Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

BLOQUEAR EN IDS

Buenas noches a todos,

Espero me puedan ayudar.

En este momento tengo un IPS 4260 trabajando como IDS, pero las necesidades de la red ahora me pide que este trabaje como IPS para bloquear ciertos segmentos de red y algunos sitios web, he revisado algunos documentos sobre shunning and blocking, pero no me queda claro como ejecutar esta acción en mi red.

La pregunta es, en verdad es esto posible, poder bloquear tráfico aun estando como IDS?? y de ser así habrá algun documento de Cisco con esta información?

Saludos

1 RESPUESTA
Cisco Employee

BLOQUEAR EN IDS

Hola,

Cuando configuramos una plataforma de IPS 4200, ya sea en modo de IDS (Detección de Instrusos - conectado en modo promiscuo) o IPS (Prevención de Intrusos -conectado en modo en línea ), se utiliza la interfaz de "sensing", que es la que monitorea el comportamiento en la red. Depende como este esté conectado, el IPS mandará un Reset de la conexión,  bloqueará al paquete o al host en cuestión. 

Cuando se usa la propiedad de shunning o blocking en el IPS, se utiliza la interfaz de management. El IPS se comunica con dispositivos, como routers, switches o firewalls para bloquear aquellos host, esto lo puede hacer a través de telnet o ssh.

En general el funcionamiento es el siguiente:

1) Se crea un perfil  (login profile ) en el IPS  especificando un usuario y contraseña  que utilizará el IPS para comunicarse con el router , switch o firewall.

2) Se agrega el dispositivo al IPS (considerado como un blocking device).

3) Se especifica el ACL, dirección y la acción a ejecutar.

4) En el momento que exista actividad maliciosa el IPS podría madnar una lista de acceso al equipo para que bloquee al host.

NOTA: Dependiendo la plataforma las acciones que realiza el IPS son diferentes.

Te mando información al respecto

Shunning/Blocking on IPS for ASA/PIX/IOS Router Configuration Example

http://www.cisco.com/en/US/partner/products/hw/vpndev/ps40/products_configuration_example09186a0080afe111.shtml

Espero quede más claro.

Itzcoatl Espinosa

597
Visitas
5
ÚTIL
1
Respuestas