IOS IPS
IOS IPS
No właśnie - czy ktoś to stosował ... ostatnio spotkałem się z czymś takim, że uruchomiony zgodnie z guide-m IPS przyczepiony na in i out jednego interfejsu, który ma tylko alertować, po pewnym czasie zaczyna zamulać ruch.... Zamulać tak, że sesje TCP zawisają, nie są nawiązywane czy też zrywane... wiszą.
<: Enceladus :>
ja mialem identyczny rezultat tyle ze wsyztsko siadalo po upływie kilkudziesięciu sekund.
okazało sie że wewnątrz sieci siedział sobie jakiś syfek który nawiązywal tysiące sesji. moj błąd że nie określiłem wtedy maksymalnej ilości natowań poprzez:
ip nat translation max-entries
co dziwne ani ips ani cbac nie dal znaku ze cos jest nie tak...
okazało sie że wewnątrz sieci siedział sobie jakiś syfek który nawiązywal tysiące sesji. moj błąd że nie określiłem wtedy maksymalnej ilości natowań poprzez:
ip nat translation max-entries
co dziwne ani ips ani cbac nie dal znaku ze cos jest nie tak...
Problemów z IPS/IDS ciąg dalszy ...
inny router problem podobny -
IDS_IN przypięte jest na in interfejsu którym przychodzi internet. Internet jest dostępny tylko dla wybranych adresów (które są statycznie natowane) przez policy routing.
Konfiguracja IDS jak widać powinna robić tylko alarm ale .... serwer ma wystawione ssh i https - https działa prawidłowo - strony się otwierają z internetu itp, a SSH nie chce działać -- tzn połączenie TCP zostaje nawiązane, ale na tym koniec. Gdy zdejmę z interfejsu IDS-a wszystko zaczyna działać.
Niedostępność SSH jest natychmiastowa po przypisaniu IDS_IN do interfejsu.
inny router problem podobny -
Kod: Zaznacz cały
ip audit po max-events 100
ip audit protected 10.1.0.0 to 10.1.255.255
ip audit name IDS_IN info action alarm
ip audit name IDS_IN attack action alarm
Konfiguracja IDS jak widać powinna robić tylko alarm ale .... serwer ma wystawione ssh i https - https działa prawidłowo - strony się otwierają z internetu itp, a SSH nie chce działać -- tzn połączenie TCP zostaje nawiązane, ale na tym koniec. Gdy zdejmę z interfejsu IDS-a wszystko zaczyna działać.
Niedostępność SSH jest natychmiastowa po przypisaniu IDS_IN do interfejsu.
<: Enceladus :>
czyli nic nie wymyśliłeś ... szkoda 
Ja miałem coś takiego jeszcze z VPNem do koncentratora - mogłem się zalogować, grupa, login przechodziło .. sesja nawiązana. Niestety statystyka połączenia pokazywała 0 pakietów przychodzących. Po wyłączeniu IDS-a VPN ruszył. Niestety nie mam warunków aby powtórzyć to laboratoryjnie...
Problem stwierdziłem na kilku routerach z różnym softem... trzeba będzie "pogadać" z TACiem ...
Ja miałem coś takiego jeszcze z VPNem do koncentratora - mogłem się zalogować, grupa, login przechodziło .. sesja nawiązana. Niestety statystyka połączenia pokazywała 0 pakietów przychodzących. Po wyłączeniu IDS-a VPN ruszył. Niestety nie mam warunków aby powtórzyć to laboratoryjnie...
Problem stwierdziłem na kilku routerach z różnym softem... trzeba będzie "pogadać" z TACiem ...
<: Enceladus :>