RIP Cisco IPS

Schon lange hat man auf diesen Tag gewartet, jetzt ist er gekommen. Cisco schickt das „legacy IPS“ aufs Altenteil. Und das komplett:

Product Migration Options
This end-of-life announcement covers the entire Cisco IPS Family, including all hardware, software, and licenses, with no exceptions. The IPS software also includes management applications: IPS Device Manager (IDM) and IPS Manager Express (IME).
Cisco IPS Appliance 4xxx customers are encouraged to migrate to the Cisco FirePOWER Appliance.
Cisco ASA IPS Module 5xxx customers are encouraged to migrate to Cisco ASA with FirePOWER Services.

In dem EOS/EOL-Anouncement wird das IOS-IPS nicht erwähnt. Da das im IOS integriert ist, wäre es vermutlich ein zu großer Aufwand, das gegen eine FirePOWER-Implementierung zu ersetzen.
Update: Es ist aktuell geplant, das EOS/EOL des IOS-IPS in ca. einem Jahr bekanntzugeben.

Das komplette Anouncement ist hier zu finden:
http://www.cisco.com/c/en/us/products/collateral/security/ips-4200-series-sensors/eos-eol-notice-c51-733186.html

Advertisements
RIP Cisco IPS

Cisco IPS mit RADIUS-Authentication

An den Cisco IPS-Appliances konnte man sich bisher nur per lokaler Anmeldung authentifizieren. Eine Integration in die zentrale AAA-Infrastruktur per TACACS+ oder RADIUS war nicht möglich. In der neuen Version 7.0(4) ist jetzt zumindest eine Authentifizierung per RADIUS möglich. Ich habe ja fast nicht mehr daran geglaubt, dass dieses Feature noch eingebaut wird. Nähere Informationen gibt es in der Dokumentation.

Cisco IPS mit RADIUS-Authentication

Cisco IPS 6.1

Gerade hat Cisco die neue Version 6.1 der IPS-Software veröffentlicht (zusätzlich zur neuen Management-Software Cisco IPS Manager Express). Das Readme bestätigt leider, was früher schon angekündigt wurde. Der “kleine” IPS-Sensor 4215 (dessen EOS auch kürzlich angekündigt wurde) und die alten Dell-basierten Systeme sind nicht mehr unterstützt:

The following platforms are no longer supported:

– IDS 4210 Series Appliance Sensor
– IDS 4215 Series Appliance Sensor
– IDS-4235 Series Appliance Sensor
– IDS-4250 Series Appliance Sensor
– NM-CIDS for Cisco 26xx, 3660, and 37xx Router Families

Cisco IPS 6.1

Cisco IPS 4215 EOL/EOS angekündigt

Das Arbeiten mit dem IPS-Sensor 4215 hat mit der aktuellen Software 6.0 wirklich schon keinen Spaß mehr gemacht. Die Büchse ist einfach zu lahm. Jetzt hat Cisco das EOL/EOS dieses Sensors angekündigt. Interessant ist der angegebene Migrationspfad:

Product Migration Options
Customers are encouraged to migrate to the Cisco ASA 5510 Adaptive Security Appliance Intrusion Prevention Services (IPS) solution with Advanced Inspection and Prevention Security Services Module AIP-SSM-10.

Nachtrag: Warum ich das interessant finde? Die ASA ist eine Firewall. Und wenn man z.B. “nur” IDS will, um z.B. ein paar Netze zu monitoren bringt einem diese Migration genau nichts. Das IPS-Modul kann zwar promiscous benutzt werden, aber die ASA sitzt immer inline.

Cisco IPS 4215 EOL/EOS angekündigt

IntruPro IPS – ein neues Intrusion Prevention System

Die Firma Intoto war bisher für UTM-Software bekannt, die an Hersteller von Router oder Firewalls lizenziert wurde. Jetzt hat Intoto angekündigt, innerhalb von 30 Tagen unter http://www.openintoto.com eine freie IPS-Lösung herauszubringen. Diese Software – die unter Linux laufen wird – ist zwar kostenlos, die Signaurupdates werden mit $1000 pro Jahr bezahlt werden müssen.

IntruPro IPS – ein neues Intrusion Prevention System

Verwundbarkeiten im IOS-IPS

Da habe ich erstmal einen guten Schreck bekommen: “Cisco Security Advisory: Multiple IOS IPS Vulnerabilities“.
Zwei heftige Bugs befinden sich im IOS-IPS (welches bei mir auch in Betrieb ist). Eine Lücke, die IDS-Evasion ermöglicht und eine DOS-Lücke in der Verarbeitung von Regular Expressions in der Atomic.TCP-Engine.
Erstaunlicherweise ist diese Lücke schon in IOS-Versionen geschlossen, die seit ca. einem Jahr herausgegeben werden. Da wurde wohl in einer der vielen internen Überarbeitungen des IOS-IPS automatisch der Fehler behoben, ohne dass es Cisco gemerkt hat.

Verwundbarkeiten im IOS-IPS