Что такое ips cisco

Обновлено: 01.07.2024

Защита сетей с помощью Cisco Firepower® Next-Generation IPS (SSFIPS) версии 4.0 — это 5-дневный курс, который
покажет вам, как развертывать и использовать Cisco Firepower®
Next-Generation. Система предотвращения вторжений (NGIPS).
Этот практический курс дает вам знания и навыки
использования функций платформы и включает в себя концепции безопасности брандмауэра
, архитектуру платформы и ключевые
функции. ; углубленный анализ событий, включая обнаружение
сетевых вредоносных программ и типов файлов, настройку и
настройку NGIPS, включая управление приложениями, безопасность
аналитику, брандмауэр и сетевые вредоносные программы и файлы
управление; язык правил Snort®; файлов и вредоносных программ
проверка, анализ безопасности и сетевой анализ
настройка политик, предназначенная для обнаружения шаблонов трафика;
настройка и развертывание политик корреляции для
принятия мер на основе обнаруженных событий; устранение неполадок;
задачи системного и пользовательского администрирования и многое другое. Этот
курс поможет вам:
• внедрить Cisco Firepower IPS следующего поколения, чтобы
предотвратить угрозы, противостоять атакам, повысить уязвимость,
предотвратить подозрительные файлы и проанализировать
еще не обнаруженные угрозы
• Получите передовые навыки для востребованных
обязанностей, связанных с безопасностью

Этот курс поможет вам подготовиться к сдаче экзамена
Защита сетей с помощью Cisco Firepower (300-710
SNCF), который ведет к сертификации CCNP Security и Cisco Certified
Specialist — Network Security Firepower Сертификаты.
К экзамену 300-710 SNCF также есть второй курс подготовки
, Безопасность сетей с помощью Cisco Firepower
Межсетевого экрана нового поколения (SSNGFW). Вы можете проходить эти
курсы в любом порядке.

Кто должен присутствовать:

Этот курс предназначен для технических специалистов,
которые должны знать, как развертывать и управлять Cisco
Firepower NGIPS в своей сетевой среде, в том числе:
• администраторы безопасности
• Консультанты по безопасности
• Сетевые администраторы
• Системные инженеры
• Персонал службы технической поддержки
• Торговые партнеры и торговые посредники

Предпосылки:

Знания и навыки, которыми должен обладать учащийся
до посещения этого курса, следующие:
• Техническое понимание сетей TCP/IP и
сетевой архитектуры.
• Базовые знания. знакомство с понятиями
систем обнаружения вторжений (IDS) и IPS.

Цели курса:

По завершении этого курса учащийся сможет
достичь следующих общих целей:
• Описать компоненты Cisco Firepower Threat Threat
Defense и процесс регистрации управляемого устройства
• Подробное описание трафика брандмауэров нового поколения (NGFW)
управление и настройка системы Cisco Firepower для
обнаружения сети
• Внедрение политик контроля доступа и описание
расширенных функций политики контроля доступа
• Настроить функции аналитики безопасности и
Расширенную защиту от вредоносных программ (AMP) для сетей
процедуру реализации для контроля файлов и
расширенную защиту от вредоносных программ
• Внедрить и управлять вторжением и сетью политики анализа для проверки NGIPS
• Опишите и продемонстрируйте подробный анализ
методов и функций отчетности, предоставляемых
Cisco Firepower Management Center
• Интегрируйте Cisco Firepower Management Center с внешним местом назначения журнала
• Опишите и дем описание внешних оповещений
параметров, доступных для Cisco Firepower Management
центрирование и настройка политики корреляции
• описание основных функций Cisco Firepower Management Center
обновление программного обеспечения и управление учетными записями пользователей

• Выявление часто неправильно настроенных параметров в
Cisco Firepower Management Center и использование основных
команд для устранения неполадок устройства Cisco Firepower Threat Defense

Схема курса:

• Обзор Cisco Firepower Threat Defense
• Конфигурация устройства Cisco Firepower NGFW
• Управление трафиком Cisco Firepower NGFW
• Обнаружение Cisco Firepower
• Реализация политик контроля доступа
• Аналитика безопасности
• Контроль файлов и расширенная защита от вредоносных программ
• Системы предотвращения вторжений нового поколения
• Политики сетевого анализа
• Методы подробного анализа
• Интеграция с платформой Cisco Firepower
• Политики предупреждений и корреляции
• Системное администрирование
• Устранение неполадок Cisco Firepower

Схема лаборатории:

• Начальная настройка устройства
• Управление устройством
• Настройка обнаружения сети
• Внедрение политики управления доступом
• Внедрение системы безопасности
• Контроль файлов и расширенное вредоносное ПО Защита
• Внедрение NGIPS
• Настройка политики сетевого анализа
• Подробный анализ
• Настройка интеграции платформы Cisco Firepower с
Splunk
• Настройка предупреждений и событий Корреляция
• Системное администрирование
• Устранение неполадок Cisco Firepower

Высокая производительность. Устойчивость. Расширение возможностей операций безопасности.

Связаться с Cisco

Всесторонняя и последовательная защита

По мере развития кибератак сетевая безопасность требует непревзойденной прозрачности и интеллектуальных возможностей, охватывающих все угрозы для комплексной защиты. А с различными организационными обязанностями и программами вам нужен согласованный механизм обеспечения безопасности. Эти растущие операционные требования требуют нового внимания к выделенным безопасным IPS, чтобы обеспечить более высокий уровень безопасности и прозрачности для предприятия.

Snort 3.0 GA доступен

Узнайте больше об улучшениях и новых функциях Snort 3, а также ознакомьтесь с нашим кратким обзором здесь.

Безопасные функции IPS

Видимость

С помощью Cisco Secure Firewall Management Center вы можете просматривать больше контекстных данных из вашей сети и точно настраивать безопасность. Просматривайте приложения, признаки компрометации, профили хостов, траекторию файлов, песочницу, информацию об уязвимостях и видимость ОС на уровне устройства. Используйте эти входные данные для оптимизации безопасности с помощью рекомендаций политик или настроек Snort.

Эффективность

Secure IPS получает новые правила политики и подписи каждые два часа, поэтому ваша безопасность всегда актуальна. Cisco Talos использует крупнейшую в мире сеть обнаружения угроз, чтобы повысить эффективность защиты каждого продукта Cisco для обеспечения безопасности. Эта ведущая в отрасли система анализа угроз работает как система раннего предупреждения, которая постоянно обновляется при появлении новых угроз.

Операционные расходы

Используйте автоматизацию Secure IPS, чтобы повысить эффективность работы и сократить накладные расходы за счет отделения событий, требующих действий, от шума. Приоритизируйте угрозы для своих сотрудников и улучшите свою безопасность с помощью рекомендаций политики, основанных на уязвимостях сети. Будьте в курсе того, какие правила активировать и деактивировать, и фильтруйте события, относящиеся к устройствам в вашей сети.

Гибкость

Гибкие варианты развертывания Secure IPS отвечают потребностям предприятия. Его можно развернуть по периметру, в распределении/ядре центра обработки данных или за брандмауэром для защиты критически важных ресурсов, гостевого доступа и подключений к глобальной сети. Защищенную IPS можно развернуть для встроенной проверки или пассивного обнаружения.

Интеграция

Secure IPS подключается к вашей сети без серьезных изменений оборудования или значительных затрат времени на внедрение. Включайте и управляйте несколькими приложениями безопасности с единой панели с помощью Центра управления брандмауэром. Легко переключайтесь между Secure IPS, Secure Firewall и Secure Endpoint, чтобы оптимизировать свою безопасность и получать сторонние данные с помощью Cisco Threat Intelligence Director.

Высокопроизводительные устройства

Устройства Cisco Firepower (серии 4100 и 9000) специально разработаны для обеспечения нужной пропускной способности, модульной конструкции и масштабируемости операторского класса. Они имеют однопроходную конструкцию с малой задержкой и включают интерфейсы отказоустойчивости.

Высокая производительность. Устойчивость. Расширение возможностей операций безопасности.

Связаться с Cisco

Всесторонняя и последовательная защита

По мере развития кибератак сетевая безопасность требует непревзойденной прозрачности и интеллектуальных возможностей, охватывающих все угрозы для комплексной защиты. И с различными организационными обязанностями и повестками дня вам нужен согласованный механизм обеспечения безопасности. Эти растущие операционные требования требуют нового внимания к выделенным безопасным IPS, чтобы обеспечить более высокий уровень безопасности и прозрачности для предприятия.

Представляем Cisco SecureX

Если ваши команды тратят слишком много времени на объединение точечных решений, SecureX может упростить и усилить вашу безопасность с помощью действительно интегрированной платформы.

Функции и преимущества безопасной IPS

Видимость

С помощью Центра управления огневой мощью вы можете просматривать больше контекстных данных из вашей сети и точно настраивать безопасность. Просматривайте приложения, признаки компрометации, профили хостов, траекторию файлов, песочницу, информацию об уязвимостях и видимость ОС на уровне устройства. Используйте эти входные данные для оптимизации безопасности с помощью рекомендаций политик или настроек Snort.

Эффективность

Secure IPS получает новые правила политики и подписи каждые два часа, поэтому ваша безопасность всегда актуальна. Cisco Talos использует крупнейшую в мире сеть обнаружения угроз, чтобы повысить эффективность безопасности каждого продукта Cisco для обеспечения безопасности.Эта ведущая в отрасли система анализа угроз работает как система раннего предупреждения, которая постоянно обновляется при появлении новых угроз.

Операционные расходы

Используйте автоматизацию Secure IPS, чтобы повысить эффективность работы и сократить накладные расходы за счет отделения событий, требующих действий, от шума. Определите приоритеты угроз для ваших сотрудников и улучшите свою безопасность с помощью рекомендаций политики, основанных на уязвимостях сети. Будьте в курсе того, какие правила активировать и деактивировать, и фильтруйте события, относящиеся к устройствам в вашей сети.

Гибкость

Гибкие варианты развертывания Cisco Secure IPS отвечают потребностям предприятия. Его можно развернуть по периметру, в распределении/ядре центра обработки данных или за брандмауэром для защиты критически важных ресурсов, гостевого доступа и подключений к глобальной сети. Защищенную IPS можно развернуть для встроенной проверки или пассивного обнаружения.

Интеграция

Secure IPS подключается к вашей сети без серьезных изменений оборудования или значительных затрат времени на внедрение. Включайте и управляйте несколькими приложениями безопасности с единой панели с помощью Firepower Management Center. Легко переключайтесь между Secure IPS, Secure Firewall и Secure Endpoint, чтобы оптимизировать свою безопасность и получать сторонние данные с помощью Cisco Threat Intelligence Director.

Высокопроизводительные устройства

В современном мире существует ряд различных угроз безопасности, с которыми организациям необходимо бороться. Существует ряд различных решений, которые можно развернуть для борьбы с этими различными угрозами, включая брандмауэры, хостовые и сетевые системы обнаружения вторжений (IDS)/системы предотвращения вторжений (IPS), а также системы защиты от спама, вирусов и червей. . В этой статье рассматривается текущая система предотвращения сетевых вторжений (NIPS) на основе устройств IOS.

Понравилась эта статья? Мы рекомендуем

В современном мире существует ряд различных угроз безопасности, с которыми организациям необходимо бороться. Существует ряд различных решений, которые можно развернуть для борьбы с этими различными угрозами, включая брандмауэры, хостовые и сетевые системы обнаружения вторжений (IDS)/системы предотвращения вторжений (IPS), а также системы предотвращения спама, вирусов и червей. . В этой статье рассматривается текущая система предотвращения сетевых вторжений (NIPS) на основе устройств IOS.

Концепции системы предотвращения вторжений

Способ работы систем предотвращения вторжений заключается в сканировании сетевого трафика по мере его прохождения по сети; в отличие от системы обнаружения вторжений, которая предназначена только для реагирования, система предотвращения вторжений предназначена для предотвращения злонамеренных событий путем предотвращения атак по мере их возникновения. Существует ряд различных типов атак, которые можно предотвратить с помощью IPS, в том числе (среди прочего):

Отказ в обслуживании
Распределенный отказ в обслуживании
Эксплойты (различные типы)
Черви
Вирусы

Также важно понимать, что, как и IDS, IPS ограничены сигнатурами, которые они настроены на поиск. На момент написания этой статьи система IPS IOS имеет защиту для более чем 3700 различных сигнатур. Эти сигнатуры постоянно обновляются Cisco, но если они не обновляются на сконфигурированном оборудовании, они мало помогают в борьбе с новыми угрозами. Функция IPS IOS также была разработана для работы с другими функциями IOS, включая брандмауэр IOS, применение политик уровня управления и другие функции защиты безопасности IOS.

Поток пакетов

Очень важной частью конфигурации безопасности устройства IOS является возможность понять, какой функции разрешено обрабатывать трафик и в каком порядке. На рис. 1 показан общий порядок обработки пакетов по мере их поступления на устройство.

Версии подписи IPS

При чтении документации Cisco также может возникнуть некоторая путаница. В последних двух выпусках IOS произошел переход от формата подписи версии 4.x системы предотвращения вторжений к формату подписи версии 5.x. С этим переходом произошел большой переход от использования файлов .SDF к файлам .pkg; это может быть еще более сложным при просмотре различной документации, доступной на веб-сайте Cisco, так как некоторые документы относятся к формату подписи версии 4.x, а другая документация относится к формату подписи версии 5.x. В этой статье рассматривается использование более новых файлов .pkg и формата подписи.

Категории сигнатур IPS

Система IPS для IOS использует ряд различных микродвижков подписи (SME); каждый из этих механизмов используется для обработки различных категорий подписей. Эти различные категории важно знать, потому что IPS IOS не может загрузить все доступные сигнатуры одновременно; способ настройки IPS IOS заключается в загрузке только необходимых категорий подписей, которые относятся к настроенному устройству IPS IOS и его назначению.

Две из этих категорий предназначены для использования, особенно с устройствами IPS IOS; к ним относятся категории ios_basic и категории ios_advanced. Третья категория, специфичная для IPS IOS, была введена в IOS 15.0(1)M под названием «IPS IOS по умолчанию» и в настоящее время имеет те же сигнатуры, что и категория ios_advanced.

Действия с подписью

Когда подпись загружается из Cisco, ей автоматически назначается определенное действие, которое будет выполнено в случае обнаружения события. Всего доступно пять возможных действий:

product-alert – отправляет сигнал тревоги при обнаружении подписи.
deny-packet-inline: отбрасывает пакет, содержащий обнаруженную подпись, но не сбрасывает соединение.
reset-tcp-connection: отправляет сброс TCP как атакующему, так и целевому хосту.
deny-attacker-inline: блокирует трафик с IP-адреса злоумышленника с помощью динамического списка доступа.
deny-connection-inline – блокирует трафик из сеанса трафика, нарушающего правила, с помощью динамического списка доступа.

Любое из этих пяти действий можно комбинировать и настраивать для отдельных подписей на устройстве IPS IOS. В прошлом эти действия можно было настроить с помощью Security Device Manager (SDM), однако в IOS версии 12.4(11)T и более поздних версиях использование SDM было прекращено, а использование Cisco Configuration Professional (CCP) (для одного устройства ), Cisco Security Manager (CSM) (до 5 устройств) или прямая настройка интерфейса командной строки IOS.

Журналирование, мониторинг и оповещение IPS IOS

При обнаружении подписи на IPS-устройстве IOS существует два метода регистрации, мониторинга и оповещения:

сообщения системного журнала (включено по умолчанию)
Использование формата безопасного обмена событиями на устройствах (SDEE)

Для сбора этих событий в небольших реализациях можно использовать как CCP, так и CME. при более крупных развертываниях требуется использование Cisco Security Monitoring, Analysis, and Response System (MARS).

Конфигурация системы предотвращения вторжений

При настройке IPS IOS на устройстве Cisco рекомендует выполнить пятиэтапный процесс внедрения; эти шаги рассматриваются в следующих разделах.

Загрузка файлов IPS IOS

Основным первым шагом является получение файлов IPS IOS от Cisco; для этого требуется действующий контракт на обслуживание Cisco IPS для услуг по обновлению подписи лицензии. Необходимо загрузить два файла:

IOS-Sxxx-CLI.pkg – содержит сами подписи, где значки x обозначают конкретную версию.
realm-cisco.pub-key.txt — содержит открытый криптографический ключ Cisco

Создание каталога конфигурации IPS IOS

Необходимо создать во флэш-памяти устройства специальный каталог для использования функцией IPS IOS. Этот каталог включает файлы подписи и конфигурации. Файлы, содержащиеся внутри, включают:

router-sigdef-default.xml: содержит все заводские определения сигнатур по умолчанию.
router-sigdef-delta.xml: содержит определения сигнатур, которые были изменены по сравнению со значениями по умолчанию.
router-sigdef-typedef.xml – содержит определения всех параметров подписи.
router-sigdef-category.xml – содержит всю информацию о категории подписи.
router-seap-delta.xml – содержит изменения, внесенные параметрами обработчика событий подписи (SEAP) по умолчанию.
router-seap-typedef.xml – содержит определения всех параметров SEAP.

Имя этого каталога не обязательно должно быть каким-то конкретным, но рекомендуется использовать имя «ips». Чтобы создать этот каталог из интерфейса командной строки, введите следующий синтаксис команды из приглашения включить устройство:

Настройка криптографического ключа Cisco IOS IPS

Чтобы гарантировать подлинность содержимого файла подписи, Cisco подписала главный файл подписи своим закрытым ключом. Чтобы убедиться, что этот главный файл может быть проверен, открытый ключ Cisco должен быть введен в конфигурацию устройства. Для этого необходимо выполнить следующие шаги:

Если содержимое имитирует содержимое текстового файла, сохраните конфигурацию с помощью команды «copy running-config startup-config».

Включить функцию IPS IOS

Чтобы включить функцию IPS IOS, необходимо выполнить несколько шагов.Ни один из этих шагов не является особенно сложным, но они требуют знания того, какая категория сигнатур IPS будет использоваться, как показано в таблице ниже.

Создайте имя правила IPS

Настройте место хранения сигнатур IPS

Настройте категории подписи, которые будут использоваться

Этот шаг требует нескольких подшагов:

Первое, что необходимо сделать, это удалить все подписи из файлов подписей. Это связано с тем, что по умолчанию будут загружены все подписи, что невозможно на устройстве IPS IOS; это делается с помощью следующих команд:

Во-вторых, подписи, которые будут использоваться, должны быть «неиспользованными»; для этого используются следующие команды:

Включите правило IPS для нужного интерфейса

Загрузка пакетов сигнатур IPS IOS на устройство IPS IOS

Сигнатуры IPS можно загружать на устройство с помощью TFTP или FTP. Этот процесс довольно прост, так как требует только простой команды копирования из местоположения подписи (TFTP или FTP) в idconf. Например:

Эта команда инициирует передачу; как только эта передача будет завершена, устройство автоматически загрузит и скомпилирует подписи. Чтобы убедиться, что сигнатуры загружены и скомпилированы правильно, используйте следующую команду:

Обзор

Конечно, существует множество различных способов и мест, где можно развернуть IPS. Помимо поддержки в IOS, существует также ряд различных устройств IPS, которые можно развернуть. Целью этой статьи было дать общий обзор того, что IPS может предоставить организации, а также краткое руководство о том, как реализовать функцию IPS IOS. Надеемся, что содержание этой статьи сделало возможности, которые существуют при развертывании функции IPS IOS, более понятными и подтолкнет к использованию этой технологии в большем числе организационных сетей.

Специалисты Cisco IPS настраивают, развертывают и разрешают систему предотвращения вторжений (IPS) Cisco для бесперебойной работы в полностью защищенной среде. Они могут отслеживать и использовать программное обеспечение Cisco IOS и технологии IPS для защиты, понимания и противодействия попыткам вторжения.

IPS обнаруживает любую вредоносную активность в сети, записывая информацию о вторжении, пытаясь помешать ему и сообщая об этом. Размещенный на маршруте прямой связи, соединяющем источник и пункт назначения, он активно оценивает и инициирует автоматизированные процедуры для всех перемещений трафика, поступающего в сеть. Он оповещает администратора, отправляя сигнал тревоги, очищает сеть от вредоносных пакетов, блокирует трафик с исходного адреса и сбрасывает соединение.

Используя Cisco IPS, можно повысить доступность сети, быстрее решать проблемы и обеспечить гибкость внедрения. Он считается точным механизмом защиты от угроз, поскольку предотвращает распределенный отказ в обслуживании (DDoS), червей, вредоносное ПО, рекламное ПО, шпионское ПО и вирусы. Из-за растущего числа злонамеренных атак IPS стала критически важной как для крупных, так и для небольших организаций.

Специалисты внедряют и контролируют критически важные системы и сети, которые должны правильно функционировать для процветания бизнеса. Они делают это, используя передовые процедуры системного анализа, помимо внедрения, тестирования, документирования, оценки и обеспечения безопасности жизненно важных сетей и систем безопасности.

Кроме аналитических навыков, они должны обладать отличными устными и письменными коммуникативными навыками.

Должностные обязанности специалиста Cisco IPS

Специалисты Cisco по безопасности должны управлять всем оборудованием безопасности, таким как Cisco ASA, устройства Cisco IDS/IPS. Они должны оперативно реагировать при поступлении предупреждений, изучая потенциальные проблемы с безопасностью и данными.

Специалисты должны проверить настройки коммутаторов, маршрутизаторов и брандмауэров. Им необходимо работать с различными командами, такими как группа телефонии, системные администраторы и владельцы приложений бизнес-подразделений, чтобы найти ИТ-решения для устранения угроз для их бизнеса.

Специалисты должны сообщать, внедрять и применять политики, связанные с технологиями, для защиты данных организации. В их обязанности входит разработка, планирование и инициирование проектов, связанных с технологиями, которые напрямую влияют на итоговые результаты их организации.

Специалисты часто расставляют приоритеты, тщательно изучают и решают важные технологические вопросы для руководства. Они часто советуют и направляют руководство, сотрудников и клиентов по вопросам, связанным с технологиями.

Специалисты также должны будут обслуживать устройства шифрования, брандмауэры, устройства мониторинга и системы предотвращения вторжений. Им придется работать совместно с ИТ-командой, чтобы протестировать и реализовать планы аварийного восстановления.

Инженеры должны иметь всестороннее представление о межсетевом взаимодействии LAN/WAN, включая архитектуру сети протоколов, взаимодействие при разработке и потребности в проверке концепции.

Кроме того, специалисты должны следить за установкой, выполнением, настройкой и обслуживанием сетевых компонентов. Они должны установить процессы безопасности, чтобы устранить слабые места в случае потери данных, контролировать риски и предлагать системные компоненты или изменения безопасности, когда это необходимо. Специалисты обслуживают телекоммуникационные сети передачи данных и голосовой связи, чтобы соответствовать требованиям клиентов, целям организации и технологическим ресурсам. Они обеспечивают поддержку стратегического планирования телекоммуникационной поддержки.

Специалисты управляют и поддерживают процесс операций по обеспечению безопасности, таких как управление изменениями, управление инцидентами, управление проблемами и т. д.

Они планируют, устанавливают и обеспечивают поддержку различных сетевых устройств и служб, таких как балансировщики нагрузки, VPN и беспроводная связь QoS. Специалисты должны обладать знаниями в области контроля доступа, проверки SSL, TCP\IP, управления политиками и общих сетевых структур.

Наконец, они проводят проверки безопасности, оценки и выявляют бреши в системе безопасности в экосистеме.

Перспективы для специалистов Cisco IPS

Образовательная квалификация и другие требования к специалистам Cisco IPS

Специалисты Cisco IPS должны иметь степень бакалавра в области инженерии, компьютерных наук или эквивалентный опыт работы, а также сертификат безопасности в системе предотвращения вторжений Cisco (IPS).

Опыт поддержки сетевых сред с использованием McAfee Network Security Platform (IDS/IPS), Cisco Firepower или решений на базе Palo Alto будет большим плюсом.

Они должны быть знакомы с маршрутизатором Cisco, включая брандмауэры Cisco ASA, BGP и EIGRP, VLAN и коммутаторы Cisco.

Кандидаты должны устанавливать, настраивать и обслуживать коммутаторы, маршрутизаторы и брандмауэры Cisco, а также уметь использовать диспетчер безопасности Cisco, помимо установки и настройки аппаратного и программного обеспечения. Специалисты должны иметь опыт работы с языками сценариев, такими как Python, Perl и BASH.

Читайте также: