Безопасность : Система предотвращения вторжений Cisco (IPS)

Поймите, как работает Cisco IPS автоматическая функция обновления подписи

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (17 августа 2012) | Отзыв


Содержание


Введение

Этот документ предоставляет обзор Cisco Intrusion Prevention System (IPS) функция Автоматического обновления и ее операция.

Функция Автоматического обновления IPS была представлена в версии 6.1 IPS и предоставляет администраторов простым способом для обновления подписей IPS на регулярно запланированном интервале.

Примечание. Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Обновления подписи требуют допустимых сервисов Cisco для подписки IPS и лицензионного ключа. Перейдите к http://www.cisco.com/go/license и нажмите IPS Signature Subscription Service, чтобы просить лицензионный ключ.

  • Cisco.com (CCO) учетная запись пользователя, которая привязана к активные сервисы Cisco для подписки IPS.

  • Привилегии загрузить криптографическое программное обеспечение. Перейдите к http://tools.cisco.com/legal/k9/controller/do/k9Check. x : eind=Y, чтобы проверить, есть ли у вас доступ.

Используемые компоненты

Сведения в этом документе основываются на версии 6.1 IPS и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Требование к сети

  1. Интерфейс командования и управления IPS требует прямого доступа к Интернету использование HTTPS (TCP 443) и HTTP (TCP 80).

  2. Преобразование сетевых адресов (NAT) и Списки управления доступом (ACL) (ACL) на периферийных устройствах, таких как маршрутизаторы и межсетевые экраны должны быть настроены, чтобы разрешить подключение IPS к Интернету.

  3. Исключите IP-адрес интерфейса командования и управления из всех фильтров контента и формирователей сетевого трафика.

  4. Прокси-серверы поддержек характеристик Автоматического обновления в 7.2 (1) FIPS/CC сертифицировали выпуск. Все другой 6.x и 7.x выпуски ПО не поддерживают Автоматическое обновление через прокси-сервер в это время. 7.2 (1) выпуск включает много замен в SSH по умолчанию и параметры настройки HTTPS. Сошлитесь на Комментарии к выпуску для Cisco Intrusion Prevention System 7.2 (1) E4 перед обновлением к 7.2 (1).

Процесс автоматического обновления подписи

Это - процесс:

ips-automatic-signature-update-01.gif

  1. IPS подтверждает подлинность к Auto Update Server в 72.163.4.161 используя HTTPS (TCP 443).

  2. IPS передает клиентскую декларацию Auto Update Server, который включает ID платформы и зашифрованный общий секретный ключ что использование сервера для подтверждения подлинности датчика Cisco IPS.

  3. После того, как заверенный, сервер обновления отвечает декларацией сервера, которая содержит список опций файла загрузок, привязанных к ID платформы. Данные, содержавшие здесь, включают информацию, отнесенную для обновления версии, расположения загрузки, и поддерживаемых протоколов передачи файлов. На основе этих данных логика автоматического обновления IPS определяет если любой опций загрузок, допустимы, и затем выбирает лучший пакет обновления для загрузок. В подготовке к загрузкам сервер предоставляет IPS рядом ключей, которые будут использоваться для дешифрования файла обновления.

  4. IPS устанавливает новое соединение к серверу загрузок, определенному в декларации сервера. Адрес IP - сервера загрузок варьируется, который зависит от местоположения. IPS использует протокол передачи файлов, определенный в URL данных загрузок файла, изученном в декларации сервера (в настоящее время HTTP использования (TCP 80)).

  5. IPS использует ранее загруженные ключи для дешифрования пакета обновления и затем применяет Файлы цифровой подписи к датчику.

Конфигурация

Функция Автоматического обновления может быть настроена от Менеджера устройств IPS (IDM) или Менеджера IPS Express (IME). Выполните следующие действия:

  1. От IDM/IME выберите Configuration> Sensor Management> Auto / Auto/Cisco.com Update.

    ips-automatic-signature-update-02.gif

  2. Выберите Enable Signature, и Обновления Механизма от флажка Cisco.com справа разделяют на области, и щелкают по синему названию Настроек сервера Cisco.com чтобы к выпадающему область конфигурации.

  3. Введите имя пользователя и пароль CCO.

    Примечание. Не изменяйте URL Cisco.com. Это не должно должно быть быть изменено от его настройки по умолчанию.

    URL должен быть похожим на это:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    Примечание. Не редактируйте URL.//является намеренным и не опечатка. Гарантируйте, что IP-адрес совпадает с выше.

    ips-automatic-signature-update-03.gif

  4. Настройте время начала и частоту, чтобы планировать обновление подписи. В данном примере время установлено в 23:15:00. Частота может быть настроена для поддержки почасовых или ежедневных попыток обновления. Нажмите Применяются, чтобы применить изменения конфигурации.

    Примечание. Рекомендуется установить его в произвольный момент времени, который не находится на вершине часа, например, 8:00, 13:00 и 15:00.

    ips-automatic-signature-update-04.gif

  5. Чтобы проверить, что Автоматическое обновление, завершенное успешно, введите команду host статистики показа от CLI IPS как замечено в данном примере:

    IPS# show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

Предупреждения

Некоторые обновления подписи требуют, чтобы таблицы регулярного выражения были перекомпилированы, во время которого времени IPS может войти в транзитный режим программного обеспечения. Для встроенных датчиков с набором транзитного режима к Автоматическому обходится Аналитический Механизм, который позволяет трафику течь через встроенные интерфейсы и встроенных пар VLAN без контроля. Если транзитный режим выключен, встроенный датчик останавливает мимолетный трафик, в то время как применено обновление.

Устранение неполадок

После корректной конфигурации Автоматического Обновления подписи выполните эти шаги, чтобы изолировать и исправить проблемы, с которыми обычно встречаются:

  1. Для всех устройств IPS и модулей за исключением AIM и IDSM, гарантируйте, что интерфейс командования и управления связан с локальной сетью, назначил действительный IP - адрес / маска/шлюз подсети, и имеет возможности IP - доступы к Интернету. Для AIM и модулей IDSM, действительный интерфейс командования и управления используется как определено в конфигурации. Чтобы подтвердить рабочее состояние интерфейса от CLI, введите эту команду показа:

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. Чтобы проверить, имеет ли учетная запись пользователя CCO необходимые привилегии загрузить пакеты обновления подписи, открыть web-браузер и войти к Cisco.com с этой той же учетной записью CCO. После того, как заверенный, вручную загрузите последний пакет подписи IPS. Неспособность вручную загрузить пакет является вероятной причиной к отсутствию ассоциации учетной записи пользователя к допустимые сервисы Cisco для подписки IPS. Кроме того, доступ к защитному программному обеспечению на CCO ограничен авторизованными пользователями, которые приняли годовое шифрование/договор на экспорт. Сбой для утверждения настоящего соглашения, как было известно, предотвратил загрузки подписи от IDM/IME/CSM. Чтобы проверить, было ли настоящее соглашение принято, открывает браузер и входит к Cisco.com с той же учетной записью CCO. После того, как заверенный, попытка вручную загрузить пакет ПО Cisco IOS® K9 featureset.

  3. Проверьте, существует ли там, прокси для Интернета связал трафик (все версии кроме 7.2 (1)). Если трафик от порта командования и управления проходит через этот прокси, функция Автоматического обновления не работает. Реконфигурируйте сеть так, чтобы в трафик порта командования и управления не проникали прокси и тест снова.

  4. Проверьте, существуют ли любые приложения фильтрации содержимого или формирования трафика или устройства вдоль пути к Интернету. Если существующий, настройте исключение, чтобы позволить IP-адресу интерфейса командования и управления обращаться к Интернету без ограничения.

  5. Если трафик ICMP разрешен к Интернету, откройте CLI датчика IPS и попытки прозвонить открытый IP - адрес. Этот тест может использоваться для подтверждения, настроены ли необходимая маршрутизация и правила NAT (если использующийся) правильно. Если тест ICMP успешно выполняется, все же Автоматические обновления продолжают отказывать, гарантировать, что сетевые устройства, такие как маршрутизаторы и межсетевые экраны вдоль пути разрешают HTTPS и сеансы HTTP от IP интерфейса IPS командования и управления. Например, если IP-адрес командования и управления 10.1.1.1, простая запись ACL на межсетевом экране ASA может быть похожей на данный пример:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. Имя пользователя CCO не должно содержать любые специальные символы, например. Обратитесь к идентификатору ошибки Cisco CSCsq30139 (только зарегистрированные клиенты) для получения дополнительной информации.

  7. Когда сбои автоматического обновления подписи диагностированы, посмотрели на коды ошибки HTTP.

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    Сообщение Значение
    Ошибка: исключение AutoUpdate: Соединение HTTP отказало [1,110] Аутентификация отказала. Проверьте имя пользователя и пароль.
    исключение AutoUpdate status=false: Получите Ответ HTTP, подведенный [3,212] Запрос к Auto Update Server испытал таймаут.
    Ошибка: ошибочный ответ http: 400 Удостоверьтесь, что установка URL Cisco не выполнена своих обязательств. Если ИДЕНТИФИКАТОР CCO больше, чем 32 символа в длине, попробуйте другой ИДЕНТИФИКАТОР CCO. Это может быть ограничением на сервер загрузок Cisco.
    Ошибка: исключение AutoUpdate: Соединение HTTP отказало [1,0] Сетевая проблема предотвратила загрузки или существует потенциальная проблема с серверами загрузок.

Предстоящие усовершенствования

Они - усовершенствования:

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113674