Cisco ASA üzerindeki trafiğin AIP-SSM modülüne gönderilmesi

Asa üzerinde kullanabileceğimiz 2 adet IPS kart çeşidi bulunmaktadır.AIP-SSM-10 ve AIP-SSM-20 modelleridir.Aslında ikisininde yaptığı iş aynıdır.Aralarındaki tek fark cpu ve ram kapasitelerinin farklı olması ve daha iyi performans sağlıyor olmasıdır.Modülün üzerinde sadece 1 adet gigabitethernet bakır kablo (rj45) interface’i bulunmaktadır.Dolayısı ile tüm IPS senaryolarında kullanmak interface sayısı yüzünden mümkün olamamaktadır.Yani external kaynaklardan AIP-SSM modüle trafiği yönlendirmek anlamsız olacaktır.Bu durumda en efektif yapmamız gereken şey ASA üzerinden geçen trafiği IPS kartımıza yönlendirmek olacaktır.AIP-SSM tüm trafiği inspect edebilmektedir, bu sebeple tüm trafiği IPS kartımıza yönlendirerek gerekli kötü kod analizleri ve zararlıları bulabilmesi için gerekli ortamı oluşturuyoruz.

access-list IPS extended permit ip any any
İlk olarak tüm trafiği belli edecek bir erişim listesi oluşturuyoruz.

class-map IPS_ClassMap
match access-list IPS

Layer3-4 bir class map ile trafiğimizin match olması için access listemizi gösteriyoruz.

policy-map IPS_PolicyMap
class IPS_ClassMap
ips inline fail-open

Class map içerisindeki match edilmiş trafiğin layer 3-4 policy-map içerisinde ne tür bir aksiyona uğrayacağını belli ediyoruz.”inline” kelimesi ile AIP-SSM modülümüzün match olan trafik için “Prevention” (IPS) yapmasını sağlıyoruz, isteğe bağlı olarak sadece “detection” (IDS) yapması için “promiscious” parametresi kullanılabilir.”fail-open” syntax’ı ile eğer olurda AIP-SSM modülü hata verirse trafiğin kesilmeden devam edebileceğini söylüyoruz.Kritik networklerde “fail-close” syntax’ı kullanılarak trafiğin kesilmesi sağlanabilir.

service-policy IPS_PolicyMap global
Son olarak yukarıda aksiyonu belli edilmiş match olan trafiğin “global” syntax’ı ile cihazın tüm interfacelerine ingress yönde gelen trafik için unidirectional olarak uygulanmasını sağlıyoruz ve yine isteğe bağlı olarak interface bazında uygulandığı takdirde, uygulandığı interface için hem ingress hem de egress yönünde bidirectional olarak çalışması sağlanabilir.

Print Friendly, PDF & Email
Share
Bu yazı Cisco Security kategorisine gönderilmiş ve , , , , , ile etiketlenmiş. Kalıcı bağlantıyı yer imlerinize ekleyin.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir