فالمقال السابق تكلمنا على الفرق بين IPS & IDS وفهاذ المقال غاديين نشوفو الكونفيغ ديال الـ IPS.
غانخدمو على هاذ الطوبولوجي كمثال باش تتاضح الرؤية.
أول حاجة كنبداو بها هي خاصنا نكرييو واحد الفولدر لي غاتكون محطوطة فيه هاذ الكونفيغ ديال الـ IPS. كنستخدمو الأمر :
IPS#mkdir ipsdir
هنا كرييت فولدر جديد سميتو ipsdir .. دبا غانرجع هاذ الفولد هو الـ Location ديال كاع الباراميطر لي غاندير, بمعنى أي كونفيغ درتها غاتولي تحط فهاذ الفولدر. الكوموند :
IPS(config)# ip ips config location ipsdir
هنا درت لاكوموند ip ips ولي هي الكوموند لي كتخدم فهاذ الكونفيغ ديال الـ ips ديما غاتلقى لي كوموند كيبداو بها. وزدت config يعني الكونفيغيراسيون كاملة غاتحطها ليا فـ Location لي سميتو ipsdir ولي هو لي كرييت فالأول كاع.
دبا غايخصني نكريي الباراميطر لي أنا باغي ندير. وأول حاجة غاندير هي نكريي واحد الإسم ديال هاذ الرولز لي أنا باغي ندير. الكوموند :
IPS# ip ips name IPSConfig
الكوموند كتشرح راسها, سميت هاذ الرولز (قاعدة) IPSConfig .. ودبا غاندير الكونفيغ ديال الـ Signature بالنسبة لهاذ الـ Signatures كيكونو عبارة عن باراميطراح كاينين فالـ IPS وحنى كنآبليكيو لي بغينا, فهاذ الحالة أنا غاندير غير Signature وحدة باش مايتبلوكاش ليا الـ IPS حيت شحال ما كثرتي الـ Signatures كيوليو يستهلكو من موارد الجهاز.. الكوموند:
IPS(config)# ip ips signature-category
IPS(config-ips-category)# category all
IPS(config-ips-category-action)# retired true
الشرح :
دخلت للبلاصة لي لي كيكونو فيها الـ Signatures وحددت كــاع الـ Signatures لي كاينين. وديزاكتيفيتهم كلهم. ملي كنديرو retired true بحال ملي كنديرو shutdown يعني كطفي أو بمعنى أصح, كدير Disabled .. وإذا بغيتي تآكتيفي كدير العكس retired false بحال no shutdown نفس المبدأ.
من بعد ما ديزاكتيفيت كاع الـ Signatures غير حفاظا على موارد الجهاز, دبا غا نآكتيفي غا لي بغيت, الكوموند :
IPS(config)#ip ips signature-category
IPS(config-ips-category)# category ios_ips_ basic
IPS(config-ips-category-action)# retired false
الشرح:
دبا درت وحدة من دوك الرولز أو الـ Signatures ولي كتسمى ios_ips basic وأكتيفيتها بلاكوموند retired false
الخطوة لي من بعد, غادي نآبلكي هاذ الـ Rule على الـ interface عندي الحق نديرها فالآنطيرفاص لي بغيت, سواء F0/0 أو S4/0 وهنا كيتطبق نفس المبدأ ديال الــ ACL الطرافيك فهاذ الحالة غايجي من الراوتر R2 وغايدخل للـ IDS إذن الـ Interface S4/0 فهاذ الحالة غاتكون هي IN لأن الطرافيك غايجي من برا وغايدخل للـ IPS أما لانطيرفاص F0/0 غاتكون هي الـ OUT لأن منها غايخرج الطرافيك.. إذن نقدر ندير لي بغيت خاصني غانحتارم الـ IN و الـ OUT الكوموند :
IPS(config)# Interface F0/0
IPS(config-if)# ip ips IPSConfig out
الشرح :
هنا دخلت للأنطيرفاص لي بغيت, وآبليكيت على الإسم ديال الـ Rule لي كرييت فالأول .
باش نموديفيو فالـ Signature :
IPS(config)# ip ips signature-definition
IPS(config-sigdef)# signature 2004
IPS(config-sigdef-sig)# status
IPS(config-sigdef-sig-status)# retired false
IPS(config-sigdef-sig-status)# enabled true
IPS(config-sigdef-sig-status)# exit
IPS(config-sigdef-sig)# engine
IPS(config-sigdef-sig-engine)# event-action procudre-alert
IPS(config-sigdef-sig-engine)# event-acion deny-packet-inline
الشرح :
هنا باش ندخلو نموديفيو الــ Signature كنديرو الكوموند Signature-definition .. هنا خذيت المثال بالـ Signature 2004 هاذي خاصة بالــ Ping كاينين بزاف ديال الــ Signature تقدرو تتكتاشفوهم راسكم من بعد.
دخلت للمود Status ومن بعد آكتيفين هاذ الـ Signature. ودخلت للمود ديال الـ Event أو الأحداث. بلاكوموند engine وآكتيفيت فيها الـ Alert ومنعت هاذ الباكيط ديال الـ Ping, شنو كيعني هاذشي, يعني ملي غايشوف شي باكيط ديال البينغ غايصيفط واحد الـ Alert وفنفس الوقت غايبلوكي البينغ مايخليهش يدوز.
آخر حاجة خاصني نديرها هي نآكتيفي الـ Syslog باش يبقاو يوصلوني كاع الـ Event فالسيرفر ديال الـ Syslog الكوموند :
IPS(config)# loggin on
IPS(config)# loggin host 192.168.1.254
IPS(config)# service timestemps log dateime msec
هاذشي لي كاين, نتمنى يكون الشرح كافي ووافي. Enjoy
