Como mencionei no post IPS no ASA5505 o módulo AIP-SSC-5 não possui nenhuma interface, mas mesmo assim podemos configurá-lo via console ou acesso remoto, através de seu IP de gerência.
1°) Acessando via console
Acesse o ASA via linha de comando, e digite session 1. Com isso você entrará na console do módulo.
asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is ‘CTRL-^X’.Login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States and local
country laws governing import, export, transfer and use. Delivery of Cisco cryptographic
products does not imply third-party authority to import, export, distribute or use
encryption. Importers, exporters, distributors and users are responsible for compliance
with U.S. and local country laws. By using this product you agree to comply with
applicable laws and regulations. If you are unable to comply with U.S. and local laws,
return this product immediately.A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.htmlIf you require further assistance please contact us by sending email to export@cisco.com.
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license to obtain a new license or install a license.
aip-ssm#
2°) Através do IP de Gerência
O módulo não tem interface física, mas podemos criar uma interface VLAN no ASA e através dele chegar ao IPS, para gerência. Para isso siga o procedimento abaixo:
!Por padrão a VLAN 1 é a VLAN de gerência do ASA (interface inside), mas devemos desabilitá-la
hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt! Crie um interface VLAN qualquer e defina o nome
hostname(config-if)# interface vlan 20
hostname(config-if)# nameif inside! Coloque o IP para gerência do ASA e o security-level
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# security-level 100! Configure a interface para permitir a gerência do módulo e habilite a interface
hostname(config-if)# allow-ssc-mgmt
hostname(config-if)# no shutdown! Configure a interface para servir apenas para gerência
hostname(config-if)# management-only! Configure o IP de gerência do módulo e seu gateway
hostname(config)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1! Especifique quem pode acessar o módulo para administração (10.1.1.30, neste exemplo)
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255! Associe a VLAN a uma interface física do ASA e habilite a interface
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown
Com esta configuração acima, podemos acessar o ASA através do IP 10.1.1.1 e o módulo IPS através do IP 10.1.1.2. Observe porém, que nesta configuração apenas o host 10.1.1.30 poderá acessar o IPS.
Após acessar o módulo, pela console ou pelo IP de gerência, basta digitar setup que será apresentado um prompt interativo para que a configuração inicial seja realizada, assim como nos demais módulos e appliances IPS.
Por padrão o módulo AIP-SSC-5 vem configurado com usuário e senha cisco, IP administrativo 192.168.1.2/24, gateway 192.168.1.1 e permite o acesso remoto da rede 192.168.1.0/24.
Direcionando o tráfego para inspeção no IPS
A configuração do ASA5505 para enviar o tráfego para inspeção no módulo AIP-SSC-5 é exatamente igual a configuração realizada nos ASA5510, ASA5520 e ASA5540 para inspeção nos módulos AIP-SSM.
Exemplo: Configuração do ASA (5505, 5510, 5520 ou 5540) para envio de tráfego para o módulo IPS (AIP-SSC-5, AIP-SSM10 ou AIP-SSM20)
! Conecte no ASA e entre no modo de configuração global
asa# configure terminal! Crie uma access-list selecionando o tráfego que será inspecionado (neste exemplo, todo o tráfego)
asa(config)# access-list aclips permit ip any any! Crie um class-map que identificará o tráfego que será enviado para o módulo
asa(config)# class-map ips_class! Dentro do class-map indique a access-list criada acima para seleção do tráfego
asa(config-cmap)# match access-list aclips! Agora crie um policy-map, que definirá a ação que será tomada com relação ao tráfego selecionado
asa(config-cmap)# policy-map ips_policy! Dentro do policy-map especifique o class-map criado anteriormente
asa(config-pmap)# class ips_class! Especifique se o IPS trabalhará inline ou em modo promíscuos e como o tráfego será tratado se o IPS falhar
Observação: fail-close: Se o IPS falhar todo o tráfego selecionado para inspeção será bloqueado
fail-open: Se o IPS falhar todo o tráfego selecionado para inspeção será liberado
asa(config-pmap-c)# ips inline fail-open! Ative o service policy em uma interface ou em modo global
asa(config)# service-policy ips_policy outside
Com esta configuração todo o tráfego ip que entrar ou sair pela interface outside, será enviado para inspeção no módulo IPS. Se o módulo parar de funcionar o tráfego será enviado para seu destino normalmente, sem a análise do IPS no entanto.
O guia completo para configuração de IPS pode ser encontrado no site da Cisco.
Até a próxima.
