkg&app=Tablebuild&status=showC2A

(config)#ip ips signature-category
(config-ips-category)#category all
(config-ips-category-action)#event-action deny-packet-inline
(config-ips-category-action)#event-action reset-tcp-connection
(config-ips-category-action)#event-action produce-alert

wr

2 cose:
1) Ogno volta che modificate qualcosa in "ip ips signature-category" ad esemio alla fine vi chiede conferma di quello che avete fatto, confermate perchè altrimenti il lavoro fatto non sarà applicato. Ci può impegare anche alcuni minuti, è normale.

2) Se avete qualche modifica o aggiunta alla mai configurazione per migliorare il sistema fatevi avanti!

Wizard · ven 18 mag , 2007 3:47 pm

Su un 877 sono arrivato a questo compromesso:

Codice: Seleziona tutto

ip ips signature-category
  category all
   retired true
   event-action reset-tcp-connection deny-packet-inline produce-alert
  category viruses/worms/trojans
   retired false
  category ddos
   retired false
  category adware/spyware
   retired false
  category dos
   retired false
  category attack
   retired false

Di più mi sa che faccio sedere il router...

berlioz · ven 03 ago , 2007 2:08 pm

Ciao,
anch'io ho un 877W e volevo implementare l'IPS, ma non risco a trovare i pacchetti per le signature della versione 5 tipo S259CLI.pkg o superiori e non avendo un account cco non posso neanche scaricarli dal sito cisco.
puoi aiutarmi?

grazie

Wizard · ven 03 ago , 2007 2:10 pm

Se non puoi scaricare le nuove definizione direi di no...
Puoi sempre configurare l'ips base.

Wizard · gio 23 ago , 2007 3:36 pm

Config IPS su un 1841 (avente diversi servizi pubblicati):

(config)#ip ips signature-category
(config-ips-category)# category all
(config-ips-category-action)# retired true
(config-ips-category-action)# event-action deny-packet-inline produce-alert
(config-ips-category-action)# category web_server internet_information_server_(iis)
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category ddos
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category viruses/worms/trojans
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category attack
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category email pop
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category email smtp
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category dos
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category ios_ips basic
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true
(config-ips-category-action)# category l2/l3/l4_protocol ip
(config-ips-category-action)# retired false
(config-ips-category-action)# enabled true

Da uno "sh ver":

System image file is "flash:c1841-adventerprisek9-mz.124-15.T1.bin"

Cisco 1841 (revision 5.0) with 354304K/38912K bytes of memory.
Processor board ID FCZ09202097
2 FastEthernet interfaces
1 ATM interface
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
2030616K bytes of ATA CompactFlash (Read/Write)

Wizard · mar 04 set , 2007 10:39 am

Su un 877w hpo avuto un problemini...dopo circa 3 mesi dalla installazione e configurazione del IPS il router aveva la cpu al 100% (processo IPS), per questo ho aggiornato la ios alla ultima versione e configurato l'ips in questo modo:

Codice: Seleziona tutto

ip ips signature-category
  category all
   retired true
   event-action reset-tcp-connection deny-packet-inline produce-alert
  category ddos
   retired false
  category dos
   retired false

Non hanno servizi pubblicati quindi direi che queste categorie bastano e non fanno lavorare tr la cpu del router...

IPS v5

Login • Iscriviti