Seguridad : Sistema de prevención de intrusiones (IPS) de Cisco

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (17 Agosto 2012) | Comentarios


Contenido


Introducción

Este documento proporciona una descripción de la característica automática de la actualización del (IPS) del Cisco Intrusion Prevention System y de su operación.

La característica automática de la actualización IPS fue introducida en la versión 6.1 IPS y proporciona a los administradores con una forma sencilla de poner al día las firmas IPS en un intervalo regularmente programado.

Nota: Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información en este documento se basa en la versión 6.1 y posterior IPS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Requisitos de la red

  1. El comando y la interfaz de control del IPS requiere el acceso directo a Internet usando HTTPS (TCP 443) y HTTP (TCP 80).

  2. El Network Address Translation (NAT) y el Listas de control de acceso (ACL) en los dispositivos de borde tales como Routers y Firewall necesitan ser configurados para permitir la Conectividad IPS a Internet.

  3. Excluya el comando y la dirección IP de la interfaz de control de todos los filtros del contenido y talladoras del tráfico de la red.

  4. Los servidores proxy automáticos de los soportes de característica de la actualización en 7.2(1) la versión certificada FIPS/CC. El resto de las versiones de software 6.x y 7.x no soportan la actualización automática a través de un servidor proxy ahora. 7.2(1) La versión incluye varios cambios a las configuraciones predeterminadas de SSH y HTTPS. Refiera a los Release Note para el Cisco Intrusion Prevention System 7.2(1)E4 antes de que usted actualice a 7.2(1).

Proceso actualización del auto de la firma

Éste es el proceso:

ips-automatic-signature-update-01.gif

  1. El IPS autentica al Auto Update Server en 72.163.4.161 usando HTTPS (TCP 443).

  2. El IPS envía a un cliente evidente al Auto Update Server, que incluye la plataforma ID y un secreto compartido cifrado que el servidor utilice para verificar la autenticidad del sensor del IPS de Cisco.

  3. Una vez que está autenticado, el servidor de actualización responde con un servidor evidente que contenga una lista de opción de archivos de la descarga asociada a la plataforma ID. Los datos contenidos aquí incluyen relacionado con la información para poner al día la versión, la ubicación de la descarga, y los protocolos soportados de la transferencia de archivos. De acuerdo con estos datos, la lógica auto de la actualización IPS determina si las opciones unas de los de la descarga son válidas y después selecciona el mejor paquete de la actualización para la descarga. Con objeto de la descarga, el servidor proporciona el IPS con un conjunto de las claves que se utilizarán para desencriptar el archivo de la actualización.

  4. El IPS establece una nueva conexión al servidor de la descarga identificado en el servidor evidente. El dirección IP del servidor de la descarga varía, que es dependiente en la ubicación. El IPS utiliza el File Transfer Protocol definido en los datos URL de la descarga del archivo aprendidos en el servidor evidente (actualmente las aplicaciones HTTP (TCP 80)).

  5. El IPS utiliza las claves previamente descargadas para desencriptar el paquete de actualización y después aplica los archivos de firma al sensor.

Configuración

La característica automática de la actualización se puede configurar del administrador de dispositivo IPS (IDM) o del administrador IPS expreso (IME). Complete estos pasos:

  1. De IDM/IME, elija la configuración > la Administración del sensor > la actualización del auto/del cisco.com.

    ips-automatic-signature-update-02.gif

  2. Elija las actualizaciones de la firma y del motor del habilitar de la casilla de verificación del cisco.com en el panel derecho, y haga clic en el título azul de los servidores establezca de Cisco.com para caer abajo el cristal de la configuración.

  3. Ingrese el nombre de usuario y contraseña CCO.

    Nota: No cambie el cisco.com URL. No debe necesitar ser cambiado de su configuración predeterminada.

    El URL debe parecer esto:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    Nota: No edite el URL. //es intencional y no un error tipográfico. Asegúrese que la dirección IP sea lo mismo que arriba.

    ips-automatic-signature-update-03.gif

  4. Configure una hora de inicio y una frecuencia para programar la actualización de firma. En este ejemplo, la hora se fija a 23:15:00. La frecuencia se puede configurar para soportar cada hora o la actualización diaria intenta. El tecleo se aplica para aplicar los cambios de configuración.

    Nota: Se recomienda para fijarla a un tiempo aleatorio que no esté en el top de la hora, por ejemplo, 8:00, 13:00 y 15:00.

    ips-automatic-signature-update-04.gif

  5. Para verificar que la actualización auto completada con éxito, ingrese el comando host de las estadísticas de la demostración del IPS CLI como se ve en este ejemplo:

    IPS# show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

Advertencias

Algunas actualizaciones de firma requieren las tablas de la expresión normal recompiled mientras tanto el IPS puede entrar el modo de desvío del software. Para los sensores en línea con el modo de desvío fijado al auto, se desvía el motor del análisis, que permite que el tráfico atraviese las interfaces en línea y los pares en línea del VLA N sin el examen. Si apagan al modo de desvío, el sensor en línea para el pasar del tráfico mientras que la actualización es aplicada.

Troubleshooting

Después de la configuración correcta de la actualización de firma auto, complete estos pasos para aislar y corregir los problemas comúnmente encontrados:

  1. Para todos los dispositivos y los módulos IPS a excepción de AIM y del IDSM, asegúrese de que el comando y la interfaz de control esté conectado con la red local, asignada un IP Address válido/una máscara de subred/un gateway, y tenga alcance IP a Internet. Para los módulos de AIM y IDSM, utilizan al comando virtual y la interfaz de control según lo definido en la configuración. Para confirmar el estado operacional de la interfaz del CLI, ingrese este comando show:

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. Para validar si la cuenta de usuario CCO tiene privilegios necesarios de descargar los paquetes de la actualización de firma, abra a un buscador Web y inicie sesión al cisco.com con esta misma cuenta CCO. Una vez que está autenticado, descargue manualmente el último paquete de la firma IPS. La incapacidad para descargar manualmente el paquete es probablemente a causa a la falta de asociación de la cuenta de usuario a una suscripción válida de los Servicios de Cisco para IPS. Además, el acceso al software de la Seguridad en el CCO se restringe a los usuarios autorizados que han validado el acuerdo anual del cifrado/de la exportación. Han conocido al error aprobar este acuerdo prevenir las descargas de la firma de IDM/IME/CSM. Para verificar si se haya validado este acuerdo, abra a un navegador y inicie sesión al cisco.com con la misma cuenta CCO. Una vez que está autenticado, intente descargar manualmente un paquete de software del ® del Cisco IOS con el featureset del k9.

  3. Marque si hay un proxy en el lugar para el tráfico encuadernado de Internet (todas las versiones excepto 7.2(1)). Si el tráfico del comando y del puerto de control pasa con este proxy, la característica auto de la actualización no trabaja. Configure de nuevo la red para no filtrar el comando y el tráfico del puerto de control con un proxy y pruebe otra vez.

  4. Marque si hay algún filtrado de contenido o aplicaciones o dispositivos del modelado de tráfico a lo largo de la trayectoria a Internet. Si el presente, configura una exclusión para permitir la dirección IP del comando y de la interfaz de control de acceder Internet sin la restricción.

  5. Si el tráfico ICMP se permite hacia Internet, abra el CLI del sensor IPS e intente hacer ping a un IP Address público. Esta prueba se puede utilizar para verificar si la encaminamiento necesaria y las reglas NAT (si está utilizado) se configuran correctamente. Si la prueba ICMP tiene éxito con todo las actualizaciones autos continúan fallando, asegúrese de que los dispositivos de red tales como Routers y Firewall a lo largo de la trayectoria permitan el HTTPS y a las sesiones HTTP del IP del comando y de la interfaz de control IPS. Por ejemplo, si la dirección IP del comando y del control es 10.1.1.1, una entrada ACL simple en un Firewall ASA puede parecer este ejemplo:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. El nombre de usuario CCO no debe contener ninguna caracteres especiales, por ejemplo, @. Refiera al Id. de bug Cisco CSCsq30139 (clientes registrados solamente) para más información.

  7. Cuando diagnostican a los errores del automóvil Update Button de la firma, mire los códigos de error de HTTP.

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    Mensaje Significado
    Error: Excepción del AutoUpdate: [1,110] fallado conexión HTTP Autenticación fallada. Marque el nombre de usuario y contraseña.
    excepción del AutoUpdate del status=false: Reciba [3,212] fallado HTTP de respuesta La petición al Auto Update Server medido el tiempo hacia fuera.
    Error: respuesta de error HTTP: 400 Aseegure la configuración Cisco-URL se omite. Si el ID DE CCO es mayor de 32 caracteres de largo, intente un diverso ID DE CCO. Esto puede ser una limitación en el servidor de la descarga de Cisco.
    Error: Excepción del AutoUpdate: [1,0] fallado conexión HTTP La descarga prevenida problema de red o allí es un problema potencial con los servidores de la descarga.

Mejoras próximas

Éstas son mejoras:

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113674