Labo

Cisco


- Dvelopper une stratgie de scurit pour se protger face aux menaces
contre la scurit des informations,

- Ecrire un article sur les IPS et comment les configurer sur un routeur
CISCO (Packet tracer ou gns3)


Quel type de stratgie de scurit faut-il adopter afin de se protger face aux menaces contre
la scurit des informations ?



La scurit des informations est essentielle et extrmement importante. En effet, la
divulgation d'informations peut se produire dans de nombreux scnarios.
Imaginons un employ qui par erreur publie des donnes sur un rseau social, un site de
partage ou prsente accidentellement des donnes confidentielles la vue de tous.
Les cots lis aux failles de scurit des informations sont levs, la fois en termes
d'argent et de crdibilit de la socit.


Il faut alors mettre en place des organisations ayant pour but de renforcer la scurit
des informations afin d'empcher la divulgation de leur proprit intellectuelle.


L'efficacit de la scurit d'un systme d'information ne repose pas uniquement sur
les outils de scurit mais galement sur une stratgie, une organisation et des procdures
cohrentes. Cela ncessite une structure de gestion adquate dont la mission est de grer,
mettre en place, valider, contrler et faire comprendre l'ensemble des acteurs de
l'entreprise l'importance de la scurit.

Elle dtermine galement le comportement, les privilges, les responsabilits de
chacun. Elle spcifie, en fonction de facteurs critiques de succs qui permettent d'atteindre
les objectifs de l'entreprise, les mesures et directives scuritaires appropries. Ces
dernires doivent tre cohrentes par rapport au plan d'entreprise et informatique.

La mission de la scurit se rsume en cinq types d'actions gnriques. Elle consiste :

dfinir le primtre de la vulnrabilit li l'usage des technologies de l'information
et de la communication;
offrir un niveau de protection adapt aux risques encourus par l'entreprise;
mettre en oeuvre et valider l'organisation, les mesures, les outils et les procdures
de scurit;
optimiser la performance du systme d'information en fonction du niveau de
scurit requis;
assurer les conditions d'volution du systme d'information et de sa scurit.

Il ne suffit pas d'appliquer ces actions gnriques, la dmarche de scurit dans une
entreprise a tout de mme des conditions pour son succs.
Il faut alors raliser quelques points cls comme :

une volont directoriale;

une politique de scurit simple, prcise, comprhensible et applicable;
la publication de la politique de scurit;
une gestion centralise de la scurit et une certaine automatisation des processus
de scurit;
un niveau de confiance dtermin des personnes, des systmes, des outils impliqus;
du personnel sensibilis et form la scurit, possdant une haute valeur morale;
des procdures d'enregistrement, de surveillance et d'audit;
l'expression, le contrle et le respect des clauses de scurit dans les diffrents
contrats.

La scurit informatique exige une dmarche globale de matrise des risques lis
l'usage de systmes informatiques et de tlcommunication et contribue la protection des
valeurs (ressources informatiques, informations).
La difficult de mise en oeuvre de solutions efficaces de scurit provient du fait qu'elles
doivent tre la fois d'ordre technologique, rglementaire, organisationnel, humain et
managrial.

Au-del des aspects purement techniques du systme, la technologie ne peut
suppler au manque de rigueur de gestion et de cohrence de la mise en oeuvre des outils.
En effet, c'est du ressort des dimensions organisationnelle et managriale que dpendent la
qualit et la scurit du service client: identification des donnes sensibles, procdures de
sauvegarde, de secours, de reprise, choix technologiques, paramtrage des systmes, mises
jour logicielles, exactitude des informations, logistique, livraison, etc
La bonne ralisation d'une politique de scurit permet au mieux, de matriser les risques
informatiques, tout en rduisant leur probabilit d'apparition. Toutefois, il ne faut pas
perdre de vue que mme un bon gestionnaire de la scurit, tout en anticipant et prvenant
certains accidents volontaires ou non, n'est pas devin. N'oublions pas que le maillon faible
de la scurit est souvent l'homme.

Qu'est ce qu'un Systme de prvention d'intrusion (IPS) ? Comment le configurer sur un

routeur CISCO ?




Le systme de prvention d'intrusions (IPS, Intrusion Prevention System) est un
outil de dfense proactif contre les attaques actives visant les ordinateurs et les rseaux. Ce
dispositif rseau surveille les activits d'un rseau ou d'un systme pour cerner des
comportements malveillants ou indsirables et peut les bloquer.


Auparavant,
on
dtectait au moyen d'un
systme
de
dtection
d'intrusions (IDS, Intrusion
Detection System) les
tentatives
d'intrusion
seulement une fois qu'elles
s'taient
produites.
Il
s'agissait d'un systme
ractif qui permettait aux
attaques de pntrer le
rseau sans que l'analyste
ne puisse intervenir au
moment opportun.

Afin d'aborder la dtection
d'intrusions de faon proactive, les fournisseurs ont cr le systme de prvention
d'intrusions (IPS).

En gnral, l'IPS est insr directement dans le circuit entre le poste de travail et Internet, l
o il est en mesure d'inspecter le trafic qui transite et de dcider s'il y a lieu de le laisser
passer ou de le bloquer. De cette faon, l'IPS peut identifier et arrter une menace avant
qu'elle ne puisse s'introduire dans le rseau.

L'IPS peut tre vulnrable aux attaques s'il n'est pas correctement configur et maintenu. Il
s'agit d'un systme informatique dot d'un systme d'exploitation et d'applications propres
la fonction d'identification. On recommande aux entreprises de veiller ce que les mises
jours et les rustines pour l'IPS soient appliques rgulirement. Un IPS compromis peut
laisser passer du trafic malveillant dans le rseau.


O dployer les IPS ?
Partout o les IDS passifs ont t prcdemment dploys, et o les systmes antivirus ou
les firewalls ont la plupart du temps t inefficaces face aux nouvelles menaces, il est
recommand de les remplacer par des IPS avec des actions actives de blocage.

 Passerelles Internet
Lien extranet - partenaires, fournisseurs, clients
Sur chaque point dentre vers une DMZ
Entre plusieurs dpartements ou services
Juste derrire les firewalls passerelles
Sur le sige ou les sites distants (agences, points de vente, filiales) pour fournir une
inspection en profondeur du trafic qui est autoris traverser le firewall et bloquer
les attaques qui trompent les firewalls (masquarades).
Il existe plusieurs moyens de configurer des IPS, dans notre tude, nous allons utiliser le
CISCO ASA qui fait partie de la gamme de scurit intgre. C'est dire qu'il s'agit de
matriel que l'on peut dployer directement dans le datacenter.
Imaginons cette topologie, nous utiliserons loutil Cisco ASDM pour configurer le matriel :

Procdure 1 : Configuration des LAN sur les switch

Etape 1: Configurer les VLAN sur le switch

vlan 300
name InternetEdge
!

Etape 2: Configurer l'interface pour la communication sur le reste du rseau

interface vlan 300
description Internet Edge SVI
ip address 10.4.24.1 255.255.255.224
no shutdown

Etape 3: Configurer les interfaces qui sont connectes internet via le firewall
interface GigabitEthernet1/0/24
!
description IE-ASA5545a Gig0/0
interface GigabitEthernet2/0/24
description IE-ASA5545b Gig0/0
!
interface range GigabitEthernet1/0/24, GigabitEthernet2/0/24
switchport switchport trunk encapsulation dot1q
switchport trunk allowed vlan 300
switchport mode trunk
spanning-tree portfast trunk
macro apply EgressQoS

logging event link-status

logging event trunk-status
no shutdown

Etape 4: Rsumer les connexions internet

interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1
ip summary-address eigrp 100 10.4.24.0 255.255.248.0

Etape 5: Configurer le protocole de routing

router eigrp 100
no passive-interface Vlan300

Procdure 2 : Appliquer les configurations initiales au cisco ASA

Etape 1: Configurer les hostname.

hostname IE-ASA5545

Etape 2: Configurer les interfaces comme VLAN trunk

interface GigabitEthernet0/0
no shutdown
!
interface GigabitEthernet0/0.300
vlan 300
nameif inside
ip address 10.4.24.30 255.255.255.224

Etape 3: Accepter l'interface de management

interface Management0/0
nameif IPS-mgmt
no ip address no shutdown

Etape 4: Configurer le username et password.

username admin
password [password] privilege 15

Procdure 3 : Configuration du routing interne

Etape 1: Activer EIGRP

router eigrp 100

Etape 2:
no auto-summary
network 10.4.24.0 255.255.252.0
redistribute static

Etape 3: Configurer EIGRP

passive-interface default
no passive-interface inside

Etape 4: Configurer le rseau

object network internal-network
subnet 10.4.0.0 255.254.0.0

Procdure 4 : Configuration du protocole de management

Etape 1: Autoriser l'administration internet via HTTPS et SSH

domain-name cisco.local
http server enable
http 10.4.48.0 255.255.255.0 inside
ssh 10.4.48.0 255.255.255.0 inside
ssh version 2

Etape 2: Configurer SNMP (Simple Network Management Protocol)

pour tre grer par un NMS (Network Management System
)
snmp-server host inside 10.4.48.35 community cisco
snmp-server community cisco

Configurer un Firewall haute disponibilit

Procdure 1 : Configuration du firewall primaire

Etape 1: Sur le Cisco ASA, enable failover.

failover

Etape 2:
failover lan unit primary

Etape 3: Configurer l'interface failover.

failover lan interface failover GigabitEthernet0/2

failover key FailoverKey
failover replication http
failover link failover GigabitEthernet0/2

Etape 4:
failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5

Etape 5: Configurer l'interface IP du failover

failover interface ip failover 10.4.24.33 255.255.255.248
standby 10.4.24.34

Etape 6: Activer l'interface failover

interface GigabitEthernet0/2
no shutdown

Etape 7: Configurer les adresses IP

interface GigabitEthernet0/0.300
ip address 10.4.24.30 255.255.255.224 standby 10.4.24.29
monitor-interface inside

Procdure 2 : Configuration du firewall en standby

Etape 1: Sur le second Cisco ASA, enable failover.

failover

Etape 2:
failover lan unit secondary

Etape 3:
failover lan interface failover GigabitEthernet0/2
failover key FailoverKey
failover replication http
failover link failover GigabitEthernet0/2

Etape 4:
failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5

Etape 5:
failover 10.4.24.33 255.255.255.248
standby 10.4.24.34

Etape 6:
interface GigabitEthernet0/2
no shutdown

Etape 7: Vrifier la synchronisation entre les deux Cisco ASA

IE-ASA5545# show failover state

This host - Other host ====Configuration State=== Sync Done
====Communication State=== Mac set
Date/Time
State Primary Active Secondary Standby Ready None
Last Failure Reason None
failover link failover GigabitEthernet0/2

Nous allons maintenant voir comment configurer les DMZ et les IPS

A- DMZ

Une Zone Dmilitarise (ou Demilitarized Zone en anglais) est un sous-rseau spar du
rseau local et isol de celui-ci et d'Internet par un pare-feu. Ce sous-rseau contient les
machines tant susceptibles d'tre accdes depuis Internet.
Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les services
susceptibles d'tre accds depuis Internet seront situs en DMZ.
En cas de compromission d'un des services dans la DMZ, le pirate n'aura accs qu'aux
machines de la DMZ et non au rseau local.
L'inconvnient est que si cet unique pare-feu est compromis, plus rien n'est contrl. Il est
cependant possible d'utiliser deux pare-feu en cascade afin d'liminer ce risque. Il existe
aussi des architectures de DMZ o celle-ci est situe entre le rseau Internet et le rseau
local, spare de chacun de ces rseaux par un pare-feu.

Nous allons maintenant passer la configuration dun DMZ web. Elle se fera comme suit :

1) Configuration du switch DMZ

Etape 1: Configurer le VLAN web DMZ sur le switch DMZ

.vlan 116
.name web-dmz

Etape 2: Configurer les interfaces qui sont relient les appareils

.interface range GigabitEthernet1/0/24,
.GigabitEthernet2/0/24 switchport trunk allowed vlan add
1116

Etape 3: Configurer les interfaces qui sont connectes aux serveurs web
.interface GigabitEthernet1/0/2
.description Webserver
.switchport access vlan 1116
.switchport host
.macro apply EgressQoS
.logging event link-status
.no shutdown
2) Configuration de linterface DMZ

Etape 1: Connectez-vous Cisco Adaptive Security Device Manager (ASDM) en accdant
https://ie-asa5545.cisco.local/admin, puis vous connectant avec votre identifiant et votre mot de
passe.

Etape 2: Naviguer Configuration > Device setup > Interfaces

Etape 3: Sur le volet interface, cliquer Add > Interface
Etape 4: Dans la fentre Add Interface qui saffiche, dans la liste Hardware Port, choisir
linterface connecte au switch DMZ (exemple : GigabitEthernet 0/1)

Etape 5: Dans la boite VLAN ID, entrer le numro de VLAN pour le VLAN DMZ (exemple :
1116)

Etape 6: Dans la boite SUBINTERFACE ID, entrer le numro de VLAN pour le VLAN DMZ
(exemple : 1116)

Etape 7: Entrer un nom dinterface dans le champ Interface Name (exemple : dmz-web)
Etape 8: Dans la boite Security Level, entrer la valeur 50

Etape 9: Entrer ladresse IP de linterface dans Ip Address (exemple : 192.168.16.1)

Etape 10: Mettre ladresse de sous-rseaux dans le champ Subnet Mask (exemple :
255.255.255.0) et cliquer sur OK

Etape 11: Cliquer sur Apply sur le volet Interface

Etape 12: Naviquer travers Configuration > Device management > High Availability >
Failover

Etape 13: Sur longlet Interfaces, dans la colonne Standby IP Address, entrer ladresse
IP de lunit de secours pour linterface qui vient dtre cre (Example: 192.168.16.2)
Etape 14: Slectionner Monitored et appliquer en cliquant sur Apply

3) Configuration du NAT (Network Address Translation)

Nous utiliserons un tableau comme suit pour nos exemples :

Web server DMZ address
192.168.10.11

Web server public address (externally

routable after NAT)
172.15.13.11 (ISP-A)
172.16.13.11 (ISP-B for Dual ISP only)

Etape 1: Naviguer vers Configuration > Firewall > Objects > Network > Object /
Groups
Nous allons dabord ajouter un objet de rseau pour ladresse IP du serveur web sur la
connection internet primaire.
Etape 2: Cliquer sur Add > Network Object pour ajuter un nouvel objet
Etape 3: Sur la fentre Add Network Object, dans le champ Name, entrer une
description pour ladresse IP public du serveur. (Example: outside-webserver-ISPa)
Etape 4: Dans la liste Type, slectionner Host
Etape 5: Dans le champ IP Address , entrer ladresse IP public du serveur web et cliquer
ensuite sur OK (Exemple: 172.15.13.11)
Etape 6: Sur le volet Network Objects/Groups, cliquer sur Apply pour appliquer les
changements effectus
Ensuite, nous allons ajouter un objet de rseau l'adresse DMZ prive du serveur Web
Etape 7: Cliquer sur Add > Network Object
Etape 8: Sur la fentre Add Network Object, dans le champ Name, entrer une
description pour ladresse IP public du serveur. (Exemple: outside-webserver-ISPa)
Etape 9: Dans la liste Type, slectionner Host
Etape 10: Dans le champ IP Address , entrer ladresse DMZ IP prive du serveur web et
cliquer ensuite sur OK (Exemple: 192.168.10.11)
Etape 11: Cliquer sur les deux flches pointant vers le bas pour ouvrir le volet NAT

Etape 12: Slectionner Add Automatic Address Translation Rules

Etape 13: Dans la liste Translated Addr, slectionner lobjet de rseau cre lEtape 2
Etape 14: Cliquer sur Advanced
Etape 15: Dans les paramtres NAT avancs (Advanced NAT Settings), dans la liste
Destination Interface, slectionner le nom dinterface pour la connexion internet
primaire (Exemple: outside-15) et cliquer sur OK
Etape 16: Sur le volet Add Network Object, cliquer sur OK
Etape 17: Sur le volet Network Objects/Groups, cliquer sur Apply
Etape 18 : Si vous utilisez la double conception FAI avec une connexion Internet

rsiliente, rptez cette procdure pour la connexion Internet secondaire.

4) Configuration des rgles de scurit

Etape 1: Naviguer vers Configuration > Firewall > Access Rules

Etape 2: Cliquer sur la rgle qui refuse le trafic de la DMZ vers les autres rseaux
Etape 3: Cliquer sur Add > Insert
Etape 4: Dans longlet des rgles daccs (Access Rules), dans la liste Interface,
slectionner Any
Etape 5: Slectionner Permit pour Action. Ceci permettra lexcution des configurations
faites
Etape 6: Dans la liste Destination, slectionner lobjet de rseau automatiquement cr
pour la DMZ web (exemple : dmz-web-network/30 or /24 etc)
Etape 7: Dans la liste Service, entrer tcp/http, tcp/https puis cliquer sur OK
Etape 8: Sur longlet des rgles daccs (Access Rules), cliquer sur Apply

















B- IPS

Dans le but de minimiser l'impact des intrusions sur le rseau, des systmes de prvention
des intrusions (IPS) afin de fournir une protection supplmentaire pour l'organisation du
trafic qui est autoris par le pare-feu travers Internet. La technologie IPS CISCO complte
le pare-feu et inspecte le trafic autoris par les rgles dfinies sur le pare-feu contre les
attaques.
Les appareils IPS CISCO sont disponibles en deux formats: les appareils autonomes et les
modules hardware ou logiciel l'intrieur d'un pare-feu Cisco ASA. Les diffrences entre les
deux appareils tournent gnralement autour de la manire dont les dispositifs obtiennent
le trafic qu'ils inspectent. Un appareil utilise des interfaces physiques qui existent dans le
cadre du rseau. Un module reoit le trafic partir du pare-feu ASA dans laquelle il rside,
conformment la politique dfinie sur le pare-feu.
Quelque soit le type dappareil, il y a deux modes de dploiement disponibles qui sont le
mode libre (promiscuous IDS) et le mode en ligne (inline IPS). Il ya des raisons spcifiques
pour chaque mode de dploiement, bas sur la tolrance de risque et la tolrance derreur.
Lutilisation du mode en ligne signifie que le trafic rseau circule travers un dispositif IPS,
et si l'appareil tombe en panne ou se comporte mal, il aura un impact sur la production du
trafic. L'avantage du mode en ligne est que lorsque le capteur dtecte un comportement
malveillant, il peut simplement labandonner. Cela permet au dispositif IPS une plus grande
capacit prvenir effectivement les attaques.

Utiliser le mode libre signifie que lappareil IPS doit utiliser un autre dispositif d'application
en ligne afin d'empcher le trafic malveillant. Cela signifie que pour les activits telles que
les attaques de paquet unique appel en anglais worm Slammer over User Datagram
Protocol), un capteur IDS ne peut pas empcher l'attaque de se produire. Cependant, un
capteur IDS peut tre dune grande utilit lors de l'identification et de nettoyage d htes
infects.

Aprs ces dfinitions, nous allons maintenant passer au dploiement de notre IPS qui va se
faire en six (6) parties que nous dtaillerons.



1) Configuration du port daccs du switch de LAN (LAN switch Access Port)

Un switch proximit du capteur IPS fournit une connectivit de l'interface de gestion du
capteur. Sur la srie de pare-feu CISCO ASA 5500-X, les modules de pare-feu et IPS
partagent une interface de gestion unique. Ce dploiement utilise l'interface de gestion des
accs au module IPS seulement.


Etape 1: Configurer un port d'accs la gestion de VLAN sur le switch o le port de gestion
de l'appareil IPS sera connect.

.interface GigabitEthernet1/0/19
description IPS-5545a
switchport
switchport access vlan 300
switchport mode access
spanning-tree portfast

Etape 2: Configurer les interfaces du switch de distribution sans fil qui sont connects
l'interface de gestion du routeur Cisco ASA pour permettre l'accs aux modules de gestion
IPS.
.interface GigabitEthernet1/0/19
description IPS 55-45a
.interface GigabitEthernet2/0/19
description IPS 55-45b
.interface range GigabitEthernet1/0/19, GigabitEthernet
2/0/19
switchport access vlan 300
switchport mode access
spanning-tree portfast

2) Initialiser le module IPS

Quand une solution IPS de srie ASA 5500 est dploye, le logiciel peut ne pas tre
initialis, ce qui entrane lignorance du pare-feu sur la version de code pour dmarrer le
module IPS. Ce deuxime point permet de vrifier l'tat du module IPS et prpare
lachvement de la configuration.


Etape 1: Depuis l'interface de ligne de commande du routeur Cisco ASA, excuter la
commande suivante :

IE-ASA5545X#show module ips detail

Etape 2: Si l'tat status est marqu up et si le logiciel du module IPS a t charg nous
pouvons ignorer ltape 3

IE-ASA5545X# show module ips detail
Getting details from the Service Module, please wait...

Card Type: ASA 5545-X IPS Security Services Processor
Model: ASA5545-IPS
Hardware version: N/A Serial
Number:FCH161170MA
Firmware version: N/A
Software version: 7.1(4)E4
MAC Address Range: c464.1339.a354 to c464.1339.a354
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(4)E4

Data Plane Status:

Status: Up

Up

Si l'tat affich est Status : Unresponsive No image present, le logiciel IPS na donc
jamais t charg. Nous passons donc ltape 3 pour rgler ce problme.

IE-ASA5545X# show module ips detail
details
from
the
Service
Module,
please
wait...
Unable to read details from module ips
Card Type: Unknown
Model: N/A
Hardware version: N/A
Serial Number: FCH16097J3F
Firmware version:N/A
Software version:
MAC Address Range: c464.1339.2cf1 to c464.1339.2cf1
Data Plane Status: Not Applicable
Status: Unresponsive No Image Present ...

Etape 3: Vrfier que nous avons limage IPS correct sur le pare-feu CISCO ASA disk0 :
IE-ASA5545X# dir
Directory of disk0:/
113 -rwx 34523136 16:55:06 Apr 19 2012 asa861-smp-k8. bin
114 -rwx 42637312 16:57:00 Apr 19 2012 IPS-SSP_5545- K9sys-1.1-a-7.1-4-E4.aip
115 -rwx 17851400 16:57:32 Apr 19 2012 asdm-66114 .bin
123 -rwx 34523136 13:40:30 May 22 2012 asa861-1- smp
k8.bin

Etape 4: Configurer le module IPS pour charger le logiciel sur disk0 et ensuite dmarrer
avec celui-ci
IE-ASA5545X# sw-module module ips recover configure image
disk0:/IPS-SSP_5545-K9-sys-1.1-a-7.1-4-E4.aip
IE-ASA5545X# sw-module module ips recover boot
Module ips will be recovered. This may erase all
configuration and all data on that device and attempt to
download/install a new image for it. This may take several
minutes.
Recover module ips? [confirm] y (NB: taper y pour dire oui)
Recover issued for module ips

Etape 5: Aprs quelques minutes dattente , excuter la commande show module ips
details et vrifier que ltat du module est up comme dans la premire partie de ltape 2.

3) Achever la configuration initiale

La configuration initiale impliquera la configuration de chaque dispositif IPS (module ou appareil
qui avec les informations initiale de mise en rseau qui permettra l'utilisation de l'interface
graphique pour achever la configuration.

Etape 1: Si on utilise la gamme Cisco ASA 5545-X, se connecter au routeur ASA, puis accder
au module IPS en excutant la commande suivante :
ASA5545# session ips
Opening command session with module ips.
Connected to module ips. Escape character sequence is CTRL- ^X.

Si vous utilisez un IPS CISCO de srie 4x00, ouvrez une session de commandes sur le port
console du capteur

NB :
Le nom d'utilisateur et mot de passe pour le module IPS
est cisco / cisco. Si c'est la premire fois que le capteur a
t connect, il y aura une invite changer le mot de
passe. Entrez le mot de passe actuel, puis saisissez un
nouveau mot de passe. Changer le mot de passe dans le
champ password en une valeur qui est conforme aux
rgles de scurit de votre organisation.
Login: cisco
password : [password]

Etape 2: Excutez la commande de configuration pour chaque module ou un appareil IPS

sensor# setup
Enter host name[sensor]: IPS-5545a
Enter IP interface[]:(entrer votre adresse IP pour IPS et
IDS
Modify current access list?[no]: yes
Current access list entries:
No entries
Permit: (entrer passerelle par dfaut)
Permit:
Use DNS server for Global Correlation?[no]: yes
DNS server IP address[]: (entrer ladresse de votre
serveur DNS)
Use HTTP proxy server for Global Correlation?[no]: no
Modify system clock settings?[no]: no
Participation in the SensorBase Network allows Cisco to
collect aggregated statistics about traffic sent to your
IPS. SensorBase Network Participation level?[off]: partial
...
Do you agree to participate in the SensorBase
Network?[no]:yes
...
[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup. Enter your selection[3]: 2
...
Warning: The node must be rebooted for the changes to go
into effect.
Continue with reboot? [yes]:yes

Etape 3: Taper la commande Exit pour retourner linterface de commande basic de

lappareil ASA.

Etape 4: Rpter l'tape 2 pour le module IPS dans l'appareil ASA en veille ou pour
l'appareil IPS en cours de dploiement en mode IDS sur un switch de distribution.

NB :
Un nom d'hte et une adresse IP diffrents doivent
tre utiliss sur chaque appareil IPS afin que les
systmes de surveillance ne soient pas confondus.

4) Achever la configuration de lassistant de dmarrage

La configuration de base du systme tant termin, nous utiliserons lassistant de dmarrage dans
loutil de gestion intgr (CISCO Adaptive Security Device Management/IPS Device
Management ASDM/IDM ) pour accomplir les tches de configuration IPS restants.
A savoir :
-configurer les paramtres de temps
-configurer les serveurs DNS et NTP
-dfinir une configuration IPS basic etc

Etape 1: A partir dun client sur le rseau interne, accder ladresse IP du pare-feu et
lancer le lappareil de gestion de scurit ASA (ASDM).

Etape 2: Cliquer sur longlet de configuration et slectionner IPS

Etape 3: Dans la bote de dialogue de connexion IPS (connecting to IPS ), entrer ladresse
IP et le mot de passe spcifier pour le capteur IPS et cliquer sur Continue

Cisco ASDM importe la configuration actuelle dIPS, et le lanceur de l'assistant de
dmarrage est affich dans la fentre principale.

Etape 4: Cliquer sur Lauch Startup Wizard

Etape 5: Dans lassistant de dmarrage, dans longlet Sensor Setup , entrer un serveur
NTP et les informations didentifications ncessaires pour le serveur, rgler le fuseau
horaire et les paramtres dheure dt puis cliquer sur Next.

Etape 6: Dans la zone DNS primaire, saisissez l'adresse du serveur DNS (exemple :
10.2.20.10)

Etape 7: Dans la liste droulante Zone Name, entrer le fuseau horaire appropri.

Etape 8: Entrer ladresse IP du serveur NTP (exemple : 10.2.20.30), sassurer que la zone
Authenticated NTP et cliquer sur Next.

Etape 9: Dans la fentre de rpartition du trafic (Traffic Allocation), cliquer sur Add.

Etape 10: Dans la bote de dialogue Specify traffic for IPS scan, sous Inspection Mode,
slectionner le mode en ligne (Inline) et cliquer sur OK
Si lappareil Cisco ASA avait dj une politique de rpartition du trafic par dfaut, IDM va
lancer une fentre d'avertissement que le Service Politique de la rgle que vous essayez de
crer existe dj. Si vous recevez ce message d'avertissement, annuler la fentre courante
et passez l'tape suivante.

Etape 11: En dessous du volet Packet Flow Diagram for the selected Rule, cliquer sur
Start
Cela permet de vrifier la configuration de rpartition du trafic. L'animation illustre un
paquet envoy au module IPS et l'interface de sortie. L'animation peut afficher une autre
plate-forme qui pourrait tre incorrect par rapport celui que vous configurez. Cela n'aura
aucune incidence sur le dploiement et est simplement un bug connue.

Etape 12: Cliquer sur Finish tout en bas de la fentre de lassistant de dmarrage.

Etape 13: Lorsque vous tes invit valider vos modifications sur le capteur, cliquez sur
Yes.