(3) Comentários

Por André Ortega, 29/04/2009 22:03

A maneira mais fácil de fazer a configuração inicial de um IPS Cisco é através do comando setup. Este comando apresenta um prompt interativo para que o usuário escolha as opções desejadas. Quando o IPS ainda não está configurado o IPS inicia o processo de setup automaticamente quando o usuário faz o login.

Abaixo segue o procedimento para deixarmos o equipamento gerenciável (depois disso é só acessar via browser).

1) Conecte o PC ao IPS via cabo console (RS-232) e abra um emulador de terminal (Hyper Terminal, Tera Terminal,…). Caso o equipamento seja novo o username e password padrão é cisco. O equipamento exigirá que a senha senha trocada, na primeira vez que você se conectar.

Obs1: A senha deverá ter ao menos 8 caracteres, e não pode ser uma palavra que exista em inglês!

2) Após logar no equipamento, digite setup. O IPS exibirá a configuração atual e perguntará se você deseja continuar com o processo de setup (como mencionado anteriormente, se o equipamento não tiver configuração ele iniciará o processo automaticamente).

service host
network-settings
host-ip 192.168.1.2/24,192.168.1.1
host-name sensor
telnet-option enabled
access-list 192.168.1.0/24
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
service interface
physical-interfaces GigabitEthernet0/1
admin-state enabled
exit
exit
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/1
exit
exit

Current time: Wed Apr 29 13:16:34 2009
Setup Configuration last modified: Wed Apr 29 13:16:08 2009

Continue with configuration dialog?[yes]:

Digite yes e aperte enter.

3) Agora vamos começar a configuração do IPS.

3.1) Hostname (neste exemplo BrainIPS).
Enter host name[sensor]: BrainIPS

3.2) IP da Interface de gerência (Command and Control Interface), máscara e gateway.
Enter IP interface[192.168.9.20/24,192.168.9.1]: 10.10.9.200/22,10.10.10.1

3.3) Opção para habilitar Telnet. Para manter o default (disable), tecle enter.
Enter telnet-server status[disable]: 

3.4) Porta que será usada para acesso web (443 é a porta padrão).
Enter web-server port[443]:

3.5) Definição da access-list que limitará o acesso administrativo. Nesta caso existia uma acl liberando acesso da rede 192.168.1.0/24. Ela foi deletada e posteriormente criei uma nova acl, permitindo a minha rede.
Modify current access list?[no]: yes
Current access list entries:
  [1] 192.168.1.0/24
Delete: 1
Delete:
Permit: 10.10.8.0/22
Permit:

3.6) Definição de NTP, horário de verão, DST Zone.
Modify system clock settings?[no]:

3.7) Definição das configuração do "sensor". Clique enter (para não alterar a configuração), pois é mais amigável fazer esta configuração via interface gráfica.
Modify virtual sensor "vs0" configuration?[no]:

Após o item 3.7 a configuração realizada será exibida:

The following configuration was entered.

service host
network-settings
host-ip 10.10.9.200/22,10.10.10.1
host-name BrainIPS
telnet-option disabled
access-list 10.10.8.0/22
ftp-timeout 300
no login-banner-text
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
summertime-option disabled
ntp-option disabled
exit
service web-server
port 443
exit
service interface
physical-interfaces GigabitEthernet0/1
admin-state enabled
exit
exit
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/1
exit
exit
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.

4) Caso esteja tudo certo tecle 2 e de enter. Novamente ele perguntará se deseja mudar o clock do IPS. Basta dar enter (para não mudar) e pronto.

Enter your selection[2]: 2
Configuration Saved.
*14:36:22 UTC Wed Apr 29 2009
Modify system date and time?[no]:
sensor#

Agora o IPS já pode ser acessado via interface gráfica (Https, IDM ou IME), por onde deverá receber o restante das configurações. Observe que o hostname não mudou, mas no próximo login ele aparecerá corretamente.

Obs2: Para configurar o módulo AIP-SSM, primeiro digite session 1, via linha de comando no ASA. Esse comando te levará para a console do IPS. A partir daí o processo será o mesmo descrito acima.

asa# session 1

Obs3: Para o módulo AIM-IPS, na linha de comando do roteador digite service-module ids-sensor 0/0 session. Da mesma forma você cairá na console do módulo. O setup do AIM-IPS também é o mesmo descrito acima.

router# service-module ids-sensor 0/0 session
Trying 10.1.9.1, 2322 … Open

sensor login: cisco
Password: ********

Mais detalhes sobre a configuração do IPS podem ser encontradas aqui.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 27/04/2009 11:52

Como vocês devem ter notado ai do lado, temos três novos ícones: Windows Live Alerts, Google e MY Yahoo!. Estas são as novas ferramentas do Brainwork para notificação de atualizado do blog.

Como estas opções o Brainwork pode ser integrado à página do iGoogle (como ilustrado abaixo) e do My Yahoo. Assim, sempre que você abrir uma dessas páginas, terá o plugin do Brainwork informando os últimos posts do blog.

Para adicionar o Brainwork ao iGoogle ou ao My Yahoo, basta clicar nos botões e , respectivamente.

Já ao clicar no ícone do Windows Live Alerts ()  você se inscreverá para receber as atualizações do Brainwork via alerta do MSN e/ou via email.

RSS

Aproveitando o post, vale lembrar que o Brainwork possui RSS, disponível desde o início do blog. Assim, quem utiliza leitores/agregadores de RSS podem cadastrar o nosso blog.

Para utilizar o RSS, basta clicar no link Entries RSS.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Só um comentário

Por André Ortega, 24/04/2009 23:48

Depois de ver o post no blog do ccna, entrei no site da Cisco para ver os jogos disponíveis. E fiquei surpreso. Desde muito tempo atrás a Cisco disponibiliza estas “ferramentas” para a aprendizagem, mas até uns dois anos atrás os jogos não eram muito intuitivos, e acabavam perdendo a graça.

Agora não! Para quem gosta do assunto (redes, claro), além de educativos os jogos são bem interessantes.

O grande destaque fica por conta do “The Cisco Mind Share Game”, voltado para quem esta se preparando para o CCENT/CCNA. Nele o jogador terá 15 tópicos que passam por números binários, roteamento, NAT, Switching e Wireless, entre outros (cada item possui três níveis de dificuldade). O demo do jogo (com 5 tópicos e mais de 40 MB) pode ser baixado do aqui. A versão full é vendida por $ 34,95.

O Mind Share, bem como os demais jogos, pode ser encontrado no site The Cisco Learning Network, ou você pode clicar nas imagens abaixo para jogar (é preciso ter usuário no site da Cisco – CCO).

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA

Só um comentário

Por André Ortega, 22/04/2009 13:29

A Cisco anunciou dia 20 de abril o programa NetRiders 2009 para alunos do Networking Academy. Este programa, agora aberto para a região da América Latina e Caribe, destacará os 20 participantes com melhor desempenho divulgando uma lista no site e premiará os primeiros colocados.

Após fazer a inscrição, o participante participará de 03 fases:

- Na primeira o aluno poderá responder até 100 perguntas com respostas de múltiplas escolhas em 45 minutos, via web. Os 50 melhores serão selecionados para a fase 2.

- Na segunda fase, os participantes pré selecionados concorrerão para ver quem é o melhor da região (Brasil, México, Chile, APU – Argentina, Paraguai e Uruguai e CANSAC – América Central, Caribe, Peru, Bolívia, Venezuela, Equador e Colômbia). Para isso precisarão responder até 100 perguntas em 60 minutos e farão um lab com o Packet Tracer 5.1 (30 minutos).

- Na última fase, os vencedores de cada região competirão para ser o número 1 do NetRiders 2009. Para isso participarão de um exame em um centro de provas, com uma banca avaliadora, onde terão que criar e apresentar uma topologia para o cenário proposto.

Nas três fases os melhores colocados serão premiados com produtos LinksysbyCisco e um certificado em PDF. Já os 3 melhores participantes de toda a américa latina serão premiado com uma viagem de uma semana para Silicon Valley.

As inscrições para o NetRiders estarão abertas entre o dia 23/04/09 e 12/06/09. Mais informações no site Netriders.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA

Seja o primeiro a comentar

Por André Ortega, 16/04/2009 17:35

Duas pessoas acessando um mesmo roteador e fazendo configurações conflitantes pode ser um problema. Para resolver esta situação, a partir da versão 12.3T do IOS, a Cisco disponibilizou a feature Exclusive Configuration Change Access (também conhecida com Config Lock).

Está funcionalidade garante que apenas um usuário por vez tenha direitos para realizar mudanças na configuração. Assim, uma vez habilitado o Config Lock, o primeiro usuário pode configurar o equipamento. Os demais usuário que logarem no equipamento poderão apenas utilizar comandos shows e debugs. Este é o Config Lock Auto.

Exemplo: Config Lock Auto

BrainRT01#conf t
BrainRT01(config)#configuration mode exclusive auto
BrainRT01(config)#exit
BrainRT01#

Na forma manual (Config Lock Manual), quando o usuário acessa o equipamento ele deve “pedir” para que o acesso seja restrito aos demais.

Exemplo: Config Lock Manual

BrainRT01#conf t
BrainRT01(config)#configuration mode exclusive manual
BrainRT01(config)#exit
BrainRT01#

Após habilitar o Config Lock Manual, o usuário é que deve escolher se vai ou não habilitar o controle de alterações. Para isto, basta adicionar o Lock ao Configure Terminal.

BrainRT01#configure terminal lock
Enter configuration commands, one per line.  End with CNTL/Z.
BrainRT01(config)#

Verificando a configuração

Após habilitar o Config Lock, se um segundo usuário tentar alterar as configurações, será advertido, como abaixo:

BrainRT01#conf t
Configuration mode locked exclusively by user ‘Brain’ process ‘51′ from terminal’6′. Please try later.
BrainRT01#

Neste caso o usuário pode utilizar o comando show configuration lock e identificar quem está acessando as configurações neste momento.

BrainRT01#show configuration lock
Parser Configure Lock
———————
Owner PID        : 51
User             : Brain
TTY              : 6
Type             : EXCLUSIVE
State            : LOCKED
Class            : EXPOSED
Count            : 1
Pending Requests : 0
User debug info  : configure terminal
BrainRT01#

Mais informações sobre o Exclusive Configuration Change Access aqui, e para verificar se seu equipamento suporta esta funcionalidade utilize o Feature Navigator (www.cisco.com/go/fn).

Até a próxima.

Post sugerido por Rafael Leão

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU