Salut à tous, dans un élan de motivation pour attaquer ma certification IPS, et bien que la nouvelle version de la certification porte sur les AIP-SSM (pour les >5510) ou les AIP-SSC (pour les 5505), ces derniers étant hors de mes moyens (d’ailleurs je vais faire un bouton donate pour me payer un nouveau lab ), je décides donc d’acheter un 4215 sur ebay, puis, le blueprint CCIE 3.0 est toujours sur les 4215, cela n’est donc pas perdu me dis-je… Que n’avais-je donc pas fait … J’ai réeussi ce jour a faire marcher mon IDS, sachant que je l’ai acheté il y a quelques mois.

Pour rappel, les IDS-4215 sont upgradable vers la version 6.0 de l’OS IPS (IPS Manager Express fonctionne à partir de la 6.1, mais il fonctionne, tout comme asdm, en mode démo), ce qui leur permets de fonctionner en mode IPS (en gros IDS = detection, IPS = prevention, l’IPS se mettras donc en inline sur le réseau et pourras bloquer directement le trafic malveillant).

Je branche donc mon 4215 tout content, je vois une version 5.0, et je me dis, je vais upgrade vers la 6.0. Première déception, je n’avais que 256M de ram, or il en faut 512. Je trouve donc un module IDS-4210-MEM-U et je passe à 512M. Je flashe, cela semble fonctionner, l’IPS reboot, j’ai la CLI, sauf qu’à chaques fois au bout de quelques temps j’ai mon analysis engine qui plante… voir ici:

https://supportforums.cisco.com/message/3034805;jsessionid=F5B112DB22543E85D0511FA4AAF0B7B5.node0#3034805

Finalement, je me rend compte que les IDS 4215 ont besoin d’un disque dur pour fonctionner (il y a une flashcard qui contient l’OS et le disque dur qui contient logs et signatures). J’ai donc trouvé un disque dur en spare sur ebay pour 15€, un toshiba, qui remplace très bien le cisco si ce n’est qui’il n’y a pas le support pour maintenir le disque (j’ai mis un bout de carton).

Donc je redémarres, je flashe bien en version 6.04, l’IPS compile ses signatures, le CPU redevient normal, mon analysis engine est running, je me dis cela va être la fin de mes souffrance… Eh bien non… Vous me direz, dans le métier d’informaticien la déception est le pain quotidien, que celui qui fait tout fonctionner du premier coup laisse un commentaire…

Je commences donc par une petite config de base:

sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip 192.168.0.3/24,192.168.0.1
sensor(config-hos-net)# host-name IDS4215
sensor(config-hos-net)# access-list 0.0.0.0/0
sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes?[yes]:

La syntaxe pour l’IP est assez bizarre, derrière il y a la gateway…

Et je lance donc mon IDM. Et la, je lance l’applet java, utilise mon compte cisco avec le mot de passe, et PAN! java error, il faut que le heap size soit au minimum à 256M. Je cliques donc sur help, ce qui me renvoit vers une page sur le site de cisco m’expliquant qu’il faut mettre le paramètre -Xmx256m dans le panneau de configuration/java, sauf qu’avec le JRE 1.6 ça ne marche pas. Je suis donc aller sur le site de SUN, ai téléchargé la version 1.5 du JRE (jre-1_5_0_21-windows-i586-p.exe), j’installe, et la petite astuce maintenant est de désactiver le 1.6 pour utiliser IDM, et le réactiver par la suite (ne pas désinstaller la version 1.6, installer la 1.5 par dessus).

Voir le screen:

Screenshot de la mort

Et tout çà… Pour ça:

IDM

Et comme je suis un fou, je vais essayer de trouver une carte PCI ethernet compatible avec mon IPS pour rajouter une interface et faire du inline…

Bref, à ceux qui veulent investir dans un IPS, prenez en un avec le module 4FE, le disque dur, et 512M de ram si vous ne voulez pas vous embêter…

Recent Entries

• Définir des « handlers » personnalisés pour associer les liens d’un protocole avec une application perso.
• DMVPN over GETVPN avec KS COOP (redondance) et KS Forwarding
• EAP-TLS avec Autorité de certification autonome (Standalone CA) sous Windows 2003
• Static subnet NAT avec VRF pour monter des ‘PODs’ (LAB)
• Capture WiFi en mode monitor sous windows, et capture par process
• Comment taper un point d’interrogation ‘?’ dans un mot de passe ?
• IPSEC High Availability Stateful Failover avec VTI
• Exemple GETVPN avec utilisation du CA server IOS
• Vente de matériel cisco : ip phone 7960, 3550 PoE, AP 1131Ag
• Prise en main d’un IDS 4215 et utilisation IDM sous Windows 7

This entry was posted on Jeudi, mars 25th, 2010 at 20:51 and is filed under astuces, CCSP, Sécurité réseau. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.