phamminhtuan
02-07-2011, 08:48 PM
Bùi Nguyễn Hoàng Long
VnPro
Lab 5: Thực hiện tính năng IPS với ASA SSM AIP
http://img820.imageshack.us/img820/2447/image001dz.gif
I. Mô tả:
Thực hiện hành động Deny Packet Inline và Produce Alert khi thiết bị nhận gói icmp echo request.
II. Cấu hình:
1. Cấu hình trên ciscoasa
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
Cấu hình thông tin cổng outside
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
Tăt tính năng NAT (tùy chọn)
ciscoasa(config)# no nat-control
Định nghĩa ACL cho phép truy cập với icmp
ciscoasa(config)# access-list PING permit icmp any any
ciscoasa(config)# access-group PING in interface outside
Xác định luồng dữ liệu được xử lý bởi sensor
ciscoasa(config)# access-list FILTER permit ip any host 192.168.2.2
Định nghĩa class-map
ciscoasa(config)# class-map IPS
ciscoasa(config-cmap)# match access-list FILTER
Định nghĩa policy-map
ciscoasa(config)# policy-map POLICY
Xác định phương thức xử lý luồng dữ liệu của sensor
ciscoasa(config-pmap-c)# ips inline fail-open
Gán chính sách lên cổng
ciscoasa(config)# service-policy POLICY interface outside
2. Cấu hình trên ASA SSM AIP
Thực hiện Enable cổng Monitor
http://img200.imageshack.us/img200/5554/image002kfa.jpg
Gán cổng vào Virtual Sensor
http://img638.imageshack.us/img638/3905/image003zu.jpg
Kích hoạt Sig ID 2004
http://img16.imageshack.us/img16/9767/image004ut.jpg
Chọn hành động là Deny Packet Inline và Procude Alert
http://img824.imageshack.us/img824/8469/image005jm.jpg
Tạo gói icmp echo request
http://img196.imageshack.us/img196/4039/image006mk.jpg
Gói icmp echo request bị loại bỏ bởi hành động Deny Packet Inline và cảnh báo được tạo để cho biết sự vi phạm
http://img34.imageshack.us/img34/3286/image007vn.jpg
Chọn Details để xem thông tin chi tiết gói vi phạm
http://img52.imageshack.us/img52/1999/image008dk.jpg
Ngoài hành động Deny Packet Inline, bạn có thể chọn Deny Attacker Inline với hành động này không những gói vi phạm bị loại bỏ mà tất cả việc truy cập từ địa chỉ vi phạm sẽ đều bị từ chối
http://img535.imageshack.us/img535/3223/image009ly.jpg
Tạo gói icmp echo request
http://img88.imageshack.us/img88/4439/image010yv.jpg
http://img199.imageshack.us/img199/7503/image011qd.jpg
Xem chi tiết cảnh báo
http://img843.imageshack.us/img843/6189/image012hd.jpg
Danh sánh địa chỉ bị từ chối truy cập
http://img694.imageshack.us/img694/3796/image013uz.jpg
VnPro
Lab 5: Thực hiện tính năng IPS với ASA SSM AIP
http://img820.imageshack.us/img820/2447/image001dz.gif
I. Mô tả:
Thực hiện hành động Deny Packet Inline và Produce Alert khi thiết bị nhận gói icmp echo request.
II. Cấu hình:
1. Cấu hình trên ciscoasa
Cấu hình thông tin cổng inside
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut
Cấu hình thông tin cổng outside
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip address 192.168.3.1 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut
Tăt tính năng NAT (tùy chọn)
ciscoasa(config)# no nat-control
Định nghĩa ACL cho phép truy cập với icmp
ciscoasa(config)# access-list PING permit icmp any any
ciscoasa(config)# access-group PING in interface outside
Xác định luồng dữ liệu được xử lý bởi sensor
ciscoasa(config)# access-list FILTER permit ip any host 192.168.2.2
Định nghĩa class-map
ciscoasa(config)# class-map IPS
ciscoasa(config-cmap)# match access-list FILTER
Định nghĩa policy-map
ciscoasa(config)# policy-map POLICY
Xác định phương thức xử lý luồng dữ liệu của sensor
ciscoasa(config-pmap-c)# ips inline fail-open
Gán chính sách lên cổng
ciscoasa(config)# service-policy POLICY interface outside
2. Cấu hình trên ASA SSM AIP
Thực hiện Enable cổng Monitor
http://img200.imageshack.us/img200/5554/image002kfa.jpg
Gán cổng vào Virtual Sensor
http://img638.imageshack.us/img638/3905/image003zu.jpg
Kích hoạt Sig ID 2004
http://img16.imageshack.us/img16/9767/image004ut.jpg
Chọn hành động là Deny Packet Inline và Procude Alert
http://img824.imageshack.us/img824/8469/image005jm.jpg
Tạo gói icmp echo request
http://img196.imageshack.us/img196/4039/image006mk.jpg
Gói icmp echo request bị loại bỏ bởi hành động Deny Packet Inline và cảnh báo được tạo để cho biết sự vi phạm
http://img34.imageshack.us/img34/3286/image007vn.jpg
Chọn Details để xem thông tin chi tiết gói vi phạm
http://img52.imageshack.us/img52/1999/image008dk.jpg
Ngoài hành động Deny Packet Inline, bạn có thể chọn Deny Attacker Inline với hành động này không những gói vi phạm bị loại bỏ mà tất cả việc truy cập từ địa chỉ vi phạm sẽ đều bị từ chối
http://img535.imageshack.us/img535/3223/image009ly.jpg
Tạo gói icmp echo request
http://img88.imageshack.us/img88/4439/image010yv.jpg
http://img199.imageshack.us/img199/7503/image011qd.jpg
Xem chi tiết cảnh báo
http://img843.imageshack.us/img843/6189/image012hd.jpg
Danh sánh địa chỉ bị từ chối truy cập
http://img694.imageshack.us/img694/3796/image013uz.jpg