Sécurité : Système de protection contre les intrusions Cisco

Comprenez comment la caractéristique automatique de mise à jour de signature de Cisco IPS fonctionne

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (17 août 2012) | Commentaires


Contenu


Introduction

Ce document fournit un aperçu de la caractéristique automatique de mise à jour du Système de protection contre les intrusions Cisco (IPS) et de son exécution.

La caractéristique automatique de mise à jour IPS a été introduite dans la version 6.1 IPS et fournit à des administrateurs une méthode facile de mettre à jour des signatures IPS sur un intervalle régulièrement programmé.

Remarque: Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Les informations dans ce document sont basées sur la version 6.1 et ultérieures IPS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Spécifications du réseau

  1. L'interface de commandement et de contrôle de l'IPS exige l'accès direct à l'Internet utilisant HTTPS (TCP 443) et HTTP (TCP 80).

  2. Le Traduction d'adresses de réseau (NAT) et le Listes de contrôle d'accès (ACL) sur des périphériques de périphérie tels que des Routeurs et des Pare-feu doivent être configurés afin de permettre la Connectivité IPS à l'Internet.

  3. Excluez l'adresse IP d'interface de commandement et de contrôle de tous les filtres de contenu et modélisateurs du trafic réseau.

  4. Les serveurs proxys automatiques de prises en charge de fonctionnalité de mise à jour dans 7.2(1) la release certifiée par FIPS/CC. Toutes autres versions logicielles 6.x et 7.x ne prennent en charge pas la mise à jour automatique par un serveur proxy à ce moment. 7.2(1) La release inclut un certain nombre de modifications aux configurations par défaut de SSH et HTTPS. Référez-vous aux notes de mise à jour pour le Système de protection contre les intrusions Cisco 7.2(1)E4 avant que vous amélioriez à 7.2(1).

Processus automatique de mise à jour de signature

C'est le processus :

ips-automatic-signature-update-01.gif

  1. L'IPS authentifie au serveur automatique de mise à jour chez 72.163.4.161 utilisant HTTPS (TCP 443).

  2. L'IPS envoie un client manifeste au serveur automatique de mise à jour, qui inclut l'ID de plate-forme et un secret partagé chiffré que le serveur l'utilise pour vérifier l'authenticité du capteur de Cisco IPS.

  3. Une fois qu'authentifié, le serveur de mise à jour répond avec un serveur manifeste qui contient une liste d'options de fichier téléchargé associées avec l'ID de plate-forme. Les données contenues ici incluent relatif à l'information pour mettre à jour la version, le site de téléchargement, et les protocoles de transfert de fichiers pris en charge. Basé sur ces données, la logique automatique de mise à jour IPS détermine si les options l'unes des de téléchargement sont valides et puis sélectionne le meilleur module de mise à jour pour le téléchargement. En vue du téléchargement, le serveur fournit à l'IPS un ensemble de clés à utiliser pour déchiffrer le fichier de mise à jour.

  4. L'IPS établit une nouvelle connexion au serveur de téléchargement identifié dans le serveur manifeste. L'adresse IP du serveur de téléchargement varie, qui dépend de l'emplacement. L'IPS utilise le protocole de transfert de fichiers défini dans l'URL de données de téléchargement de fichier appris dans le serveur manifeste (actuellement HTTP d'utilisations (TCP 80)).

  5. L'IPS emploie les clés précédemment téléchargées pour déchiffrer le module de mise à jour et puis applique les fichiers de signatures au capteur.

Configuration

La caractéristique automatique de mise à jour peut être configurée du gestionnaire de périphériques IPS (IDM) ou du Manager Express IPS (IME). Procédez comme suit :

  1. D'IDM/IME, choisissez la mise à jour de configuration > de Gestion > d'automatique de capteur/Cisco.com.

    ips-automatic-signature-update-02.gif

  2. Choisissez les mises à jour de signature et d'engine d'enable de la case de Cisco.com sur le volet droit, et cliquez sur en fonction le titre bleu de configurations de serveur de Cisco.com afin de relâcher vers le bas le volet de configuration.

  3. Écrivez le nom d'utilisateur et mot de passe CCO.

    Remarque: Ne changez pas l'URL de Cisco.com. Il ne devrait pas devoir être changé de sa valeur par défaut.

    L'URL devrait ressembler à ceci :

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    Remarque: N'éditez pas l'URL. //est intentionnel et pas une erreur typographique. Assurez que l'adresse IP est identique comme ci-dessus.

    ips-automatic-signature-update-03.gif

  4. Configurez une heure de début et une fréquence afin de programmer la mise à jour de signature. Dans cet exemple, l'heure est placée à 23:15:00. La fréquence peut être configurée pour la prendre en charge d'heure en heure ou des tentatives quotidiennes de mise à jour. Cliquez sur Apply afin d'appliquer des modifications de configuration.

    Remarque: Il est recommandé pour le placer à une période aléatoire qui n'est pas sur le dessus de l'heure, par exemple, de 8:00, de 13:00 et de 15:00.

    ips-automatic-signature-update-04.gif

  5. Afin de vérifier que la mise à jour automatique terminée avec succès, sélectionnent la commande d'hôte de statistiques d'exposition de l'IPS CLI comme vu dans cet exemple :

    IPS# show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

Mises en garde

Quelques mises à jour de signature exigent des tables d'expression régulière d'être recompilées et pendant ce temps l'IPS peut entrer dans le mode bypass de logiciel. Pour les capteurs intégrés avec le mode bypass réglé à l'automatique, l'engine d'analyse est sautée, qui permet au trafic pour traverser les interfaces intégrées et les paires intégrées VLAN sans inspection. Si le mode bypass est arrêté, le capteur intégré cesse le dépassement du trafic tandis que la mise à jour est appliquée.

Dépannez

Après configuration correcte de mise à jour automatique de signature, terminez-vous ces étapes afin d'isoler et corriger les questions généralement produites :

  1. Pour tous les appliances IPS et modules excepté AIM et l'IDSM, assurez-vous que l'interface de commandement et de contrôle est connectée au réseau local, assigné un adresse IP/masque de sous-réseau valide/passerelle, et a l'accessibilité par IP à l'Internet. Pour les modules d'AIM et IDSM, la commande et l'interface de contrôle virtuelles ser de définies dans la configuration. Afin de confirmer le statut opérationnel de l'interface du CLI, sélectionnez cette commande show :

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. Afin de valider si le compte d'utilisateur CCO a des privilèges nécessaires de télécharger des modules de mise à jour de signature, ouvrez un navigateur Web et une procédure de connexion à Cisco.com avec ce même compte CCO. Une fois qu'authentifié, téléchargez manuellement le dernier module de signature IPS. L'incapacité de télécharger manuellement le module est vraisemblablement due au manque d'association du compte utilisateur d'un abonnement valide de Services Cisco pour IPS. En outre, l'accès au logiciel de sécurité sur CCO est limité aux utilisateurs autorisés qui ont reçu l'accord annuel de cryptage/exportation. Le manque d'approuver cet accord a été connu d'empêcher des téléchargements de signature d'IDM/IME/CSM. Afin de vérifier si cet accord a été reçu, ouvrez un navigateur et une procédure de connexion à Cisco.com avec le même compte CCO. Une fois qu'authentifié, tentative de télécharger manuellement un progiciel de Cisco IOS® avec le featureset K9.

  3. Vérifiez s'il y a un proxy en place pour le trafic attaché d'Internet (toutes les versions excepté 7.2(1)). Si le trafic du port de commandement et de contrôle passe par ce proxy, la caractéristique automatique de mise à jour ne fonctionne pas. Modifiez le réseau de sorte que le trafic portuaire de commandement et de contrôle ne soit pas filtré à l'aide d'un proxy et testez de nouveau.

  4. Vérifiez s'il y a n'importe quel filtrage selon le contenu ou trafiquez en formant des applications ou des appliances le long du chemin à l'Internet. Si le présent, configurent une exclusion afin de permettre l'adresse IP de l'interface de commandement et de contrôle d'accéder à l'Internet sans restriction.

  5. Si on permet le trafic d'ICMP vers l'Internet, ouvrez le CLI du capteur et de l'essai IPS pour cingler une adresse IP publique. Ce test peut être utilisé pour vérifier si le routage et les règles NAT nécessaires (si utilisé) sont configurés correctement. Si le test d'ICMP réussit pourtant les mises à jour automatiques continuent à échouer, assurez-vous que les périphériques de réseau tels que des Routeurs et des Pare-feu le long du chemin permettent les sessions HTTPS et de HTTP de l'IP d'interface de commandement et de contrôle IPS. Par exemple, si l'adresse IP de commandement et de contrôle est 10.1.1.1, un rubrique de liste ACL simple sur un Pare-feu ASA peut ressembler à cet exemple :

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. Le nom d'utilisateur CCO ne devrait contenir aucun caractères particuliers, par exemple, @. Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCsq30139 (clients enregistrés seulement).

  7. Quand des pannes d'automatique-mise à jour de signature sont diagnostiquées, regardez codes d'erreur de HTTP.

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    Message Signification
    Erreur : Exception d'AutoUpdate : La connexion HTTP a manqué [1,110] Échec de l'authentification. Vérifiez le nom d'utilisateur et mot de passe.
    exception d'AutoUpdate de status=false : Recevez la réponse de HTTP a manqué [3,212] La demande au serveur automatique de mise à jour chronométré.
    Erreur : réponse d'erreur de HTTP : 400 Assurez-vous que la configuration Cisco-URL est transférée. Si l'ID CCO est plus grand que 32 caractères de longueur, essayez un ID CCO différent. Ceci peut être une limite sur le serveur de téléchargement de Cisco.
    Erreur : Exception d'AutoUpdate : La connexion HTTP a manqué [1,0] Le problème de réseau a empêché le téléchargement ou il y a un éventuel problème avec les serveurs de téléchargement.

Améliorations prochaines

Ce sont des améliorations :

  • ID de bogue Cisco CSCsv89560 (clients enregistrés seulement) — ENH - ID : Ajoutez le soutien de proxy de la caractéristique de mise à jour de l'automatique/Cisco.com.

  • ID de bogue Cisco CSCtg94422 (clients enregistrés seulement) — IPS : Ajoutez la commande dans le CLI de permettre AutoUpdate immédiat pour des signatures

  • L'ID de bogue Cisco CSCuf81644 (clients enregistrés seulement) — ajoutez la commande CLI de fournir plus de détails au sujet de la question d'Automatique-mise à jour

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113674