先週アキバへ行ったとき格安で売ってたので買ってみた。
IPSとはIntrusion Prevention Systemの頭文字を撮ったもので日本語では侵入防止システムのと言う。このIPSにはホスト型とネットワーク型と呼ばれる分類があり、今回購入したものはネットワーク型。
ネットワーク型のIPSはパケットの中身を解析し不正な通信やあるパターンの通信を検知した時に防御を行う。 CiscoのIPSは、パケットをL2 – L7レベルで解析し、あらかじめ記憶してある不正通信やウイルスのパターン(シグネクチャ)にマッチしたらセッションを強制的に切断したりする機能が搭載されている。
(このシグネクチャのアップデートはさすがに正規ライセンスを契約しないとアップデートできない。。。)
スペック
製品名 | Cisco IPS4240 |
CPU | Intel Genuine Intel(R) CPU 3.00GHz(Pentiumだったと思う) |
RAM | 2GB |
記憶媒体 | コンパクトフラッシュ搭載 (1GB) |
電源ユニット | 180W を1つ搭載 |
見た目はこんな感じ。
外見はほぼASA5520と同じで、違いといえばロゴが微妙に違うのと、LEDの数が違う。
ロゴの違いの所。下がCisco ASA5520, 上がIPS4240。
まずはこいつを最低限SSHできるように設定していく方法を紹介してみる。
1.ホスト名変更。
IPS# conf t IPS(config)# service host IPS(config-hos)# network-settings IPS(config-hos-net)# host-name IPS |
2. IPアドレスを付与。mgmtポートにIPアドレスが設定される。
型式は、<設定するIPアドレス/プレフィックス,デフォルトゲートウェイのIP>
IPS(config-hos-net)# host-ip 192.168.100.1/24,192.168.100.254 |
3. DNSの設定。
IPS(config-hos-net)# dns-primary-server enabled IPS(config-hos-net-ena)# address 192.168.100.200 IPS(config-hos-net-ena)# exit |
4. 接続を許可するネットワークアドレス/プレフィックスを設定。末尾に/32を付けるとホストIPになる。(SSHなどで接続する場合に許可するIPアドレスを入れたりする)また、DNSサーバやhttp_proxyサーバ、デフォルトゲートウェイのIPアドレスからの接続も許可するように設定しておく。
IPS(config-hos-net)# access-list 192.168.100.200/32 IPS(config-hos-net)# access-list 192.168.100.201/32 IPS(config-hos-net)# access-list 192.168.100.202/32 IPS(config-hos-net)# access-list 192.168.100.254/32 |
5. http-proxyの設定。(任意)
IPS(config-hos-net)# http-proxy proxy-server IPS(config-hos-net-pro)# address 192.168.100.201 IPS(config-hos-net-pro)# port 3128 IPS(config-hos-net-pro)# exit |
6. 設定のモードから抜ける。最後に変更を保存するかを聞かれるので”yes”と入力する。
IPS(config-hos-net)# exit IPS(config-hos)# exit Apply Changes?[yes]: yes IPS(config)# |
7. SSHの設定。接続を許可するユーザ名とパスワードを設定する。
IPS(config)# username ユーザ名 password パスワード privilege administrator |
その後、access-listで指定したIPからSSHとかが出来れば成功。
次にGi0/0とGi0/1でペアを作って実際にトラフィックを通過させる設定をしてみる。
1. インターフェイスサブモードへ入る
IPS(config)# service interface IPS(config-int)# |
2. インラインインターフェイスのペアを作成する。ペア名前はPAIR1とする。
IPS(config-int)# inline-interfaces PAIR1 IPS(config-int-inl)# interface1 GigabitEthernet0/0 IPS(config-int-inl)# interface2 GigabitEthernet0/1 IPS(config-int-inl)# exit |
3. それぞれのインターフェイス(Gi0/0, Gi0/1)を有効化する。また、このサブモードから抜ける時前回のように設定を保存するか聞かれるので”yes”を入力する。
IPS(config-int)# physical-interfaces GigabitEthernet0/0 IPS(config-int-phy)# admin-state enabled IPS(config-int-phy)# exit IPS(config-int)# physical-interfaces GigabitEthernet0/1 IPS(config-int-phy)# admin-state enabled IPS(config-int-phy)# exit IPS(config-int)# exit |
4. 分析エンジンモードへ入り、仮想センサーを追加する。
IPS(config)# service analysis-engine IPS(config-ana)# virtual-sensor vs0 |
5. インラインインターフェイスのペアを追加する。
IPS(config-ana-vir)# logical-interface PAIR1 |
あとは、Gi0/0, Gi0/1へLANケーブルを繋げトラフィックが通過すれば成功。これで最低限トラフィックの通過と分析の設定は行えたと思う。
正直CiscoのIPSはコマンドやモードが他のCisco機器とかなり性質が違うので設定に結構難儀した。
とりあえずのところはここで終わりにしようかな。。。
色々イジれるようになってきたら自宅のDMZエリアへ転用してみたいと思う。