Estamos executando um Cisco ASA 5510 com o módulo IPS.
Temos um servidor interno que está realizando muitas varreduras de descoberta SNMP e está sendo bloqueado e desligado pelo IPS.
Como estou no controle deste servidor, e este é um comportamento esperado, gostaria de adicionar uma exceção ao IPS para impedir que esse servidor seja bloqueado.
Encontrei o seguinte na ferramenta Express do Cisco IPS Manager:
Configuration > sensor_name > Sensor Management > Blocking > Blocking Properties, and click Add to add a host or network to the list of addresses never to be blocked.
No entanto, mesmo depois de adicionar o endereço IP dos servidores, ainda está sendo bloqueado.
Existe outra área que eu deveria estar adicionando este servidor também?
Quais são os syslogs do 5510 contando a você? A única vez que o ASA bloqueia realmente qualquer ips é se o módulo IPS emitir um shun no ASA para esse endereço IP particular. Você está fugindo? Os IPs correspondem entre os "Endereços Nunca Bloqueados" e o IP do servidor?
Caso contrário, você está no local certo no IME.
Você pode adicionar uma regra de filtro ao seu servidor de varredura.