HP ProCurve Threat Management Solution Implementation Guide 2009-05

ManualsBrandsHP ManualsComputer AccessoriesHP ProCurve Switch xl Access Controller Module

3 HP ProCurve Network Immunity Manager with a Third-Party IDS/IPS

Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-1

Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-3

Step 1: Establish a Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5

First Time Through the Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5

Task: Access PCM+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5

Task: Ensure Policy Execution Is Disabled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-6

Optional Task: Consider Interaction with IDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-8

Task: Start Event Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-9

Task: View Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-12

Task: Check the Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-13

Task: Exclude Devices as Needed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-17

Task: Adjust Event Sensitivities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-22

Task: Make a List of Security Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24

Optional Task: Record Top Offenders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24

Second and Subsequent Times Through the Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24

Task: Update Events and Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24

Step 2: Detect Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25

Task: Set Up Static Mirroring, as Needed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25

Set Up Local Mirroring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25

Set Up Remote Mirroring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-28

Task: Configure a Cisco IPS 4200 Series Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-30

Subtask: Load the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-30

Subtask: Set Up Communication Between the Cisco IPS 4200 Series Sensor

and PCM+/NIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-34

Subtask: Discover the Cisco IPS 4200 Sensor in PCM+ . . . . . . . . . . . . . . . . . . . . . . . . .3-36

Subtask: Synchronize Time Between the Cisco IP 4200 Sensor and PCM+ . . . . . . . . . .3-37

Subtask: Configure Detection Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-38

Optional Subtask: Set Up an IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-45

Optional Subtask: Set Up an IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-54

Task: Configure a Fortinet FortiGate UTM Device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-59

Subtask: Set Up the UTM Device and Load the Operating System . . . . . . . . . . . . . . . .3-59

Subtask: Set Up Communication with PCM+ and NIM . . . . . . . . . . . . . . . . . . . . . . . . .3-64

Subtask: Configure IPS Settings and Logging on the Fortinet UTM Device . . . . . . . . .3-69

Optional Subtask: Set Up the UTM Device for IPS Operation . . . . . . . . . . . . . . . . . . . .3-74

Optional Subtask: Set Up an IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-78

Task: Configure a SonicWALL UTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-83

Subtask: Download the Latest Version of the SonicWall Operating System . . . . . . . . .3-83

Subtask: Return the UTM Device to Its Factory Default Configuration . . . . . . . . . . . . .3-87

Subtask: Set Initial UTM Device Parameters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-88

Optional Subtask: Set Up for IPS Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-95

Subtask: Set Intrusion Protection Parameters and Logging . . . . . . . . . . . . . . . . . . . . . .3-101

Optional Subtask: Complete the Setup of the IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-104