Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Вопросы по Cisco IPS

Добрый день, коллеги!

Во время внедрения Cisco IPS столкнулся с рядом  вопросов на которые не смог найти ответов в документации. Сейчас сенсор  работает в promiscuous режиме, мониторит сети за внутренними  интерфейсами асы, в дальнейшем планируется перевод его в in-line режим.  По умолчанию включенных и активных сигнатур на нем только порядка 1400  из почти 7000. Следовательно,

     1. Существуют ли  рекоммендации по enable\unretire неактивных сигнатур сенсора? В  документации  http://www.cisco.com/web/about/security/intelligence/01_30_IPS-SigRet.html указано что отозванные сигнатуры это либо низких уровней важности, либо уязвимостей старше 3х лет,  либо перекрывающиеся текущими активными и т.д. Но тем не менее  существуют неактивные довольно свежие сигнатуры высоких уровней  важности. Насколько я понимаю, включать их стоит в зависимости от существующей инфраструктуры, протоколов и т.д.  Но где та грань которой стоит придерживаться? Насколько оправданным  будет решение активировать все сигнатуры высоких уровней важности? Насколько это повлияет на загруженность сенсора 4510?

     2. Каким образом оптимально подобрать необходимые  сигнатуры для того или иного участка сети? Даже используя Netflow  данная задача не тривиальна. В настройках списка сигнатур есть вкладка  Templates: Data Center, Internet Edge, SCADA, Web applications. Где  можно ознакомиться с документацией по использованию данных шаблонов?

      3. Существуют ли рекоммендации по использованию разных наборов virtual  sensor, signatures, rules и как это влияет на производительность?  Разумно ли использовать разные вируальные сенсоры для разных участков  сети?

     4. Так же каких практик и рекоммендаций стоит  придерживаться при переводе IPS'а в in-line режим с отказоустойчивостью?  Потери полезного траффика исключены. Рссматривается вариант  использования STP для отказоустойчивости. НО! В инлайн режиме активен  нормализатор с двумя режимами работы: strict evasion protection,  assymetric mode protection. Какой из режимов предпочтителен при данной  схеме и как они работают в подробностях? Будут ли дропы траффика в  стрикт режиме при переключении с одного сенсора на другой, или же второй  сенсор будет анализировать траффик только новых сессий?

С уважением,

Дмитрий Концевой

3 ОТВЕТ.
New Member

Вопросы по Cisco IPS

предположения:

2. самим для своей сети и надо подбирать. можно свои сигнатуры собирать,

можно ретинг менять,

сумаррный рейтинг - сиска свой навяжет все же. вроде так....

3. производительность считать умножив на два "скорости интерфейса"  для каждого "сегмента"(виртуального сенсора)

4. там типа тема есть такая тема что сенсор станет "проводом" - "байпас", при его отказе...

трафик не потеряется, но не будет анализироваться... в отказ уст режиме сесии по любому потеряются кажись...

предположение к 1-му - сначала вроде ж изучение сети - потом типа берем ее за эталон. а потом аномалии....

Cisco Employee

Вопросы по Cisco IPS

1. Оох. На 4510 можно попробовать повключать выключенные сигнатуры. Он все-же довольно производительный и на нем стоит LSI regex accelerator. Но все не надо.

Рекомендации может и есть, но не знаю где. В 7.1(5) появились Signature threat profiles. При использовании IDM startup wizard можно выбрать один из профилей и будет включен соответствующий рекомендованный Cisco набор. Но это в зачаточном состоянии. В 7.3(1) это будет переделано.

2. Вот-вот. Я тоже не знаю. Видимо открывать кейс в TAC ? Попробуйте посмотреть на

http://tools.cisco.com/security/center/home.x

3. А что такие вопросы сложные ? Виртуальные сенсоры используют в основном в 2-х случаях: 1) когда есть два участка сети, требующие кардинально разных политик (сигнатур и event action overrides/filters), например, потому что в этих участках сети стоят разные OS, ходит разный трафик и они разные с т.зр. возможных атак, и 2) когда топология такова, что один и тот же пакет может пройти через сенсор дважды. Чтобы он не сошел от этого с ума его интерфейсы назначают в разные виртуальные сенсоры. Либо альтернативно используют inline-TCP-session-tracking-mode = interface-and-vlan или vlan-only.

Виртуальные сенсоры сами по себе нагружают не сильно, но вот когда к разным сенсорам пристегиваются разные наборы сигнатур - sig0 и sig1, то потребление памяти удваивается. Поэтому на младших моделях не рекомендуется иметь больше 2-х, а на самых младших типа SSM-10 - больше одного.

К сожалению, статистика виртуализирована не полностью. Например, все виртуальные сенсоры всегда показывают одну и ту же загрузку .

Часто можно обойтись одним виртуальным сенсором, одним набором сигнатур и правилами Event Action Filters для подавления заведомо нерелевантных срабатываний. Гранулярно исключить трафик из анализа с помощью типа ACL увы пока невозможно. Только атомарные сигнатуры имеют параметры, позволяющие задать SrcIP/Port и DstIP/Port.

4. Что-то мне подсказывает, что Вы уже открыли кейс в TAC . Смотря что нужно: шашечки или ехать. Promiscuous mode обманывается умелым хакером элементарно, потому что в нем нет normalizer. Почитайте "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection" by Newsham and Ptacek. Аналогично, включая inline-TCP-evasion-protection-mode = asymmetric вы фактически убиваете TCP-normalizer. Этот режим применяется только, когда сенсор видит TCP-трафик только в одном направлении и поэтому в inline mode др. выхода просто нет.

Я когда-то давно тестировал переключение. Но делал это просто перезапуская sensorApp. После рестарта оно подхватывало все текущие TCP-соединения и даже начинало анализировать в них атаки. С двумя сенсорами и STP я не тестировал. Думаю, что это легко проверить.

На самом деле Вы действительно можете открыть кейс в TAC и все эти вопросы выяснить более-менее точно с учетом того, что не все детали алгоритмов могут разглашаться.

Cisco Employee

Re: Вопросы по Cisco IPS

Уточнил: в схеме с двумя IPS и переключением между ними с помощью STP текущие сессии *теоретически* прерываться не должны. Нормалайзер должен подхватить новые TCP-сессии даже не видя 3WHS для них. Другое дело, что если ваш STP "будет скакать туда-сюда", то ничего хорошего наверное не получится. Если у сенсора есть TCP-сессия в таблице и вдруг появится трафик, не соответствующий хранящимся значениям SEQ и ACK, то этот трафик будет убит со срабатыванием 1330-17.

342
Просмотры
0
Полезный материал
3
Ответы
СоздатьДля создания публикации, пожалуйста в систему