Tischplattenbeißpotential: 0
1. Erstelle ein IPS-Konfigurationsverzeichnis
R1#mkdir flash:ipsdir
-> im privileged EXEC mode; mit Enter noch mal bestätigen
2. Konfiguriere dieses Verzeichnis als IPS signature storage location
R1(config)#ip ips config location ipsdir
oder auch:
R1(config)#ip ips config location flash:ipsdir
-> wird aber nicht bewertet
3. IPS aktivieren / einen Namen für eine Regel vergeben
R1(config)#ip ips name iosips
-> ohne eine ACL anzugeben
4. Logging
R1(config)#logging host 192.168.1.50
-> Syslog-Server
R1(config)#ip ips notify log
-> logging event notification
-> in der Zwischenaufgabe muss nur ein zusätzlicher Befehl abgesetzt werden:
R1(config)#service timestamps log datetime msec
-> logging on und clock set... werden nicht bewertet
5. Signaturen
a) Signaturen der ALL-Kategorie deaktivieren (retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retire true
-> dann zwei mal exit verwenden und mit Enter die Änderungen bestätigen
b) Signaturen der "IOS_IPS Basic"-Kategorie aktivieren (un-retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
6. An Fa0/0 outbound anbringen
R1(config-if)#ip ips iosips out
-> iosips ist der am Anfang vergebene Name der IPS-Regel
-> Log-Messages folgen:
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_BUILDS_STARTED: 12:24:23 UTC Mrz 21 2011
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_BUILDING: atomic-ip - 3 signatures - 1 of 13 engines
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_READY: atomic-ip - build time 8 ms - packets for this engine will be scanned
*Mrz 21, 12:24:23.2424: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 8 ms
7. Eine Signatur verändern
a) Signatur 2004, subsig ID 0 soll aktiviert (un-retire) und freigegeben (enable) werden
R1(config)#ip ips signature-definition
-> statt einer Kategorie wird eine einzelne Signatur bearbeitet
R1(config-sigdef)#signature 2004 0
-> 0 ist die Subsignatur-ID
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
-> es müssen beide Kommandos genutzt werden
b) Die Aktionen alert und drop sollen aktiviert werden
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
-> alert
R1(config-sigdef-sig-engine)#event-action deny-packet-inline
-> drop
(mehr als diese beiden Optionen ist im Moment auch nicht verfügbar)
1. Erstelle ein IPS-Konfigurationsverzeichnis
R1#mkdir flash:ipsdir
-> im privileged EXEC mode; mit Enter noch mal bestätigen
2. Konfiguriere dieses Verzeichnis als IPS signature storage location
R1(config)#ip ips config location ipsdir
oder auch:
R1(config)#ip ips config location flash:ipsdir
-> wird aber nicht bewertet
3. IPS aktivieren / einen Namen für eine Regel vergeben
R1(config)#ip ips name iosips
-> ohne eine ACL anzugeben
4. Logging
R1(config)#logging host 192.168.1.50
-> Syslog-Server
R1(config)#ip ips notify log
-> logging event notification
-> in der Zwischenaufgabe muss nur ein zusätzlicher Befehl abgesetzt werden:
R1(config)#service timestamps log datetime msec
-> logging on und clock set... werden nicht bewertet
5. Signaturen
a) Signaturen der ALL-Kategorie deaktivieren (retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retire true
-> dann zwei mal exit verwenden und mit Enter die Änderungen bestätigen
b) Signaturen der "IOS_IPS Basic"-Kategorie aktivieren (un-retire)
R1(config)#ip ips signature-category
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
6. An Fa0/0 outbound anbringen
R1(config-if)#ip ips iosips out
-> iosips ist der am Anfang vergebene Name der IPS-Regel
-> Log-Messages folgen:
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_BUILDS_STARTED: 12:24:23 UTC Mrz 21 2011
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_BUILDING: atomic-ip - 3 signatures - 1 of 13 engines
*Mrz 21, 12:24:23.2424: %IPS-6-ENGINE_READY: atomic-ip - build time 8 ms - packets for this engine will be scanned
*Mrz 21, 12:24:23.2424: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 8 ms
7. Eine Signatur verändern
a) Signatur 2004, subsig ID 0 soll aktiviert (un-retire) und freigegeben (enable) werden
R1(config)#ip ips signature-definition
-> statt einer Kategorie wird eine einzelne Signatur bearbeitet
R1(config-sigdef)#signature 2004 0
-> 0 ist die Subsignatur-ID
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
-> es müssen beide Kommandos genutzt werden
b) Die Aktionen alert und drop sollen aktiviert werden
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
-> alert
R1(config-sigdef-sig-engine)#event-action deny-packet-inline
-> drop
(mehr als diese beiden Optionen ist im Moment auch nicht verfügbar)
Keine Kommentare:
Kommentar veröffentlichen