Cisco IPS 4240レビューと簡単な設定



先週アキバへ行ったとき格安で売ってたので買ってみた。

IPSとはIntrusion Prevention Systemの頭文字を撮ったもので日本語では侵入防止システムのと言う。このIPSにはホスト型とネットワーク型と呼ばれる分類があり、今回購入したものはネットワーク型。
ネットワーク型のIPSはパケットの中身を解析し不正な通信やあるパターンの通信を検知した時に防御を行う。 CiscoのIPSは、パケットをL2 – L7レベルで解析し、あらかじめ記憶してある不正通信やウイルスのパターン(シグネクチャ)にマッチしたらセッションを強制的に切断したりする機能が搭載されている。
(このシグネクチャのアップデートはさすがに正規ライセンスを契約しないとアップデートできない。。。)

スペック

製品名 Cisco IPS4240
CPU Intel Genuine Intel(R) CPU 3.00GHz(Pentiumだったと思う)
RAM 2GB
記憶媒体 コンパクトフラッシュ搭載 (1GB)
電源ユニット 180W を1つ搭載

見た目はこんな感じ。
外見はほぼASA5520と同じで、違いといえばロゴが微妙に違うのと、LEDの数が違う。

ロゴの違いの所。下がCisco ASA5520, 上がIPS4240。

まずはこいつを最低限SSHできるように設定していく方法を紹介してみる。

1.ホスト名変更。

IPS# conf t
IPS(config)# service host
IPS(config-hos)# network-settings
IPS(config-hos-net)# host-name IPS

2. IPアドレスを付与。mgmtポートにIPアドレスが設定される。
型式は、<設定するIPアドレス/プレフィックス,デフォルトゲートウェイのIP>

IPS(config-hos-net)# host-ip 192.168.100.1/24,192.168.100.254

3. DNSの設定。

IPS(config-hos-net)# dns-primary-server enabled
IPS(config-hos-net-ena)# address 192.168.100.200
IPS(config-hos-net-ena)# exit

4. 接続を許可するネットワークアドレス/プレフィックスを設定。末尾に/32を付けるとホストIPになる。(SSHなどで接続する場合に許可するIPアドレスを入れたりする)また、DNSサーバやhttp_proxyサーバ、デフォルトゲートウェイのIPアドレスからの接続も許可するように設定しておく。

IPS(config-hos-net)# access-list 192.168.100.200/32
IPS(config-hos-net)# access-list 192.168.100.201/32
IPS(config-hos-net)# access-list 192.168.100.202/32
IPS(config-hos-net)# access-list 192.168.100.254/32

5. http-proxyの設定。(任意)

IPS(config-hos-net)# http-proxy proxy-server
IPS(config-hos-net-pro)# address 192.168.100.201
IPS(config-hos-net-pro)# port 3128
IPS(config-hos-net-pro)# exit

6. 設定のモードから抜ける。最後に変更を保存するかを聞かれるので”yes”と入力する。

IPS(config-hos-net)# exit
IPS(config-hos)# exit
Apply Changes?[yes]: yes
IPS(config)#

7. SSHの設定。接続を許可するユーザ名とパスワードを設定する。

IPS(config)# username ユーザ名 password パスワード privilege administrator

その後、access-listで指定したIPからSSHとかが出来れば成功。
次にGi0/0とGi0/1でペアを作って実際にトラフィックを通過させる設定をしてみる。

1. インターフェイスサブモードへ入る

IPS(config)# service interface
IPS(config-int)#

2. インラインインターフェイスのペアを作成する。ペア名前はPAIR1とする。

IPS(config-int)# inline-interfaces PAIR1
IPS(config-int-inl)# interface1 GigabitEthernet0/0
IPS(config-int-inl)# interface2 GigabitEthernet0/1
IPS(config-int-inl)# exit

3. それぞれのインターフェイス(Gi0/0, Gi0/1)を有効化する。また、このサブモードから抜ける時前回のように設定を保存するか聞かれるので”yes”を入力する。

IPS(config-int)# physical-interfaces GigabitEthernet0/0
IPS(config-int-phy)# admin-state enabled
IPS(config-int-phy)# exit
IPS(config-int)# physical-interfaces GigabitEthernet0/1
IPS(config-int-phy)# admin-state enabled
IPS(config-int-phy)# exit
IPS(config-int)# exit

4. 分析エンジンモードへ入り、仮想センサーを追加する。

IPS(config)# service analysis-engine
IPS(config-ana)# virtual-sensor vs0

5. インラインインターフェイスのペアを追加する。

IPS(config-ana-vir)# logical-interface PAIR1

あとは、Gi0/0, Gi0/1へLANケーブルを繋げトラフィックが通過すれば成功。これで最低限トラフィックの通過と分析の設定は行えたと思う。
正直CiscoのIPSはコマンドやモードが他のCisco機器とかなり性質が違うので設定に結構難儀した。
とりあえずのところはここで終わりにしようかな。。。

色々イジれるようになってきたら自宅のDMZエリアへ転用してみたいと思う。

Leave a Reply

Your email address will not be published. Required fields are marked *