Архив форумов ЦИТФорума

[vadim.samara]

Добрый день!
Пишу диплом по защите сети средствами Cisco IPS.
Меня интересуют какие имеются коммутаторы и маршрутизаторы Сisco с IPS, на 24-48 портов (гибридные или седьмого уровня) и каким образом их правильно включать в сеть?
Нашел только Cisco IPS 4260, но он является модулем.
И еще необходим программный IPS, тоже какие существуют?
Большое спасибо всем за Ваше внимание!

[and3008]

Чисто программный IPS - это к примеру программа SNORT.

Вы видимо слабо себе представляете, какие нужны ресурсы для работы IPS. Они весьма серьезные.

Для коммутаторов Catalyst 6XXX модули и делаются. Так же модули делаются для роутеров серии 28ХХ, 38ХХ. Только производительность не ахти.

Раньше защита строилась только на PIX-ах.
Потом начали делать модули.
Сейчас последнее веяние - продукт ASA.

Как подключается? Да просто. Выбирается направление трафика, например вход/выход в DMZ. Средствами коммутатора трафик зеркалируется на IPS.
Далее все записит от применяемой политики защиты. Она может быть пассивная, т.к. только логирование и отправка алярмов админу, либо делается активная защита. Для этого на IPS и критичных уст-вах делаются такие настройки, что IPS сама динамически меняет ACL-листы, которые заблокируют подозрительное.
Настраивать активную защиту надо осторожно, а то можно полезное легко завалить.

[vadim.samara]

то есть допустим у меня имеется 2 сервера, соединены они с сетью двумя коммутаторами, один основной, второй резервный. Надо на каждый коммутатор ставить модуль IPS или можно оба коммутатора пустить через один модуль (я так понимаю, что модуль IPS ставится НЕ в разрыв сети, а с коммутатором связывается витой парой или оптикой).

[and3008]

Можно и так и эдак и вот так.
Все определяется дизайном сети, возможностями ваших IPS и наличием знаний у админов.

[borkes]

например, у больших пиксов и асашек есть модуль AIP-SSM, на котором железячно реализован IPS.