Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA: Exemplo de Configuração para Envio de Tráfego de Rede do ASA para o AIP-SSM

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Abril 2009) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configurações Iniciais
      Inspeção de Todo o Tráfego com o AIP-SSM
      Inspeção de Tráfego Específico com o AIP-SSM
Verificação
Troubleshooting
      Problemas com o Failover
      Mensagens de Erro
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração que descreve como enviar tráfego de rede do Cisco ASA 5500 Series Adaptive Security Appliance (ASA) para o módulo Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS). Exemplos de configuração com a Command Line Interface (CLI) são fornecidos.

Consulte ASA: Exemplo de Configuração para Envio de Tráfego de Rede do ASA para o CSC-SSM para enviar tráfego do Cisco ASA 5500 Series Adaptive Security Appliance (ASA) para o Content Security and Control Security Services Module (CSC-SSM).

Nota: O tráfego de rede que atravessa o ASA inclui os usuários internos que acessam a Internet ou usuários da Internet que acessam os recursos protegidos pelo ASA em uma zona desmilitarizada (DMZ) ou dentro da rede. O tráfego de rede enviado para e pelo ASA não é enviado para inspeção no módulo IPS. Um exemplo de tráfego não enviado para o módulo IPS inclui pings (ICMP) nas interfaces do ASA ou Telnets para ele.

Nota: A Estrutura de Política Modular usada pelo ASA para classificar o tráfego para inspeção não oferece suporte ao IPv6. Assim, não é possível desviar o tráfego IPv6 para o AIP SSM pelo ASA.

Pré-requisitos

Requisitos

Este documento pressupõe que o público-alvo possui conhecimentos básicos de como configurar o Cisco ASA Software versão 7.x e o IPS Software versão 5.x.

  • Os componentes que necessitam de configuração para o ASA 7.x incluem interfaces, listas de acesso, Network Address Translation (NAT) e roteamento.

  • Os componentes que necessitam de configuração para o AIP-SSM (IPS Software 5.x) incluem rede, hosts permitidos, configuração de interfaces, definições de assinatura e regras de ação de eventos.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • ASA 5510 com software versão 7.2.1

  • AIP-SSM-10 com IPS Software versão 5.1.1

Nota: Este exemplo de configuração é compatível com qualquer Cisco ASA 5500 Series Firewall com OS 7.x e AIP-SSM Module com IPS 5.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

traffic-asa-aip-ssm-1.gif

Configurações Iniciais

Este documento usa estas configurações: Tanto o ASA quanto o AIP-SSM começam com uma configuração padrão, mas alterações específicas são feitas para fins de teste. As adições são descritas na configuração.

ASA 5510

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa
enable password WwXYvtKrnjXqGbu1 encrypted
names
!

!--- O endereçamento IP é adicionado à configuração padrão.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.254 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.254 255.255.255.0
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 192.168.1.254 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 0
 ip address 172.22.1.160 255.255.255.0
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- As listas de acesso são adicionadas para permitir
!--- tráfego de teste (ICMP e Telnet).

access-list acl_outside_in extended permit icmp any host 172.16.1.50
access-list acl_inside_in extended permit ip 10.2.2.0 255.255.255.0 any
access-list acl_dmz_in extended permit icmp 192.168.1.0 255.255.255.0 any
pager lines 24

!--- O log está habilitado.

logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400

!--- Regras de conversão são adicionadas.

global (outside) 1 172.16.1.100
global (dmz) 1 192.168.1.100
nat (inside) 1 10.2.2.0 255.255.255.0
static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255
static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255

!--- Listas de acesso são aplicadas às interfaces.

access-group acl_outside_in in interface outside
access-group acl_inside_in in interface inside
access-group acl_dmz_in in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy

!--- A configuração padrão inicial inclui
!--- o mapa de políticas global_policy.

 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global

!--- A configuração padrão inicial inclui
!--- a política de serviços global_policy aplicada globalmente.

prompt hostname context
.
: end

AIP SSM (IPS)

onionlabaip#show configuration
! ------------------------------
! Version 5.1(1)
! Current configuration last modified Wed Aug 23 09:26:03 2006
! ------------------------------
service interface
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0
physical-interface GigabitEthernet0/1
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0

!--- As variáveis são definidas.

variables DMZ address 192.168.1.0-192.168.1.255
variables IN address 10.2.2.0-10.2.2.255
exit
! ------------------------------
service host
network-settings

!--- O endereço IP de gerenciamento é definido.

host-ip 172.22.1.169/24,172.22.1.1
host-name onionlabaip
telnet-option disabled
access-list x.x.0.0/16

!--- O endereço IP da lista de acesso é removido da configuração
!--- porque os endereços IP específicos não são relevantes para este documento.

exit
time-zone-settings
offset -360
standard-time-zone-name GMT-06:00
exit
summertime-option recurring
offset 60
summertime-zone-name UTC
start-summertime
month april
week-of-month first
day-of-week sunday
time-of-day 02:00:00
exit
end-summertime
month october
week-of-month last
day-of-week sunday
time-of-day 02:00:00
exit
exit
exit
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0

!--- A assinatura é modificada em relação à configuração padrão para fins de teste.

signatures 2000 0
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit

!--- A assinatura é modificada em relação à configuração padrão para fins de teste.

signatures 2004 0
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit

!--- A assinatura personalizada é adicionada para fins de teste.

signatures 60000 0
alert-severity high
sig-fidelity-rating 75
sig-description
sig-name Telnet Command Authorization Failure
sig-string-info Command authorization failed
sig-comment signature triggers string command authorization failed
exit
engine atomic-ip
specify-l4-protocol yes
l4-protocol tcp
no tcp-flags
no tcp-mask
exit
specify-payload-inspection yes
regex-string Command authorization failed
exit
exit
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
enable-tls true
exit
onionlabaip#

Inspeção de Todo o Tráfego com o AIP-SSM

Os administradores de rede e os gerentes de nível superior da empresa freqüentemente determinam que todo o tráfego deve ser monitorado. Esta configuração atende aos requisitos de monitorar tudo. Além de monitorar tudo, duas decisões precisam ser tomadas em relação à interação entre o ASA e o AIP-SSM.

  • O módulo AIP-SSM funcionará ou será implementado no modo promíscuo ou inline?

    • O modo promíscuo significa que uma cópia dos dados é enviada para o AIP-SSM enquanto o ASA encaminha os dados originais para o destino. O modo promíscuo do AIP-SSM pode ser considerado como um sistema de detecção de invasão (IDS). Nesse modo, o pacote acionador (aquele que causa o alarme) ainda pode atingir seu destino. O isolamento pode entrar em ação e impedir que pacotes adicionais cheguem ao destino. No entanto, o pacote acionador não é interrompido.

    • O modo inline significa que o ASA encaminha os dados para inspeção no AIP-SSM. Se os dados passam pela inspeção do AIP-SSM, eles são devolvidos ao ASA para que o processamento continue e eles sejam enviados para o destino. O modo inline do AIP-SSM pode ser considerado como um sistema de prevenção de invasão (IPS). Ao contrário do modo promíscuo, o modo inline (IPS) pode de fato impedir que o pacote acionador chegue ao destino.

  • No caso do ASA não conseguir se comunicar com o AIP-SSM, como ele deve lidar com o tráfego a ser inspecionado? Exemplos de casos em que o ASA não é capaz de se comunicar com o AIP-SSM incluem recarregamentos do AIP-SSM ou falhas do módulo que necessitam de substituição. Nesse caso, o ASA pode assumir uma postura de aberto ou fechado em caso de falha.

    • Aberto em caso de falha permite que o ASA continue a transmitir o tráfego a ser inspecionado para o destino quando o AIP-SSM não pode ser contactado.

    • Fechado em caso de falha bloqueia o tráfego a ser inspecionado quando o ASA não pode se comunicar com o AIP-SSM.

    Nota: O tráfego a ser inspecionado é definido com o uso de uma lista de acesso. Neste exemplo de saída, a lista de acesso permite todo o tráfego IP de qualquer origem para qualquer destino. Assim, o tráfego a ser inspecionado pode ser qualquer coisa que passa pelo ASA.

ciscoasa(config)#access-list traffic_for_ips permit ip any any
ciscoasa(config)#class-map ips_class_map
ciscoasa(config-cmap)#match access-list traffic_for_ips

!--- O comando match any pode ser usado em vez do
!--- comando match access-list [access-list name].
!--- Neste exemplo, access-list traffic_for_ips permite
!--- todo o tráfego. O comando match any também
!--- permite todo o tráfego.  Você pode usar qualquer configuração.
!--- A definição de uma lista de acesso pode facilitar o troubleshooting.

ciscoasa(config)#policy-map global_policy

!--- Observe que o mapa de políticas global_policy é uma parte da
!--- configuração padrão. Além disso, o mapa de políticas global_policy
!--- é aplicada globalmente com o comando service-policy.

ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 

!--- Duas decisões precisam ser feitas.
!--- Primeiro, o AIP-SSM funciona
!--- no modo inline ou promíscuo?
!--- Segundo, o ASA assume uma postura de aberto ou fechado em caso de falha?

Inspeção de Tráfego Específico com oAIP-SSM

Caso o administrador de rede deseje que o AIP-SSM monitore um sub-conjunto de todo o tráfego, o ASA possui duas variáveis independentes que podem ser modificadas. Primeiro, a lista de acesso pode ser preenchida para incluir ou excluir o tráfego necessário. Além da modificação de listas de acesso, uma opção service-policy pode ser aplicada a uma interface ou globalmente para alterar o tráfego inspecionado pelo AIP-SSM.

No que diz respeito ao diagrama de rede deste documento, o administrador de rede deseja que o AIP-SSM inspecione todo o tráfego entre a rede externa e a rede DMZ.

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any 
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface dmz

!--- A lista de acesso nega o tráfego da rede interna com destino à rede DMZ
!--- e o tráfego para a rede interna originado da DMZ.
!--- Além disso, o comando service-policy é aplicado à interface da DMZ.

Em seguida, o administrador de rede deseja que o AIP-SSM monitore o tráfego iniciado pela rede interna para a rede externa. O tráfego da rede interna para a DMZ não é monitorado.

Nota: Esta seção específica necessita de um conhecimento intermediário de comunicações statefulness, TCP, UDP, ICMP, com conexão e sem conexão.

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface inside

A lista de acesso nega o tráfego iniciado na rede interna com destino à rede DMZ. A segunda lista de acesso permite ou envia o tráfego iniciado na rede interna destinado à rede externa para o AIP-SSM. Nesse ponto, a statefulness do ASA entra em ação. Por exemplo, um usuário interno inicia uma conexão de TCP (Telnet) para um dispositivo na rede externa (roteador). O usuário se conecta com êxito ao roteador e faz login. Ele então executa um comando do roteador que não é autorizado. O roteador responde com Command authorizaton failed. O pacote de dados que contém a string Command authorization failed tem como origem o roteador externo e o usuário interno como o destino. A origem (externa) e o destino (interno) não correspondem às listas de acesso definidas anteriormente neste documento. O ASA faz o acompanhamento das conexões stateful. Por isso, o pacote de dados que retorna (exterior para interior) é enviado para inspeção no AIP-SSM. A assinatura personalizada 60000 0, a qual foi configurada no AIP-SSM, aciona o alarme.

Nota: Por padrão, o ASA não acompanha os estados do tráfego ICMP. No exemplo de configuração anterior, o usuário interno envia pings (solicitação de echo ICMP) para o roteador externo. O roteador devolve uma resposta de echo ICMP. O AIP-SSM inspeciona o pacote de solicitação de echo, mas não o de resposta. Se a inspeção de ICMP estiver habilitada no ASA, tanto os pacotes solicitação de echo quanto os de resposta serão inspecionados pelo AIP-SSM.

Verificação

Verifique se os eventos de alerta são registrados no AIP-SSM.

Faça login no AIP-SSM com a conta de usuário administrador. O comando show events alert gera esta saída.

Nota: A saída varia com base nas configurações de assinatura, no tipo de tráfego enviado para o AIP-SSM e na carga da rede.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

show events alert

evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco
  originator:
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC
  signature: description=Telnet Command Authorization Failure id=60000 version=custom
    subsigId: 0
    sigDetails: Command authorization failed
  interfaceGroup:
  vlan: 0
  participants:
    attacker:
      addr: locality=OUT 172.16.1.200
      port: 23
    target:
      addr: locality=IN 10.2.2.200
      port: 33189
  riskRatingValue: 75
  interface: ge0_1
  protocol: tcp


evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco
  originator:
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Request id=2004 version=S1
    subsigId: 0
  interfaceGroup:
  vlan: 0
  participants:
    attacker:
      addr: locality=OUT 172.16.1.200
    target:
      addr: locality=DMZ 192.168.1.50
  triggerPacket:
000000  00 16 C7 9F 74 8C 00 15  2B 95 F9 5E 08 00 45 00  ....t...+..^..E.
000010  00 3C 2A 57 00 00 FF 01  21 B7 AC 10 01 C8 C0 A8  .<*W....!.......
000020  01 32 08 00 F5 DA 11 24  00 00 00 01 02 03 04 05  .2.....$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp


evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco
  originator:
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Reply id=2000 version=S1
    subsigId: 0
  interfaceGroup:
  vlan: 0
  participants:
    attacker:
      addr: locality=DMZ 192.168.1.50
    target:
      addr: locality=OUT 172.16.1.200
  triggerPacket:
000000  00 16 C7 9F 74 8E 00 03  E3 02 6A 21 08 00 45 00  ....t.....j!..E.
000010  00 3C 2A 57 00 00 FF 01  36 4F AC 10 01 32 AC 10  .<*W....6O...2..
000020  01 C8 00 00 FD DA 11 24  00 00 00 01 02 03 04 05  .......$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp

Nas configurações de exemplo, várias assinaturas de IPS são ajustadas para gerar alarmes no tráfego de teste. As assinaturas 2000 e 2004 são modificadas. A assinatura personalizada 60000 é adicionada. Em um ambiente de laboratório ou em uma rede em que poucos dados passam pelo ASA, talvez seja necessário modificar assinaturas para acionar eventos. Se o ASA e o AIP-SSM forem implementados em um ambiente que transmite uma grande quantidade de tráfego, as configurações de assinatura padrão provavelmente gerarão um evento.

Troubleshooting

Esta seção fornece informações que podem ser usadas no troubleshooting da sua configuração.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Execute os seguintes comandos show no ASA:

  • show module — Mostra informações sobre o SSM no ASA e também informações do sistema.

    ciscoasa#show module
    
    Mod Card Type                                    Model              Serial No.
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX1016K0RN
      1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB101502A6
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
    --- --------------------------------- ------------ ------------ ---------------
      0 0016.c79f.748c to 0016.c79f.7490  1.1          1.0(10)0     7.2(1)
      1 0016.c79f.7567 to 0016.c79f.7567  1.0          1.0(10)0     5.1(1)S205.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 IPS                            Up               5.1(1)S205.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable
      1 Up                 Up
    
    !--- Cada uma das áreas realçadas indica que
    !--- o ASA reconhece que o status do AIP-SSM e do AIP-SSM está ativo.
    
    
  • show run

    ciscoasa#show run
    
    !--- Saída suprimida.
    
    access-list traffic_for_ips extended permit ip any any
    ...
    class-map ips_class_map
     match access-list traffic_for_ips
    ...
    policy-map global_policy
    ...
    class ips_class_map
      ips inline fail-open
    ...
    service-policy global_policy global
    
    !--- Cada uma destas linhas é necessária
    !--- para enviar dados para o AIP-SSM.
    
    
  • show access-list — Mostra os contadores para uma lista de acesso.

    ciscoasa#show access-list traffic_for_ips
    access-list traffic_for_ips; 1 elements
    access-list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286
    
    !--- Confirma que a lista de acesso exibe um contador de acertos maior do que zero.
    
    

Antes de você instalar e usar o AIP-SSM, o tráfego de rede passa através do ASA conforme o esperado? Caso contrário, poderá ser necessário fazer o troubleshooting da rede e das regras das políticas de acesso ao ASA.

Problemas com o Failover

  • Se você possui dois ASAs em uma configuração de failover e cada um possuir um AIP-SSM, você deverá replicar manualmente a configuração dos AIP-SSMs. Somente a configuração do ASA é replicada pelo mecanismo de failover. O AIP-SSM não é incluído no failover.

  • O AIP-SSM não participará do stateful failover se o stateful failover estiver configurado no par de ASAs de failover.

Mensagens de Erro

O módulo IPS (AIP-SSM) produz mensagens de erro conforme mostrado, e não eventos de acionamento.

07Aug2007 18:59:50.468 0.757 interface[367] Cid/W errWarning Inline
data bypass has started.

  07Aug2007 18:59:59.619 9.151 mainApp[418] cplane/E Error during socket
read

  07Aug2007 19:03:13.219 193.600 nac[373] Cid/W errWarning New host ip
[192.168.101.76]

  07Aug2007 19:06:13.979 180.760 sensorApp[417] Cid/W errWarning
unspecifiedWarning:There are no interfaces assigned to any virtual
sensors. This can result in some packets not being monitored.

  07Aug2007 19:08:42.713 148.734 mainApp[394] cplane/E Error - accept()
call returned -1

  07Aug2007 19:08:42.740 0.027 interface[367] Cid/W errWarning Inline
data bypass has started.

A causa dessa mensagem de erro é que o sensor virtual do IPS não foi atribuído à interface traseira do ASA. O ASA está configurado da forma correta para enviar tráfego para o módulo SSM, mas você deve atribuir o sensor virtual à interface traseira criada pelo ASA para que o SSM possa examinar o tráfego.

errorMessage: IpLogProcessor::addIpLog: Ran out of file descriptors  name=errWarn

errorMessage: IpLog 1701858066 terminated early due to lack of file handles.
name=ErrLimitExceeded  

Essas mensagens são indicativas do IP LOGGING estar habilitado, o qual, por sua vez, se apropriou de todos os recursos do sistema. A Cisco recomenda desabilitar o IP LOGGING já que ele só deve ser usado para fins de troubleshooting/investigação.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 71204