Ce document fournit des informations sur l'ajout de capteurs et de modules IDS (Intrusion Detection System) (inclut IDSM sur les commutateurs Catalyst 6500, NM-CIDS sur les routeurs et AIP-SSM sur ASA) dans Cisco Security Manager (CSM).
Remarque : CSM 3.2 ne prend pas en charge IPS 6.2. Il est pris en charge dans CSM 3.3.
Ce document suppose que les périphériques CSM et IDS sont installés et fonctionnent correctement.
Les informations de ce document sont basées sur CSM 3.0.1.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Lorsque vous ajoutez un périphérique à Security Manager, vous apportez une plage d'informations d'identification pour le périphérique, telles que son nom DNS et son adresse IP. Une fois le périphérique ajouté, il apparaît dans l'inventaire des périphériques du Gestionnaire de sécurité. Vous ne pouvez gérer un périphérique dans Security Manager qu'après l'avoir ajouté à l'inventaire.
Vous pouvez ajouter des périphériques à l'inventaire de Security Manager à l'aide des méthodes suivantes :
Ajoutez un périphérique du réseau.
Ajouter un nouveau périphérique qui ne se trouve pas encore sur le réseau
Ajoutez un ou plusieurs périphériques à partir du périphérique et du référentiel d'informations d'identification (DCR).
Ajoutez un ou plusieurs périphériques à partir d'un fichier de configuration.
Note : Ce document porte sur la méthode : Ajoutez un nouveau périphérique qui ne se trouve pas encore sur le réseau.
Utilisez l'option Ajouter un nouveau périphérique afin d'ajouter un seul périphérique à l'inventaire de Security Manager. Vous pouvez utiliser cette option pour le préprovisionnement. Vous pouvez créer le périphérique dans le système, affecter des stratégies au périphérique et générer des fichiers de configuration avant de recevoir le matériel du périphérique.
Lorsque vous recevez le matériel du périphérique, vous devez préparer les périphériques à être gérés par Security Manager. Référez-vous à Préparation des périphériques pour Security Manager à gérer pour plus d'informations.
Cette procédure montre comment ajouter un nouveau capteur et des modules IDS :
Cliquez sur le bouton Affichage du périphérique dans la barre d'outils.
La page Périphériques s'affiche.
Cliquez sur le bouton Ajouter dans le sélecteur Périphérique.
La page Nouveau périphérique - Choisir une méthode s'affiche avec quatre options.
Choisissez Add New Device, puis cliquez sur Next.
La page New Device - Device Information s'affiche.
Saisissez les informations relatives au périphérique dans les champs appropriés.
Consultez la section Informations sur le périphérique - Nouveau périphérique pour plus d'informations.
Cliquez sur Finish.
Le système effectue des tâches de validation de périphérique :
Si les données sont incorrectes, le système génère des messages d'erreur et affiche la page sur laquelle l'erreur se produit avec une icône d'erreur rouge qui y correspond.
Si les données sont correctes, le périphérique est ajouté à l'inventaire et apparaît dans le sélecteur de périphérique.
Procédez comme suit :
Sélectionnez le type de périphérique du nouveau périphérique :
Sélectionnez le dossier de type de périphérique de niveau supérieur afin d'afficher les familles de périphériques prises en charge.
Sélectionnez le dossier de la famille de périphériques afin d'afficher les types de périphériques pris en charge.
Sélectionnez Interfaces et modules Cisco > Modules réseau Cisco afin d'ajouter le module réseau du routeur d'accès Cisco IDS. De même, sélectionnez Interfaces et modules Cisco > Modules de services Cisco afin d'ajouter les modules AIP-SSM et IDSM affichés.
Sélectionnez Security and VPN > Cisco IPS 4200 Series Sensors afin d'ajouter le capteur Cisco IDS 4210 à l'inventaire CSM.
Sélectionnez le type de périphérique.
Remarque : après avoir ajouté un périphérique, vous ne pouvez pas modifier le type de périphérique.
Les ID d'objet système de ce type de périphérique sont affichés dans le champ SysObjectId. Le premier ID d'objet système est sélectionné par défaut. Vous pouvez en sélectionner un autre si nécessaire.
Saisissez les informations d'identité du périphérique, telles que le type IP (statique ou dynamique), le nom d'hôte, le nom de domaine, l'adresse IP et le nom d'affichage.
Saisissez les informations du système d'exploitation du périphérique, telles que le type de système d'exploitation, le nom de l'image, la version du système d'exploitation cible, les contextes et le mode de fonctionnement.
Le champ Auto Update ou CNS-Configuration Engine s'affiche, selon le type de périphérique sélectionné :
Auto Update : affiché pour le pare-feu PIX et les périphériques ASA.
CNS-Configuration Engine : affiché pour les routeurs Cisco IOS®.
Remarque : ce champ n'est pas actif pour les périphériques Catalyst 6500/7600 et FWSM.
Procédez comme suit :
Auto Update : cliquez sur la flèche pour afficher la liste des serveurs. Sélectionnez le serveur qui gère le périphérique. Si le serveur n'apparaît pas dans la liste, procédez comme suit :
Cliquez sur la flèche, puis sélectionnez + Ajouter un serveur... La boîte de dialogue Propriétés du serveur s'affiche.
Saisissez les informations dans les champs obligatoires.
Click OK. Le nouveau serveur est ajouté à la liste des serveurs disponibles.
CNS-Configuration Engine : différentes informations s'affichent, selon que vous sélectionnez un type IP statique ou dynamique :
Static : cliquez sur la flèche pour afficher la liste des moteurs de configuration. Sélectionnez le moteur de configuration qui gère le périphérique. Si le moteur de configuration n'apparaît pas dans la liste, procédez comme suit :
Cliquez sur la flèche, puis sélectionnez + Ajouter un moteur de configuration... La boîte de dialogue Propriétés du moteur de configuration s'affiche.
Saisissez les informations dans les champs obligatoires.
Click OK. Le nouveau moteur de configuration est ajouté à la liste des moteurs de configuration disponibles.
Dynamique : cliquez sur la flèche pour afficher la liste des serveurs. Sélectionnez le serveur qui gère le périphérique. Si le serveur n'apparaît pas dans la liste, procédez comme suit :
Cliquez sur la flèche, puis sélectionnez + Ajouter un serveur... La boîte de dialogue Propriétés du serveur s'affiche.
Saisissez les informations dans le champ requis.
Click OK. Le nouveau serveur est ajouté à la liste des serveurs disponibles.
Procédez comme suit :
Afin de gérer le périphérique dans Security Manager, cochez la case Manage in Cisco Security Manager. Il s'agit de la configuration par défaut.
Si la seule fonction du périphérique que vous ajoutez est de servir de point d'extrémité VPN, décochez la case Gérer dans Cisco Security Manager.
Security Manager ne gère pas les configurations, ni ne télécharge ou ne télécharge les configurations sur ce périphérique.
Cochez la case Contexte de sécurité du périphérique non géré afin de gérer un contexte de sécurité dont le périphérique parent (pare-feu PIX, ASA ou FWSM) n'est pas géré par Security Manager.
Vous pouvez partitionner un pare-feu PIX, ASA ou FWSM en plusieurs pare-feu de sécurité, également appelés contextes de sécurité. Chaque contexte est un système indépendant, avec sa propre configuration et ses propres politiques. Vous pouvez gérer ces contextes autonomes dans Security Manager, même si le parent (pare-feu PIX, ASA ou FWSM) n'est pas géré par Security Manager.
Remarque : ce champ n'est actif que si le périphérique sélectionné dans le sélecteur de périphérique est un périphérique pare-feu, tel que PIX Firewall, ASA ou FWSM, qui prend en charge le contexte de sécurité.
Cochez la case Gérer dans IPS Manager afin de gérer un routeur Cisco IOS dans IPS Manager.
Ce champ est actif uniquement si vous avez sélectionné un routeur Cisco IOS dans le sélecteur de périphérique.
Remarque : IPS Manager ne peut gérer les fonctions IPS que sur un routeur Cisco IOS doté de fonctionnalités IPS. Pour plus d'informations, reportez-vous à la documentation IPS.
Si vous cochez la case Gérer dans IPS Manager, vous devez également cocher la case Gérer dans Cisco Security Manager.
Si le périphérique sélectionné est IDS, ce champ n'est pas actif. Cependant, cette case est cochée car IPS Manager gère les capteurs IDS.
Si le périphérique sélectionné est PIX Firewall, ASA ou FWSM, ce champ n'est pas actif car IPS Manager ne gère pas ces types de périphériques.
Cliquez sur Finish.
Le système effectue des tâches de validation de périphérique :
Si les données que vous avez entrées sont incorrectes, le système génère des messages d'erreur et affiche la page où l'erreur se produit.
Si les données que vous avez entrées sont correctes, le périphérique est ajouté à l'inventaire et apparaît dans le sélecteur Périphérique.
Utilisez cette section pour dépanner votre configuration.
Lorsque vous ajoutez IPS à CSM, le périphérique non valide : Impossible de déduire le SysObjId du message d'erreur de type de plateforme s'affiche.
Solution
Procédez comme suit pour résoudre ce message d'erreur .
Arrêtez le service Démon CSM dans Windows, puis choisissez Program Files > CSCOpx > MDC > athena > config > Directory, où vous pouvez trouver VMS-SysObjID.xml.
Sur le système CSM, remplacez le fichier VMS-SysObjID.xml d'origine situé par défaut dans C:\Program Files\CSCOpx\MDC\athena\config\directory par le dernier fichier VMS-SysObjID.xml.
Redémarrez le service CSM Daemon Manager (CRMDmgtd), puis réessayez d'ajouter ou de détecter le ou les périphériques concernés.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
21-May-2007 |
Première publication |