Asa üzerinde kullanabileceğimiz 2 adet IPS kart çeşidi bulunmaktadır.AIP-SSM-10 ve AIP-SSM-20 modelleridir.Aslında ikisininde yaptığı iş aynıdır.Aralarındaki tek fark cpu ve ram kapasitelerinin farklı olması ve daha iyi performans sağlıyor olmasıdır.Modülün üzerinde sadece 1 adet gigabitethernet bakır kablo (rj45) interface’i bulunmaktadır.Dolayısı ile tüm IPS senaryolarında kullanmak interface sayısı yüzünden mümkün olamamaktadır.Yani external kaynaklardan AIP-SSM modüle trafiği yönlendirmek anlamsız olacaktır.Bu durumda en efektif yapmamız gereken şey ASA üzerinden geçen trafiği IPS kartımıza yönlendirmek olacaktır.AIP-SSM tüm trafiği inspect edebilmektedir, bu sebeple tüm trafiği IPS kartımıza yönlendirerek gerekli kötü kod analizleri ve zararlıları bulabilmesi için gerekli ortamı oluşturuyoruz.
access-list IPS extended permit ip any any
İlk olarak tüm trafiği belli edecek bir erişim listesi oluşturuyoruz.
class-map IPS_ClassMap
match access-list IPS
Layer3-4 bir class map ile trafiğimizin match olması için access listemizi gösteriyoruz.
policy-map IPS_PolicyMap
class IPS_ClassMap
ips inline fail-open
Class map içerisindeki match edilmiş trafiğin layer 3-4 policy-map içerisinde ne tür bir aksiyona uğrayacağını belli ediyoruz.”inline” kelimesi ile AIP-SSM modülümüzün match olan trafik için “Prevention” (IPS) yapmasını sağlıyoruz, isteğe bağlı olarak sadece “detection” (IDS) yapması için “promiscious” parametresi kullanılabilir.”fail-open” syntax’ı ile eğer olurda AIP-SSM modülü hata verirse trafiğin kesilmeden devam edebileceğini söylüyoruz.Kritik networklerde “fail-close” syntax’ı kullanılarak trafiğin kesilmesi sağlanabilir.
service-policy IPS_PolicyMap global
Son olarak yukarıda aksiyonu belli edilmiş match olan trafiğin “global” syntax’ı ile cihazın tüm interfacelerine ingress yönde gelen trafik için unidirectional olarak uygulanmasını sağlıyoruz ve yine isteğe bağlı olarak interface bazında uygulandığı takdirde, uygulandığı interface için hem ingress hem de egress yönünde bidirectional olarak çalışması sağlanabilir.
