Prise en main d’un IDS 4215 et utilisation IDM sous Windows 7

Salut à tous, dans un élan de motivation pour attaquer ma certification IPS, et bien que la nouvelle version de la certification porte sur les AIP-SSM (pour les >5510) ou les AIP-SSC (pour les 5505), ces derniers étant hors de mes moyens (d’ailleurs je vais faire un bouton donate pour me payer un nouveau lab 😉 ), je décides donc d’acheter un 4215 sur ebay, puis, le blueprint CCIE 3.0 est toujours sur les 4215, cela n’est donc pas perdu me dis-je… Que n’avais-je donc pas fait … J’ai réeussi ce jour a faire marcher mon IDS, sachant que je l’ai acheté il y a quelques mois.

Pour rappel, les IDS-4215 sont upgradable vers la version 6.0 de l’OS IPS (IPS Manager Express fonctionne à partir de la 6.1, mais il fonctionne, tout comme asdm, en mode démo), ce qui leur permets de fonctionner en mode IPS (en gros IDS = detection, IPS = prevention, l’IPS se mettras donc en inline sur le réseau et pourras bloquer directement le trafic malveillant).

Je branche donc mon 4215 tout content, je vois une version 5.0, et je me dis, je vais upgrade vers la 6.0. Première déception, je n’avais que 256M de ram, or il en faut 512. Je trouve donc un module IDS-4210-MEM-U et je passe à 512M. Je flashe, cela semble fonctionner, l’IPS reboot, j’ai la CLI, sauf qu’à chaques fois au bout de quelques temps j’ai mon analysis engine qui plante… voir ici:

https://supportforums.cisco.com/message/3034805;jsessionid=F5B112DB22543E85D0511FA4AAF0B7B5.node0#3034805

Finalement, je me rend compte que les IDS 4215 ont besoin d’un disque dur pour fonctionner (il y a une flashcard qui contient l’OS et le disque dur qui contient logs et signatures). J’ai donc trouvé un disque dur en spare sur ebay pour 15€, un toshiba, qui remplace très bien le cisco si ce n’est qui’il n’y a pas le support pour maintenir le disque (j’ai mis un bout de carton).

Donc je redémarres, je flashe bien en version 6.04, l’IPS compile ses signatures, le CPU redevient normal, mon analysis engine est running, je me dis cela va être la fin de mes souffrance… Eh bien non… Vous me direz, dans le métier d’informaticien la déception est le pain quotidien, que celui qui fait tout fonctionner du premier coup laisse un commentaire…

Je commences donc par une petite config de base:

sensor(config)# service host 
sensor(config-hos)# network-settings 
sensor(config-hos-net)# host-ip 192.168.0.3/24,192.168.0.1
sensor(config-hos-net)# host-name IDS4215
sensor(config-hos-net)# access-list 0.0.0.0/0
sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes?[yes]:

La syntaxe pour l’IP est assez bizarre, derrière il y a la gateway…

Et je lance donc mon IDM. Et la, je lance l’applet java, utilise mon compte cisco avec le mot de passe, et PAN! java error, il faut que le heap size soit au minimum à 256M. Je cliques donc sur help, ce qui me renvoit vers une page sur le site de cisco m’expliquant qu’il faut mettre le paramètre -Xmx256m dans le panneau de configuration/java, sauf qu’avec le JRE 1.6 ça ne marche pas. Je suis donc aller sur le site de SUN, ai téléchargé la version 1.5 du JRE (jre-1_5_0_21-windows-i586-p.exe), j’installe, et la petite astuce maintenant est de désactiver le 1.6 pour utiliser IDM, et le réactiver par la suite (ne pas désinstaller la version 1.6, installer la 1.5 par dessus).

Voir le screen:

Screenshot de la mort

Et tout çà… Pour ça:

IDM

IDM

Et comme je suis un fou, je vais essayer de trouver une carte PCI ethernet compatible avec mon IPS pour rajouter une interface et faire du inline…

Bref, à ceux qui veulent investir dans un IPS, prenez en un avec le module 4FE, le disque dur, et 512M de ram si vous ne voulez pas vous embêter…

Recent Entries

5 Responses to “Prise en main d’un IDS 4215 et utilisation IDM sous Windows 7”

  1. FeisTy Says:

    Oh lala vive les emmerdes !! 🙁

    Bonne chance pour la suite

  2. Bastien Migette Says:

    Ouais mais quand on vois le prix d’un ASA avec un module AIP ça calme 🙂

  3. Flo Says:

    Ah ah Bastien 😀
    Tu me fais marrer ca n’arrive qu’a toi ces galeres :p
    Mais tu parviens toujours a contourner.
    HF et a bientot ‘chez papa’

  4. Bastien Migette Says:

    ouais, mais maintenant j’ai réeussi à mettre un IDSv5.1 sous GNS alors je vais voir si je le garde ou pas :p

  5. Bastien Migette Says:

    bon au final je le vend :
    http://cgi.ebay.fr/ws/eBayISAPI.dll?ViewItem&item=280508929019&ssPageName=STRK:MESELX:IT

Leave a Reply

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.