* Conhecimento do Firewall adaptável da ferramenta de segurança (ASA), Security Device Manager adaptável (ASDM).

Documentos relacionados
Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

As informações neste documento são baseadas nestas versões de software e hardware:

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

Permita o Preprocessor Inline da normalização e compreenda a inspeção PRE-ACK e Cargo-ACK

As informações neste documento são baseadas nestas versões de software e hardware:

Configurar a inteligência de Segurança baseada domínio (política DNS) no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

Configurar a restauração alternativa da configuração no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)

Índice. Introdução. Pré-requisitos. Requisitos

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Configurar uma regra da passagem em um sistema de Cisco FirePOWER

A configuração do equilibrador da carga de Citrix NetScaler para Cisco unificou o centro da inteligência (CUIC)

Configurar um server público com Cisco ASDM

CIMC acesso Inband no exemplo de configuração das lâminas da série UCS-b

A instalação da correção de programa/atualização no módulo de FirePOWER usando ASDM (Gerenciamento da Em-caixa)

Configuração da Alta disponibilidade na série 3 centros da defesa

Ajuste o IPS para a prevenção do falso positivo usando o filtro da ação do evento

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Etapas da configuração inicial de sistemas de FireSIGHT

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

Exemplos da configuração de sumarização IPS

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Regras locais do Snort do costume em um sistema de Cisco FireSIGHT

Configurar server da conexão de unidade para o exemplo de configuração pessoal unificado do comunicador

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Etapas da configuração inicial de sistemas de FireSIGHT

IPS 6.X e later/idsm2: A relação Inline emparelha o modo usando o exemplo de configuração IDM

Configurar e pesquise defeitos servidores de TACACS externos no ISE

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Configuração de regras do acesso no VPN Router CVR100W

Crie um coletor de dados definido pelo utilizador ajustado no monitoramento de desempenho para pesquisar defeitos processos UCCE

Exemplo de configuração para a integração NON-segura CUCM SCCP com CUC

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Como configurar a rede da ferramenta de segurança da Web de Cisco e DLP RSA para

Limitação de largura de banda para usuários PPTP no Roteadores RV016, RV042, RV042G e RV082 VPN

ACS 5.x: Exemplo de configuração do servidor ldap

Configurar a tradução de endereço de porta (PAT) na série do VPN Router RV320 e RV325

Estabelecer conexões de WAN duplas no Roteadores RV042, RV042G e RV082 VPN

Configurando o AutoAttendant com 3.0 CRA e CCM 3.2

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Integração de Cisco ACS 5.X com o servidor de tokens do SecurID RSA

Compreenda a expansão da regra em dispositivos de FirePOWER

Configuração identificação do motor do Simple Network Management Protocol (SNMP) no Switches ESW2-350G

MC o IPS de informação de versão do sensor é expirado

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Configurar o grupo de empresa para CUCM & IM/P

Configurar o portal do abastecimento do certificado ISE 2.0

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Permita server UC para o conjunto da cruz da mobilidade de extensão (EMCC)

Assegure a funcionalidade virtual apropriada do grupo WSA HA em um ambiente de VMware

Configurar a licença HCM-F 10.X e os trabalhos HLM

Túnel VPN de Lan para Lan entre duas PIXes usando o exemplo de configuração PDM

Filtragem URL em um exemplo da configuração de sistema de FireSIGHT

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Manual de configuração EAP-FAST da versão 1.02

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

As informações neste documento são baseadas nestas versões de software e hardware:

Configurar o servidor de backup para o gerente das comunicações unificadas de Cisco

Configurar a integração do ative directory com o ASDM para Único-Sinal-em & autenticação portal prisioneira (o Gerenciamento da Emcaixa)

Procedimento de migração para CUACA (10.5.X a 11.X.X)

Controle o anúncio de roteador na série do VPN Router RV320 e RV325

ACS 5.X: Fixe o exemplo de configuração do servidor ldap

Configurações de firewall gerais no Roteadores RV016, RV042, RV042G e RV082 VPN

Armazenamento anexado direto UCS e de Zoneamento FC exemplo de configuração

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Configurar o fluxo do convidado com ISE 2.0 e Aruba WLC

Configuração do acesso remoto VPN de AnyConnect em FTD

Regras do acesso ao Internet no VPN Router CVR100W

Criando um ACL com base em MAC no SG350XG e no SG550XG

Configurar configurações de firewall gerais no RV016, no RV042, no RV042G, e no RV082

Unidade organizacional personalizada para a integração LDAP entre o gerenciador de chamada e o diretório ativo

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Configurar configurações de firewall básicas no roteador do RV34x Series

IPS 6.X e mais tarde: Notificações de usando o exemplo de configuração IME

Configurar o mapa da classe do IPv6 de QoS do cliente no WAP125

Configurar o Access Control List com base em MAC (ACL) e a entrada de controle de acesso (ACE) em um interruptor controlado

Configurar configurações de rede para o LAN e o DHCP em SPA122

O exemplo de configuração para QoS em Windows baseou servidores de fax

Integração do sistema de FireSIGHT com ACS 5.x para a autenticação de usuário RADIUS

Como instalar, configurar e pesquise defeitos? SORVA o App da câmera de vídeo? s

Este documento não se restringe a versões de software e hardware específicas.

Alcance a configuração das regras em RV120W e em RV220W

Gerenciamento do grupo na série do VPN Router RV320 e RV325

O endereço IP de Um ou Mais Servidores Cisco ICM NT é obstruído ou põr pela inteligência de Segurança de um sistema de Cisco FireSIGHT

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Se você usa um telefone IP de Cisco 88XX, assegure-se de que você configure a característica da conferência Me Encontre no template de telefone.

Configurando o NAT e o NAT estático no RV160 e no RV260

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Configurar ajustes espertos dos serviços do aplicativo de rede (SNA)

Transcrição:

Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configuração Etapa 1. Configurar a política da intrusão Etapa 1.1. Crie a política da intrusão Etapa 1.2. Altere a política da intrusão Etapa 1.3. Altere a política baixa Etapa 1.4. Assinatura que filtra com opção da barra do filtro Etapa 1.5. Configurar o estado da regra Etapa 1.6. O filtro do evento configura Etapa 1.7. Configurar o estado dinâmico Etapa 2. Configurar a política da análise de rede (SESTA) & os conjuntos variáveis (opcionais) Passo 3: Configurar o controle de acesso para incluir conjuntos variáveis da SESTA da política da intrusão Etapa 4. Distribua a política do controle de acesso Etapa 5. Monitore eventos da intrusão Verificar Troubleshooting Informações Relacionadas Introdução Este documento descrevem a funcionalidade do sistema de detecção do Intrusion Prevention System (IPS) /Intrusion (IDS) do módulo da potência de fogo e os elementos da vária política da intrusão que fazem uma política da detecção no módulo da potência de fogo. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: * Conhecimento do Firewall adaptável da ferramenta de segurança (ASA), Security Device Manager adaptável (ASDM). * Conhecimento do dispositivo da potência de fogo. Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware:

Versão de software running 5.4.1 dos módulos da potência de fogo ASA (ASA 5506X/5506H- X/5506W-X, ASA 5508-X, ASA 5516-X) e mais alto. Versão de software running 6.0.0 do módulo da potência de fogo ASA (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) e mais alto. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any. Informações de Apoio A potência de fogo IDS/IPS é projetada examinar o tráfego de rede e identificar todos os testes padrões maliciosos (ou assinaturas) que indicarem um ataque da rede/sistema. O módulo da potência de fogo funciona no modo IDS se a serviço-política do ASA está configurada especificamente no modo de monitor (promíscuo) mais, ele trabalha no modo Inline. A potência de fogo IPS/IDS é uma aproximação assinatura-baseada da detecção. FirePOWERmodule no modo IDS gera um alerta quando a assinatura combina o tráfego malicioso, visto que o módulo da potência de fogo no modo IPS gera o tráfego malicioso do alerta e do bloco. Nota: Assegure-se de que o módulo da potência de fogo deva ter proteger a licença configurar esta funcionalidade. Para verificar a licença, navegue a licença da configuração > da potência de fogo ASA a configuração >. Configuração Etapa 1. Configurar a política da intrusão Etapa 1.1. Crie a política da intrusão Para configurar a política da intrusão, entre ao Security Device Manager adaptável ( Etapa 1. Navegue à configuração da configuração > da potência de fogo ASA > às políticas > à política da intrusão > à política da intrusão. Etapa 2. Clique a política da criação. Etapa 3. Dê entrada com o nome da política da intrusão. Etapa 4. Incorpore a descrição da política da intrusão (opcional). Etapa 5. Especifique a gota quando opção Inline. Etapa 6. Selecione a política baixa da lista de gota para baixo. Etapa 7. O clique cria a política para terminar a criação da política da intrusão.

Dica: Deixe cair quando a opção Inline for crucial em determinadas encenações quando o sensor estiver configurado no modo Inline e se exigir para não deixar cair o tráfego mesmo que combine uma assinatura que tenha uma ação de queda. Você pode observar que a política está configurada, contudo, não está aplicada a nenhum dispositivo. Etapa 1.2. Altere a política da intrusão Para alterar a política da intrusão, para navegar à configuração da configuração > da potência de fogo ASA > às políticas > à política da intrusão > à política da intrusão e a seleto edite a opção. Etapa 1.3. Altere a política baixa A página do Gerenciamento de políticas da intrusão A política baixa contém algum sistema-forneceu as políticas, que são políticas incorporados. 1. Segurança e Conectividade equilibradas: É uma política ótima em termos da Segurança e da Conectividade. Esta política tem ao redor 7500 regras permitidas, algumas delas geram somente eventos visto que outro geram eventos assim como deixam cair o tráfego. 2. Segurança sobre a Conectividade: Se sua preferência é Segurança então você pode escolher a Segurança sobre a política de conectividade, que aumenta o número de regras permitidas. 3. Conectividade sobre a Segurança: Se sua é Conectividade um pouco do que Segurança então você pode escolher a Conectividade sobre a política de segurança que reduzirá o número de regras permitidas. 4. Detecção máxima - Selecione esta política para obter a detecção máxima. 5. Nenhum Active da regra - Esta opção desabilita todas as regras. Você precisa de permitir as regras baseadas manualmente em sua política de segurança.

Etapa 1.4. Assinatura que filtra com opção da barra do filtro Navegue à opção das regras no painel navegacional e a página do Gerenciamento da regra publica-se. Há uns milhares da regra no banco de dados da regra. A barra do filtro fornece uma boa opção do Engine de busca para procurar eficazmente a regra. Você pode introduzir toda a palavra-chave na barra do filtro e o sistema agarra os resultados para você. Se há uma exigência encontrar a assinatura para a vulnerabilidade heartbleed do secure sockets layer (SSL), você pode procurar a palavra-chave heartbleed na barra do filtro e buscará a assinatura para a vulnerabilidade heartbleed. Dica: Se as palavras-chaves múltiplas são usadas na barra do filtro então o sistema combina-as que usam-se E a lógica para criar um composto procura. Você pode igualmente procurar as regras usando o ID de assinatura (SID), o gerador ID (GID), categoria: dos etc. As regras são divididas eficazmente em formas múltiplas tais como baseado em vulnerabilidades de Microsoft das classificações da categoria/em específico da plataforma sem-fins de Microsoft. Tal associação das regras ajuda o cliente a obter a assinatura direita em uma maneira fácil e a ajudar o cliente a ajustar eficazmente as assinaturas. Você pode igualmente procurar com número CVE para encontrar as regras que as cobrem. Você pode usar o CVE da sintaxe: <cve-number>. Etapa 1.5. Configurar o estado da regra Navegue à opção das regras no painel navegacional e a página do Gerenciamento da regra publica-se. Selecione as regras e escolha o estado da regra da opção configurar o estado das regras. Há três estados que podem ser configurados para uma regra: 1. Gere eventos: Esta opção gera eventos quando a regra combina o tráfego. 2. Deixe cair e gere eventos: Esta opção gera eventos e tráfego da gota quando a regra combina o tráfego. 3. Desabilitado: Esta opção desabilita a regra. Etapa 1.6. A importância de um evento da intrusão pode ser baseada na frequência de ocorrência, ou na fonte ou no endereço IP de destino. Em alguns casos, você não pode importar-se com um evento até que ocorra um determinado número de vezes. Por exemplo, você não pôde ser referido se alguém tenta entrar a um server até que falhem um determinado número de vezes. Em outros casos, você pôde somente precisar de ver algumas ocorrências da batida da regra para verificar se há um problema difundido. Há duas maneiras por que você pode conseguir este: 1. Ponto inicial do evento.

2. Supressão do evento. Ponto inicial do evento Você pode ajustar os pontos iniciais que ditam como um evento é indicado frequentemente, com base no número de ocorrências. Você pode configurar o limiar pelo evento e pela política. Etapas para configurar o ponto inicial do evento: Etapa 1. Selecione as regras para que você quer configurar o ponto inicial do evento. Etapa 2. Clique a filtração do evento. Etapa 3. Clique o ponto inicial. Etapa 4. Selecione o tipo da lista de gota para baixo. (Limite ou ponto inicial ou ambos). Etapa 5. Selecione como você quer seguir da trilha pela caixa da gota. (Fonte ou destino). Etapa 6. Incorpore a contagem dos eventos para encontrar o ponto inicial. Etapa 7. Incorpore os segundos para decorrer antes das restaurações da contagem. Etapa 8. APROVAÇÃO do clique a terminar. Depois que um filtro do evento é adicionado a uma regra, você deve poder ver um ícone do filtro ao lado da indicação da regra, que mostra que há uma filtração do evento permitida para esta regra. Supressão do evento

As notificações especificadas dos eventos podem ser suprimidas com base no endereço IP de origem/destino ou pela regra. Nota: Quando você adicionar a supressão do evento para uma regra. A inspeção da assinatura trabalha como normalmente mas o sistema não gera os eventos se o tráfego combina a assinatura. Se você especifica uma fonte/destino específicos então os eventos não aparecem somente para a fonte/destino específicos para esta regra. Se você escolhe suprimir a regra completa então o sistema não gera nenhum evento para esta regra. Etapas para configurar o ponto inicial do evento: Etapa 1. Selecione as regras para que você quer configurar o ponto inicial do evento. Etapa 2. Filtração do evento do clique. Etapa 3. Supressão do clique. Tipo da supressão da etapa 4.Select de gota da lista para baixo. (Regra ou fonte ou destino). Etapa 5. APROVAÇÃO do clique a terminar. Depois que o filtro do evento é adicionado a esta regra, você deve poder ver um ícone do filtro

com a contagem dois ao lado da indicação da regra, que mostra que há dois filtros do evento permitidos para esta regra. Etapa 1.7. Configurar o estado dinâmico Éuma característica onde nós podemos mudar o estado de uma regra se a condição especificada combina. Supõe uma encenação do ataque de força bruta para rachar a senha. Se uma assinatura detecta a tentativa da falha da senha e a ação da regra são gerar um evento. O sistema mantém-se em gerar o alerta para a tentativa da falha da senha. Para esta situação, você pode usar o estado dinâmico onde uma ação de eventos Generate pode ser mudada para deixar cair e gerar eventos para obstruir o ataque de força bruta. Navegue à opção das regras no painel navegacional e a página do Gerenciamento da regra publica-se. Selecione a regra para que você quer permitir o estado dinâmico e escolher o > Add dinâmico do estado das opções um estado da regra da Taxa-base. Para configurar o estado com base em taxa da regra: 1. Selecione as regras para que você quer configurar o ponto inicial do evento. 2. Clique o estado dinâmico. 3. Clique o estado com base em taxa da regra adicionar. 4. Selecione como você quer seguir o estado da regra da trilha pela caixa da gota. (Regra ou fonte ou destino). 5. Incorpore a rede. Você pode especificar um único endereço IP de Um ou Mais Servidores Cisco ICM NT, o bloco de endereço, a variável, ou uma vírgula? lista separada que é compreendida de toda a combinação destes. 6. Incorpore a contagem dos eventos e o timestamp aos segundos. 7. Selecione o estado novo, você querem definir para a regra. 8. Incorpore o intervalo depois do qual o estado da regra é revertido. 9. APROVAÇÃO do clique a terminar. Etapa 2. Configurar a política da análise de rede (SESTA) & os conjuntos variáveis (opcionais) Configurar a política da análise de rede A política do acesso de rede é sabida igualmente como preprocessors. O preprocessor faz a remontagem do pacote e normaliza o tráfego. Ajuda a identificar anomalias da camada de rede e do protocolo de camada de transporte na identificação de opções impróprias do encabeçamento. A SESTA faz o defragmentation de datagramas IP, fornece a inspeção stateful TCP e a remontagem do córrego e somas de verificação da validação. O preprocessor normaliza o tráfego, valida e verifica o padrão de protocolo. Cada preprocessor tem seu próprio número GID. Representa que preprocessor foi provocado pelo pacote. Para configurar a política da análise de rede, navegue à configuração da configuração > da

potência de fogo ASA > às políticas > à política do controle de acesso > avançou > política da análise de rede e da intrusão A política da análise de rede padrão é Segurança e a Conectividade equilibradas que é política recomendada ótima. Há outras três mais políticas fornecidas sistema da SESTA que podem ser selecionadas da lista de drop-down. Selecione a lista da política da análise de rede da opção para criar a política feita sob encomenda da SESTA. Configurar conjuntos variáveis Os conjuntos variáveis são usados em regras da intrusão para identificar os endereços de rementente e destinatário e as portas. As regras são mais eficazes quando as variáveis refletem seu ambiente de rede mais exatamente. A variável joga um papel importante no ajuste de desempenho. Os conjuntos variáveis têm sido configurados já com opção padrão (/porta da rede). Adicionar conjuntos variáveis novos se você quer mudar a configuração padrão. Para configurar os conjuntos variáveis, navegue à configuração da configuração > da potência de fogo ASA > ao Gerenciamento > ao conjunto variável do objeto. A opção seleta adiciona o conjunto variável para adicionar conjuntos variáveis novos. Dê entrada com o nome dos conjuntos variáveis e especifique a descrição. Se qualquer aplicativo feito sob encomenda trabalha em uma porta específica a seguir define o número de porta no campo de número de porta. Configurar o parâmetro de rede. $Home_NET especificam a rede interna. $External_NET especificam a rede externa. Passo 3: Configurar o controle de acesso para incluir Navegue à configuração da configuração > da potência de fogo ASA > às políticas > à política do controle de acesso. Você precisa de terminar estas etapas: 1. Edite a regra da política de acesso onde você quer atribuir a política da intrusão. 2. Escolha a aba da inspeção. 3. Escolha a política da intrusão da lista de gota para baixo e escolha os conjuntos variáveis de deixam cair para baixo a lista 4. Clique em Salvar. Desde que uma política da intrusão é adicionada a esta regra da política de acesso. Você pode ver o ícone do protetor na cor dourada que indica que a política da intrusão está permitida. A potência de fogo da loja ASA do clique muda para salvar as mudanças. Etapa 4. Distribua a política do controle de acesso

Agora, você deve distribuir a política do controle de acesso. Antes que você aplique a política, você verá uma política do controle de acesso da indicação expirado no dispositivo. Para distribuir as mudanças ao sensor: 1. O clique distribui. 2. O clique distribui mudanças da potência de fogo. 3. O clique distribui na janela pop-up. Nota: Na versão 5.4.x, para aplicar a política de acesso ao sensor, você precisa de clicar aplica mudanças da potência de fogo ASA Nota: Navegue à monitoração > monitoração da potência de fogo ASA > estado da tarefa. Assegure-se de que a tarefa deva terminar para aplicar a alteração de configuração. Etapa 5. Monitore eventos da intrusão Para ver os eventos da intrusão gerados pelo módulo da potência de fogo, navegue à monitoração > monitoração da potência de fogo ASA > tempo real Eventing. Verificar No momento, não há procedimento de verificação disponível para esta configuração. Troubleshooting Etapa 1. Assegure-se de que o estado da regra de regras esteja configurado apropriadamente. Etapa 2. Assegure-se de que a política correta IPS esteja incluída em regras do acesso. Etapa 3. Assegure-se de que os grupos das variáveis estejam configurados corretamente. Se os conjuntos variáveis não são configurados corretamente então as assinaturas não combinarão o tráfego. Etapa 4. Assegure-se de que a distribuição de política do controle de acesso termine com sucesso. Etapa 5. Monitore os eventos de conexão e os eventos da intrusão para verificar se o fluxo de tráfego está batendo a regra correta ou não. Informações Relacionadas Guia de início rápido do módulo da potência de fogo de Cisco ASA Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback