Segurança : Cisco IPS Sensor Software Version 7.1

Compreenda como a característica automática da atualização de assinatura do ips Cisco trabalha

18 Outubro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Feedback


Índice


Introdução

Este documento fornece uma vista geral da característica automática da atualização do Sistema de prevenção de intrusões da Cisco (IPS) e de sua operação.

A característica automática da atualização IPS foi introduzida na versão 6.1 IPS e fornece administradores uma maneira fácil atualizar assinaturas IPS em um intervalo regularmente programado.

Nota: Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

A informação neste documento é baseada na versão 6.1 e mais recente IPS.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Requisitos de Rede

  1. O comando e a interface de controle do IPS exigem de acesso direto ao Internet usando HTTPS (TCP 443) e HTTP (TCP 80).

  2. O Network Address Translation (NAT) e o Access Control Lists (ACLs) em dispositivos de ponta tais como o Roteadores e os Firewall precisam de ser configurados a fim permitir a Conectividade IPS ao Internet.

  3. Exclua o comando e o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de controle de todos os filtros do índice e shapers do tráfego de rede.

  4. Os servidores proxy automáticos dos suportes de recurso da atualização 7.2(1) na liberação certificada FIPS/CC. Todos software release 6.x e 7.x restantes não apoiam a atualização automática através de um servidor proxy neste tempo. 7.2(1) A liberação inclui um número de mudanças ao padrão SSH e aos ajustes HTTPS. Refira Release Note para o Sistema de prevenção de intrusões da Cisco 7.2(1)E4 antes que você promova a 7.2(1).

Processo de atualização do automóvel da assinatura

Este é o processo:

http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113674-ips-automatic-signature-update-01.gif

  1. O IPS autentica ao Auto Update Server em 72.163.4.161 usando HTTPS (TCP 443).

  2. O IPS envia um cliente manifesto ao Auto Update Server, que inclua a plataforma ID e um segredo compartilhado cifrado que o server se use para verificar a autenticidade do sensor do ips Cisco.

  3. Uma vez que autenticado, o server da atualização responde com um server manifesto que contenha uma lista de opções de arquivo da transferência associadas com a plataforma ID. Os dados contidos aqui incluem relativo à informação para atualizar a versão, a localização do download, e protocolos de transferência de arquivo apoiados. Baseado nestes dados, lógica da atualização IPS a auto determina se algumas das opções da transferência são válidas e selecionam então o melhor pacote da atualização para a transferência. À vista da transferência, o server fornece o IPS um grupo de chaves a ser usadas para decifrar o arquivo da atualização.

  4. O IPS estabelece uma nova conexão ao server da transferência identificado no server manifesto. O endereço IP do servidor da transferência varia, que é dependente do lugar. O IPS usa o protocolo de transferência de arquivo definido nos dados URL da transferência do arquivo aprendidos no server manifesto (atualmente usos HTTP (TCP 80)).

  5. O IPS usa as chaves previamente transferidas para decifrar o pacote da atualização e aplica então os arquivos de assinatura ao sensor.

Configuração

A característica automática da atualização pode ser configurada do gerenciador de dispositivo IPS (IDM) ou do gerente IPS expresso (IME). Conclua estes passos:

  1. De IDM/IME, escolha a configuração > o Gerenciamento do sensor > a atualização do automóvel/cisco.com.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113674-ips-automatic-signature-update-02.gif

  2. Escolha as atualizações da assinatura e do motor da possibilidade da caixa de verificação do cisco.com no painel direito, e clique sobre o título azul das configurações de servidor de Cisco.com a fim deixar cair para baixo a placa da configuração.

  3. Incorpore o nome de usuário e senha CCO.

    Nota: Não mude o cisco.com URL. Não deve precisar de ser mudado de sua configuração padrão.

    A URL deve olhar como esta:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    Nota: Não edite a URL. //é intencional e não um erro tipográfico. Assegure-se de que o endereço IP de Um ou Mais Servidores Cisco ICM NT seja o mesmo que acima.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113674-ips-automatic-signature-update-03.gif

  4. Configurar umas horas inicial e uma frequência a fim programar a atualização de assinatura. Neste exemplo, a hora é ajustada a 23:15:00. A frequência pode ser configurada para apoiar de hora em hora ou a atualização diária tenta. O clique aplica-se a fim aplicar alterações de configuração.

    Nota: Recomenda-se ajustá-la a um tempo aleatório que não esteja na parte superior da hora, por exemplo, de 8:00, de 13:00 e de 15:00.

    http://www.cisco.com/c/dam/en/us/support/docs/security/ips-sensor-software-version-71/113674-ips-automatic-signature-update-04.gif

  5. A fim verificar que a auto atualização terminada com sucesso, inscreve o comando host das estatísticas da mostra do IPS CLI como visto neste exemplo:

    IPS# show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

Caveats

Algumas atualizações de assinatura exigem as tabelas da expressão regular ser recompiled durante que a hora o IPS pode entrar no modo de desvio do software. Para sensores inline com o modo de desvio ajustado ao automóvel, o motor da análise é contorneado, que permite que o tráfego corra através das relações inline e dos pares inline VLAN sem inspeção. Se o modo de desvio é desligado, o sensor inline para de passar o tráfego quando a atualização for aplicada.

Troubleshooting

Após a configuração correta da auto atualização de assinatura, termine estas etapas a fim isolar e corrigir edições geralmente encontradas:

  1. Para todos os dispositivos e módulos IPS à exceção de AIM e do IDSM, assegure-se de que o comando e a interface de controle estejam conectados à rede local, atribuída um endereço IP válido/máscara de sub-rede/gateway, e tenham o IP reachability ao Internet. Para os módulos de AIM e IDSM, o comando virtual e a interface de controle são utilizados como definido na configuração. A fim confirmar o status operacional da relação do CLI, inscreva este comando show:

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. A fim validar se a conta de usuário de CCO tem privilégios necessários transferir pacotes da atualização de assinatura, abra um navegador da Web e um início de uma sessão ao cisco.com com esta mesma conta CCO. Uma vez que autenticado, transfira manualmente o pacote o mais atrasado da assinatura IPS. A incapacidade transferir manualmente o pacote é provavelmente devido a à falta da associação da conta de usuário a uma assinatura válida dos Serviços Cisco para IPS. Além, o acesso ao software de segurança no CCO é restringido aos usuários autorizados que aceitaram o acordo anual da criptografia/exportação. A falha aprovar este acordo foi sabida impedir transferências da assinatura de IDM/IME/CSM. A fim verificar se este acordo esteve aceitado, abra um navegador e um início de uma sessão ao cisco.com com a mesma conta CCO. Uma vez que autenticado, tente transferir manualmente um pacote de softwares do ® do Cisco IOS com o featureset K9.

  3. Verifique se há um proxy no lugar para o tráfego encadernado do Internet (todas as versões exceto 7.2(1)). Se o tráfego do comando e da porta de controle atravessa este proxy, a auto característica da atualização não trabalha. Reconfigure a rede de modo que o comando e o tráfego da porta de controle não sejam filtrados com um proxy e teste-a outra vez.

  4. Verifique se há algum filtragem de conteúdo ou aplicativo ou dispositivo do modelagem de tráfego ao longo do trajeto ao Internet. Se o presente, configura uma exclusão a fim permitir o endereço IP de Um ou Mais Servidores Cisco ICM NT do comando e da interface de controle alcançar o Internet sem limitação.

  5. Se o tráfego ICMP é permitido para o Internet, abra o CLI do sensor IPS e tente-o sibilar um endereço IP público. Este teste pode ser usado para verificar se o roteamento necessário e as regras NAT (se usado) são configurados corretamente. Se o teste ICMP sucede contudo as auto atualizações continuam a falhar, assegure-se de que os dispositivos de rede tais como o Roteadores e os Firewall ao longo do trajeto permitam o HTTPS e as sessões de HTTP do IP do comando e da interface de controle IPS. Por exemplo, se o endereço IP de Um ou Mais Servidores Cisco ICM NT do comando e do controle é 10.1.1.1, uma entrada ACL simples em um Firewall ASA pode olhar como este exemplo:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. O username CCO não deve conter nenhuns caracteres especiais, por exemplo, @. Refira a identificação de bug Cisco CSCsq30139 (clientes registrados somente) para mais informação.

  7. Quando as falhas da atualização automática da assinatura são diagnosticadas, olhe os códigos de erro de HTTP.

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    Mensagem Significado
    Erro: Exceção de AutoUpdate: [1,110] falhado conexão de HTTP Autenticação falhada. Verifique o nome de usuário e senha.
    exceção de AutoUpdate do status=false: Receba [3,212] falhado resposta HTTP O pedido ao Auto Update Server cronometrado para fora.
    Erro: resposta de erro de HTTP: 400 Certifique-se que o ajuste Cisco-URL está optado. Se o ID de CCO é maior de 32 caráteres de comprimento, tente um ID de CCO diferente. Esta pode ser uma limitação no server da transferência de Cisco.
    Erro: Exceção de AutoUpdate: [1,0] falhado conexão de HTTP A transferência impedida questão de rede ou lá é um problema potencial com os server da transferência.

Próximos realces

Estes são realces:

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas