Cisco SSCD-5 IPS Modul best Practice

[jAyR]

Hallo,

ich habe gerade zum ersten mal mit dem oben genannten IPS Modul zu tun und suche nun ein best practice dokument oder eine Doku um da reinzukommen. der IPS Guide von Cisco erklärt zwar die einzelnen Einstellungen im ASDM bzw IDM, jedoch suche ich etwas, was mir den Einstieg etwas erleichtert und die Einstellungen verdeutlicht.

Erste tests haben zwar gezeigt, dass "Brechstangen" Attacken zwar geblockt werden, jedoch wundert es mich, dass zB Portscanns durchlaufen und nicht geblockt werden.

Habt ihr vielleicht ein paar links für mich?

[zyxel]

Hallo jAyR,

an einer IPS würde ich in einem produktiven Netzwerk nicht unbedingt anfangen zu spielen. Du solltest da schon genau wissen was Du machst, da die IPS sich sonst irgendwo im Bereich von "ich mache gar nichts" bis "hier kommt nichts mehr durch" bewegt. Da die IPS dann noch transparent arbeitet wird es schwierig solche Fehler zu finden geschweige denn sie zu beseitigen.
Für den Einstieg würde ich Dir das IPS-Buch von Cisco Press empfehlen http://www.ciscopress.com/bookstore/product.asp?isbn=0132748347.

Viele Grüße,

Carsten

[Otaku19]

das IPS kann man ja auch als IDS betreiben, dann sieh man ja wie oft welche Signaturen feuern würden. Das Buch ist natürlich für alle IPS Systeme und richtet sich eher an die grossen Appliances und Module User. Aber es ist trotzdem alles von Anfang an beschrieben.

[jAyR]

Ich habe die Firewall mit dem Modul natürlich nicht im produktiven Netz sondern in einer Labor Umgebung. Hier zeigen sich jedoch sofort einige Auffälligkeiten im vergleich zur ASA ohne IPS:

1. default Inspection schickt alles zum IPS Modul, es werden jedoch keine Pings erlaubt. Sobald man ICMP in der default inspection aktiviert geht dafür der http zugriff nicht mehr. Tests mit tools haben gezeigt, dass Attacken geblockt werden, wenn man von außen angreift, jedoch ist mir nicht wirklich klar. Was ich für das produktiv schalten alles Einstellen sollte.

Ich habe erstmal nur die detection auf dem interface aktiviert, so dass "high risk" verbindungen dedroppt werden, auto update der signaturen eingerichtet und manuell icmp freigegeben.

Habt ihr noch Punkte die umbeding eingerichtet werden sollten?

[Otaku19]

habs noch nie selber wirklich benutzt, aber nachdem ich mich über den Certificationguide hergemacht habe würde ich sagen, ess empfiehlt sich vielleicht mal der IDS mode, sämtliche Aktionen die einen flow unterbrechen können  würde ich per event action override mal abschalten. dann kannst du mal ne Weile beobachten und die alarme durchgehen. Anomaly detection kann das kleine IDS eh nicht, aber ich denke, auch so wird jede Menge al Logmeldungen zusammenkommen