Chào mọi người,

Vui lòng cho hỏi là khi lắp đặt module AIP-SSM trên ASA520 thì mình nên đặt tại vùng nào (về mặt vật lý) để quản lý vậy? Mình đang đặt tại vùng Outside, mặc dù đã cấu hình cho phép telnet và ssh, nhưng đứng từ bên trong Inside, mình vẫn không thể kết nối vào module IPS theo địa chỉ quản lý được (ngay cả khi log vào ASA bằng ASDM , mình cũng kết nối vào được). Chỉ có thể kết nối vào module bằng cách kết nối vào asa (ssh, telnet) rồi dùng câu lệnh session 1 để vào mà thôi. Xin mọi người chỉ giúp dùm nên cấu hình như thế nào. Cám ơn mọi người nhiều nhé.

chào bạn!!!
Cách 1: trên module ips có cổng management,bạn gắn PC vào cổng này,gán ip phải cùng subnet với địa chỉ quản lý bạn đã cấu hình, thực hiển ssh or https đến ip này là ok!!!!
Cách 2: ips có cấu hình danh sách địa chỉ được phép quản lý ips, nếu ip mà bạn sử dụng ko thể connect đến ips thì cần cấu hình thêm!!!!

- bạn nên đặt ips ở những nơi quan trọng,những vủng server, dmz, subnet mà bạn quan tam. Bạn có thể cấu hình trên ASA dùng MQC cấu hình những subnet bạn mún.
- Cisco ASA AIP SSM có 2 mode: promicuous và inline. mỗi mode đều có ưu điểm và nhược điểm.
Trong chế độ Promicuous mode: ips module ko ảnh hưởng đến luồng traffic trong mạng bảo đảm performance. Vì bản thân Promicuous mode ko có khả năng ngăn chặn ngay cuộc tấn công mà phải nhờ vào giúp đỡ của ASA or ROUTER nên có thể host đã bị tấn công nên đó là nhược điểm
Inline mode: trong mode này ips module se can thiệp trực tíêp đến traffic trong mạng. các traffic cần đi qua ips module trước khi đến target. Những cuộc tấn công được ngăn chặn kịp thời ko gây ảnh hưỡng đến target. Vì traffic cần đi trực típ qua IPS module rồi mới đi típ nên có thể ảnh hưỡng đến network performance

Chào bạn,

Mình đang sử dụng module IPS ASA-SSM-AIP-20 nên chỉ có 1 cổng để kết nối vào mạng mà thôi. Trên module mình cũng đã cấu hình cho phép kết nối vào bằng ssh như sau:

IPS# show configuration
! ------------------------------
! Current configuration last modified Tue Sep 16 04:50:24 2008
! ------------------------------
! Version 6.0(4)
! Host:
! Realm Keys key1.0
! Signature Definition:
! Signature Update S317.0 2008-02-13
! Virus Update V1.2 2005-11-24
! ------------------------------
service interface
interface-notifications
missed-percentage-threshold 1
notification-interval 60
idle-interface-delay 60
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0
exit
! ------------------------------
service host
network-settings
host-ip 192.168.2.70/27,192.168.2.66
host-name IPS
telnet-option enabled
access-list 10.1.10.240/32
access-list 10.1.10.254/32
access-list 10.1.10.252/32
login-banner-text Use of this system by unauthorized persons or in an unauthorized manner is prohibited.
exit
time-zone-settings
offset 0
standard-time-zone-name UTC
exit
exit

Tuy nhiên, từ các máy 10.1.10.240 (nằm trong vùng inside) vẫn không thể kết nối tới module IPS (nằm ở vùng outside) được. Từ module IPS, mình cũng chỉ ping được tới địa chỉ gateway mà thôi, ngoài ra không ping hoặc tracert được tới địa chỉ nội mạng nào cả. Mục đích đặt IPS ở vùng outside là để bảo vệ tòan mạng luôn. Cám ơn bạn rất nhiều.

---đơn giản nhất là module IPS ASA-SSM-AIP-20 chỉ có 1 cổng là "command and control interface" .bạn connect PC management vào cổng đó. gán ip cùng network với sensor rồi gán thêm network acl cho phép PC management nữa
---ip 10.1.10.240 ko connect bạn xem lại cấu hình trên ASA

mình có 1 module IPS AIP-SSM 20, cho mình hỏi cách update license cho thiết bị này, mình đã thử bằng cách vào ASDM\Configuration\ IPS\ License\ update license nhưng đợi hoài không thấy update được, thx