وب سایت شخصی جعفر قنبری شوهانی

(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش سوم

IPS AIP

نکته : دستورات زیر جهت استفاده برای ماژول AIP می باشد این ماژول دارای دو اینترفیس گیگابیت می باشد که گیکابیت صفر به عنوان Management استفاده می شود

جهت آماده سازی پیشرفته مراحل زیر را دنبال کنید:
1. به سنسور Login کنید

 asa# session 1

2. دستور Setup را وارد کنید تا سیستم آماده سازی سنسور نمایان شود
3. کلید Enter را بدون ایجاد تغییر در گزینه ها بزنید تا منوی دسترسی به آماده سازی پیشرفته ظاهر شود

[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
Enter your selection[3]:

4. با انتخاب گزینه 3 وارد آماده سازی پیشرفته می شویم
5. در ابتدا وضعیت Telnet را باید مشخص کنید که به طور پیش فرض غیر فعال است

Enter telnet-server status[disabled]:

6. سپس پورت Web Server را مشخص می کنیم که مقدار پیش فرض 443 می باشد

Enter web-server port[443]:

7. برای تغییر اینترفیس ها و Virtual سنسور yes را وارد کنید.

Modify interface/virtual sensor configuration?[no]: yes 
Current interface configuration
 Command control: GigabitEthernet0/0
 Unassigned:

 Virtual Sensor: vs0
 Anomaly Detection: ad0
 Event Action Rules: rules0
 Signature Definitions: sig0
 Monitored:
  GigabitEthernet0/1

 [1] Edit Interface Configuration
 [2] Edit Virtual Sensor Configuration
 [3] Display configuration
Option:

نکته: Virtual Sensor مجموعه از Police ها است که به یک جریان ترافیک نسبت میدهیم تا سیاست های مورد نظر ما را اجرا کند. همچنین می توان چندتا Virtual Senor به صورت مجازی در یک سنسور فیزیکی داشته باشیم و آنها را به جریان مختلف نسبت دهیم.
8. گزینه دوم را انتخاب می کنیم تا سنسور مجازی را تنظیم کنیم

 [1] Remove virtual sensor.
 [2] Modify "vs0" virtual sensor configuration.
 [3] Create new virtual sensor.
Option:

9. گزینه دوم را انتخاب می کنیم تا تنظیمات مربوط به VS0 را انجام دهیم (سنسور مجازی پیش فرض)

Virtual Sensor: vs0
 Anomaly Detection: ad0
 Event Action Rules: rules0
 Signature Definitions: sig0

No Interfaces to remove.

 Unassigned:
 Monitored:
  [1] GigabitEthernet0/1
Add Interface: 

10. عدد یک را وارد می کنیم تا اینترفیس گیگابیت 1 جهت مانیتور شدن اضافه شود
نکته : شما می توانید چندتا سنسور مجازی داشته باشید اما پیشنهاد می شود که اینترفیس گیگابیت 1 را به VS0 نسبت دهید اما می توانید انرا به یک ماشین مجازی دیگر نسبت دهید
11. کلید Enter را بزنید تا به منوی قبل باز گردید

Virtual Sensor: vs0
 Anomaly Detection: ad0
 Event Action Rules: rules0
 Signature Definitions: sig0

 [1] Remove virtual sensor.
 [2] Modify "vs0" virtual sensor configuration.
 [3] Create new virtual sensor.
Option:

12. در صورتی که بخواهید یک سنسور مجازی دیگر بسازید گزینه سه را انتخاب کنید
13. یک نام برای ان انتخاب کنید

Name[]: ITpro.ir

14. در اینجا می توانید یک Description برای ان در نظر بگیرید

Description[Created via setup by user jeffar]: 

15. Anomaly Detection را مشخص می کنیم که در اینجا ما گزینه یک Anomaly Detection موجود استفاده می کنیم

Anomaly Detection Configuration
 [1] ad0
 [2] Create a new anomaly detection configuration
Option[1]:

16. Signature Definition را مشخص می کنیم

Signature Definition Configuration
 [1] sig0
 [2] Create a new signature definition configuration
Option[1]: 

17. در اینجا گزینه دوم را انتخاب می کنیم تا یک signature definition جدید ایجاد کنیم
18. یک نام برای ان انتخاب کنید

Name[]: itpro.ir 

19. گزینه یک Event رول پیش فرض را به ان اختصاص میدهیم

Event Action Rules Configuration
 [1] rules0
 [2] Create a new event action rules configuration
Option[1]: 

20. اینترفیس گیگابیت یک را به ان اختصاص می دهیم

Virtual Sensor: ITpro.ir
 Anomaly Detection: ad0
 Event Action Rules: rules0
 Signature Definitions: itpro.ir
 Unassigned:
 Monitored:
  [1] GigabitEthernet0/1
Add Interface: 

21. کلید Enter را می زنیم تا منوی قبلی ظاهر شود

Virtual Sensor: ITpro.ir
 Anomaly Detection: ad0
 Event Action Rules: rules0
 Signature Definitions: itpro.ir
 Monitored:
  GigabitEthernet0/1

 [1] Remove virtual sensor.
 [2] Modify "test" virtual sensor configuration.
 [3] Modify "vs0" virtual sensor configuration.
 [4] Create new virtual sensor.
Option: 

22. کلید Enter را بزنید تا پیام زیر ظاهر شود

Modify default threat prevention settings?[no]:yes 

23. اگر بخواهیم از بسته هایی با خطر ریسک بالا برای تمام سنسور جلوگیری شود از گزینه زیر استفاده می کنیم

Virtual sensor ITpro.ir is configured to prevent high risk threats in inline mode. (Risk Rating
 90-100)
  Virtual sensor vs0 is configured to prevent high risk threats in inline mode. (Risk Rating 
90-100)
Do you want to enable automatic threat prevention on all virtual sensors?[no]: 

24. در اینجا تنظیمات ما به پایان رسیده و تنظیمات به ما نمایش داده می شود و می توانیم تنظیمات را ذخیره کنیم

The following configuration was entered.

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name ITPRO
telnet-option disabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text 
dns-primary-server enable
address 8.8.8.8
exit
dns-secondary-server disabled
dns-tertiary-server disabled
http-proxy proxy-server
address 192.168.3.11
port 8080
exit
time-zone-settings
offset 330
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option enabled-ntp-unauthenticated
ntp-server 192.168.1.11
exit
exit
service global-correlation
network-participation off
exit
service web-server
port 443
exit
service analysis-engine
virtual-sensor ITpro.ir
description Created via setup by user jeffar
signature-definition itpro.ir
event-action-rules rules0
anomaly-detection
anomaly-detection-name ad0
exit
physical-interface GigabitEthernet0/1 
exit
exit
service event-action-rules rules0
overrides 
override-item-status Enabled
risk-rating-range 90-100
exit
exit
service event-action-rules itpro.ir
overrides 
override-
risk-rati
exit
exit
 [0] Go to
 [1] Retur
 [2] Save 

Enter you
Enter your selection[2]:

 

جعفر قنبری شوهانی

نوشته‌های مرتبط

دیدگاه‌ها

*
*