Cisco ASA + NGIPS FirePower. Прощай ASA CX и Cisco IPS.

Сегодня смог посмотреть очередной вебинар компании Cisco, посвященный теме: "Новая функциональность NGIPS на базе устройств Cisco ASA5500X и 5585X – модели, позиционирование, ценовая политика". А если простым языком, то вебинар был посвящен новым устройствам FirePower, которые Cisco получила после покупки компании Sourcefire. Как и ожидалось, теперь данные решения доступны не только в качестве отдельного устройства но и программным модулем, который можно активировать на Cisco ASA серии 5500-X. Для этого достаточно наличия SSD диска и необходимых лицензий. Можно купить  бандл "все в одном" либо по отдельности.

Как обещает Cisco, новые устройства в скором времени пройдут сертификацию ФСТЭК.

Отличие межсетевого экрана от маршрутизатора (Firewall vs Router)

Как было описано ранее, при возникновении более одного сетевого сегмента (к примеру: сегмент серверов, сегмент пользователей) требуется устройство третьего уровня модели OSI (L3), т.е. маршрутизирующее устройство.

Если в сети находится большое кол-во информационных ресурсов (файловый сервер, корпоративный портал, виртуальная инфраструктура) и требуется высокая скорость маршрутизации внутри сети, то необходимо применять коммутаторы третьего уровня модели OSI. Различие маршрутизатора и коммутатора третьего уровня было описано ранее.

Как только появляется необходимость маршрутизации трафика во внешнюю сеть (Internet) необходимо использовать маршрутизатор или межсетевой экран. Рассмотрим отличия этих устройств. В чем разница? Где использовать межсетевой экран, а где маршрутизатор?

В качестве примера будем рассматривать маршрутизаторы и межсетевые экраны компании Cisco.

Cisco IPS Manager Express Demo режим

При подготовке к экзамену по IPS (642-627) из ветки CCNP Security столкнулся с одной проблемой: в вопросах есть лабораторные работы в которых используется 7-ая версия IPS... А для эмуляции доступна только 6-ая версия.

Инструкция по запуску IPS

Скачать образ IPS для GNS3

Тогда я вспомнил что у компании cisco есть такой продукт, как Cisco IPS Manager Express, который позволяет управлять десятью устройствами (IPS), а так же имеет режим Demo, в котором вы можете ознакомиться с интерфейсом программы без запуска самого IPS. Для подготовки к экзамену этого вполне достаточно.

Полезный ресурс по Cisco IPS (сигнатуры, документация, видео)

На сайте cisco имеется полезный ресурс, где вы можете найти детальное описание сигнатуры по ее номеру, или же найти номер сигнатуры по ключевым словам (icmp, telnet, http и т.д.)

Видео уроки cisco. Создание сигнатур для IPS. Пробуем tcp-reset

В данном уроке мы рассмотрим, как создавать свои собственные сигнатуры для IPS. Будем использовать схему, как в предыдущем уроке.

На виртуальной машине (Windows XP) включен Telnet server. Попробуем создать сигнатуру, которая будет сбрасывать соединение, при наборе слова test в активной Telnet - сессии (сессия с нашего компьютера до виртуальной машины)

Приступим к настройке. Запустим Signatur Wizard

Видео уроки cisco. Cisco IPS в inline режиме (inline interface pair)

В данной статье мы рассмотрим базовую настройку Cisco IPS/IDS в inline режиме. Как запускать IPS в GNS3 можно посмотреть в предыдущем уроке. 

Соберем для начала следующую схему

Первый loopback интерфейс моего компьютера подключен к интерфейсу e1, второй loopback интерфейс подключен к менеджмент интерфейсу e0 (management interface). К интерфейсу e2 подключен хост VirtualBox. Как подключать VirtualBox к GNS3 можно узнать в прошедших уроках. Как создавать loopback интерфейсы и как их использовать в GNS3 смотрите тут.

Для начала сконфигурируем интерфейсы IPS. Открываем ASDM и настраиваем:

Видео уроки cisco. Cisco IPS/IDS в GNS3

В данной статье мы поговорим о том, как запустить Cisco IPS в GNS3. Для начала вам потребуется скачать 2 файла, это disk1 и disk2 (скачать образы cisco IPS/IDS image 6.0(5)E2 вы можете здесь). Далее перейдем к настройкам GNS3. Edit->Preferences->IDS

Указываем параметры:
Identifer name - ips
Binary image 1 (hda) - путь к скаченному файлу disk1
Binary image 2 (hdb) - путь к скаченному файлу disk2
RAM - 1024 (не меньше)
Qemu options -   -smbios type=1,product=IDS-4235
Жмем Save, затем Apply и OK.