示範目标:部署思科IDS/IPS的旁路模式
示範環境:如下圖5.7所示,
<a target="_blank" href="http://blog.51cto.com/attachment/201309/024816576.png"></a>
示範背景:在如圖5.7所示的環境中,将IPS192.168.101.2部署為旁路模式,配置它可以被IDM主機192.168.101.3進行圖型化配置與管理,IPS的G0為網管接口(也就是通常所說的command接口,G1為監控接口也就是sensor接口,配置交換機S1的網絡管理位址為192.168.101.1,要求IPS的sensor接口處于旁路模式中,監控VLAN2主機A和B的流量。
示範步驟:
第一步:配置交換機,按照示範環境圖5.7為交換機規劃VLAN,為交換機配置管理接口VLAN1的ip位址是192.168.101.1/24。因為示範環境中思科的入侵檢測裝置采用的是旁路模式,是以必須為交換機配置端口鏡像以協同傳感器工作,端口鏡像要求将交換機fa0/1和fa0/2接口流量鏡像到fa0/3(連接配接IPS裝置sensor)的接口。交換機上的具體配置如下所示:
s1#vlan database * 進入Vlan資料庫配置模式
s1(vlan)#vlan 2 namev2 * 建立Vlan2并命名為V2
VLAN 2 added: * 系統提示Vlan2添加成功,名稱為v2。
Name: v2
s1(config)#interfacefastEthernet 0/1 * 進入交換機的fa0/1接口配置模式。
s1(config-if)#switchportaccess vlan 2 * 将該接口規劃到VLAN2中
s1(config-if)#noshutdown
s1(config)#interfacefastEthernet 0/2
s1(config-if)#switchportaccess vlan 2
s1(config-if)#exit
s1(config)#interfacefastEthernet 0/3
s1(config)#interfacevlan 1 * 進入交換機的管理接口,預設為vlan1
s1(config-if)#ipaddress 192.168.101.1 255.255.255.0 * 為管理接口配置IP位址。
s1(config)#monitorsession 1 source interface fastEthernet 0/1
s1(config)#monitorsession 1 source interface fastEthernet 0/2
* 配置交換機端口鏡像技術的鏡像來源端口,在該實驗中是fa0/1和fa0/2。
s1(config)#monitorsession 1 destination interface fastEthernet 0/3
* 配置交換機端口鏡像技術的鏡像目标端口,在該實驗中是fa0/3(連接配接IPS的接口)。
第二步:使用IDM配置思科的IPS傳感器為旁路模式,在使用IDM配置傳感器之前,必須保證已經完成了傳感器的初始化配置,關于傳感器的初始配置請參看項目四的任務三,在這裡就不再重複描述,在初始配置完成後,現在可以正式配置IPS的G1接口為旁路模式,首先是在IDM中的interface下啟動G1接口,如下圖5.8所示。
<a target="_blank" href="http://blog.51cto.com/attachment/201309/024938772.png"></a>
然後在virtualSensor (VS0)中将G1接口關聯到Virtual Sensor 0并Assign該接口,具體如下圖5.9所示,完成配置後,可以在如下圖5.10中看到旁路接口與VS關聯後的顯示,最後在interface configuration頁籤下的Summary可以檢視到IPS的G1接口的配置狀态,可看到該接口與Virtual Sensor 0關聯并處于旁路模式,如下圖5.11所示。
<a target="_blank" href="http://blog.51cto.com/attachment/201309/025051336.png"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201309/025051915.png"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201309/025051360.png"></a>
第三步:完成上述的配置後,您目前IPS的旁路模式就配置完成,此時需要檢測IPS是否開始檢查流量、是否能成功的觸發signature。你可以在VLAN2主機A ping主機B,但是在ping之前,你必須在signature中enable signature ID 2000和2004這兩個簽名分别訓示ICMP的請求與應答,在思科專業級的IPS系統上,為了減少不必要的告警資訊,在預設情況下它是被disable的,是以你必須enable它們,這與項目三中基于IOS或者PIX防火牆的簽名不一樣,在IOS和PIX防火牆上這兩個簽名預設是被啟動的。啟動它的方法如下圖5.12所示,通過搜尋sigID的方式,找到2000和2004的簽名,然後分别點選enable,并應用配置。
<a target="_blank" href="http://blog.51cto.com/attachment/201309/025140608.png"></a>
在正确完成上述的配置後,主機A到B的ping應該能夠被旁路模式下的IPS所記錄,然後,可以通過檢視最近一小時或者最近一分鐘的events看到主機A到B觸發的簽名事件,這表示旁路模式中的IPS成功的開始檢查資料流量。
本文轉自 kingsir827 51CTO部落格,原文連結:http://blog.51cto.com/7658423/1286813,如需轉載請自行聯系原作者
![單總線器件DS18B20溫度傳感器[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)