Premesso che i PIX 501 sono molto limitati come IDS, in quanto supportano soltanto circa 70 signature (piuttosto datate), può tornare comunque utile configurarli come Intrusion Detection System di prima linea, a cui associare dei sistemi più sofisticati, basati ad esempio su snort.
Ovviamente, affinchè l'IDS possa svolgere il suo compito è necessario abilitare il logging dei pacchetti "sospetti", reindirizzandoli su un'altra macchina (aka logserver), in modo da non causare eventuali memory leak al nostro piccolo firewall (soprattutto se la mole di traffico che deve esaminare è piuttosto elavata).
Ma veniamo alla configurazione del PIX. Per prima cosa digitiamo il comando (in modalità enable):
NightFirewall# sh run | i ip audit
il cui output sarà:
ip audit info action alarm
ip audit attack action alarm
Esso rappresenta le due tipologie di signature che possono essere gestite dal firewall, ovvero info ed attack, con le rispettive azioni di default (che in entrambi i casi è alarm).
Definiamo adesso delle nuove policy di audit digitando:
NightFirewall# conf t
NightFirewall(config)# ip audit name esterna info
NightFirewall(config)# ip audit name interna attack action drop
La prima policy è di tipo info, la seconda è di tipo attack a cui è associata l'azione drop nel caso in cui vengano individuati dei pacchetti sospetti.
Associamo le policy di audit appena create alle interfacce del nostro PIX:
NightFirewall(config)# ip audit interface outside esterna
NightFirewall(config)# ip audit interface inside interna
ed infine lanciamo un write mem per salvare la nuova configurazione:
NightFirewall(config)# write mem
Ora il nostro PIX si comporterà come un IDS.
A presto.
Pacman
Nostradamus
Magical Cat Adventure
Snake