Piotr Wojciechowski

Jak już wspomniałem wcześniej zmienił się sposób zarządzania sygnaturami w nowych IOSach od wersji 12.4(11)T. Po pierwsze wydając polecenie ip ips signature-category lub ip ips signature-definition przechodzimy do trybu konfiguracji sygnatur. Zmiany przez nas wprowadzane nie będą aplikowane na routerze, dopóki nie wyjdziemy z trybu konfiguracyjnego i nie potwierdzimy enterem chęci ich zaaplikowania. Szkoda, że zmiany nie są wprowadzane jakimś poleceniem jak na Juniperach - jeżeli się rozpędzimy z konfiguracją bądź będziemy polegać na odruchach (takich jak używanie CTRL+Z), możemy odrzucić mozolnie wprowadzane zmiany bądź zaakceptować te, których w efekcie nie chcieliśmy wprowadzić.

Zarządzać możemy albo całymi kategoriami sygnatur albo poszczególnymi sygnaturami. O ile zmiany wprowadzone dla całych kategorii widoczne są w show running-config, co widać w moim poprzednim wpisie, o tyle zmiany w poszczególnych sygnaturach już nie. Jak dla mnie jest to wielka niedogodność - nie widać jakie zmiany zostały wprowadzone w funkcjonalności podsystemu względem oryginalnej konfiguracji. Trzeba przekopywać się przez listing show ip ips signature sprawdzając stan interesującej nas sygnatury.

Konfiguracja sygnatur odbywa się poprzez wchodzenie do odpowiedniego podsystemu danej sygnatury.

C1841(config)#ip ips signature-definition
C1841(config-sigdef)#signature 1000 0
C1841(config-sigdef-sig)#?
Category Options for configuration:
  alert-severity   Alarm Severity Rating
  engine           Engine
  exit             Exit from Category Actions Mode
  fidelity-rating  Signature Fidelity Rating
  no               Negate or set default values of a command
  status           Status

W podsystemie engine definiujemy zachowanie się IPSa gdy dana sygnatura złapie ruch zgodny z jej charakterystyką

C1841(config-sigdef-sig-engine)#event-action ?
  deny-attacker-inline    Deny Attacker
  deny-connection-inline  Deny Connection
  deny-packet-inline      Deny Packet
  produce-alert           Produce Alert
  reset-tcp-connection    Reset TCP Connection

Za pomocą status włączamy oraz wyłączamy dane sygnatury

C1841(config-sigdef-sig-status)#?
Status options for signatures:
  enabled  Enable Category Signatures
  exit     Exit from status submode
  no       Negate or set default values of a command
  retired  Retire Category Signatures

Tu warto zauważyć różnicę między enabled a retired - pierwsza wyłącza sprawdzanie danej sygnatury dla analizowanego ruchu, druga wyłącza dodatkowo jej kompilację, czyli zapobiega ładowaniu do pamięci.