تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية نشر محرك UTD Snort IPS على موجهات الخدمات المدمجة ISR1K، و ISR4K، و CSRs، و ISRv باستخدام طريقة IOx.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
أسلوب VMAN مهمل الآن.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تتيح ميزة Unified Threat Defense (UTD) Snort IPS نظام منع التسلل (IPS) أو نظام اكتشاف التسلل (IDS) للمكاتب الفرعية الموجودة على موجهات الخدمات المدمجة من Cisco طراز ISR1K و ISR4K و CSRs و ISRv. تستخدم هذه الميزة حساب المصدر المفتوح لتمكين إمكانيات IPS أو IDS.
SNORT هو بروتوكول IPS مفتوح المصدر يقوم بإجراء تحليل حركة مرور البيانات في الوقت الفعلي وإنشاء تنبيهات عند اكتشاف التهديدات على شبكات IP. كما يمكنه إجراء تحليل للبروتوكول والبحث عن المحتوى أو مسيرته واكتشاف مجموعة متنوعة من الهجمات والمستكشفات، مثل تجاوز سعة التخزين المؤقت وتصوير منافذ التخفي وما إلى ذلك. يعمل محرك الشبكة الرقمية (UTD) كخدمة حاوية افتراضية على موجهات الخدمات المدمجة ISR1K و ISR4K و CSRs و ISRv من Cisco.
يوفر UTD Snort IPS إمكانيات IPS أو IDS لموجهات الخدمات المدمجة ISR1K، ISR4K، CSRs و ISRv Series.
استنادا إلى متطلبات الشبكة. يمكن تمكين UTD Snort IPS ك IPS أو IDs:
يتم تشغيل UTD Snort IPS كخدمة على الموجهات من السلسلة ISR1K و ISR4K و CSRs و ISRv. تستخدم حاويات الخدمات تقنية المحاكاة الافتراضية لتوفير بيئة مضيفة على أجهزة Cisco للتطبيقات. يتم تمكين فحص حركة مرور البيانات إما على أساس كل واجهة أو بشكل عام على جميع الواجهات المدعومة.
يتكون حل نظام منع الاختراق (IPS) لمحرك الشبكة الرقمية (UTD) من الكيانات التالية:
مستشعر الشبكة — يراقب حركة المرور لاكتشاف الأخطاء استنادا إلى سياسات الأمان التي تم تكوينها (والتي تتضمن التواقيع والإحصائيات وتحليل البروتوكول وما إلى ذلك) ويرسل رسائل التنبيه إلى خادم التنبيه/التقارير. يتم نشر مستشعر الشبكة كخدمة حاوية افتراضية على الموجه.
مخزن التوقيع — يستضيف حزم توقيع Cisco التي يتم تحديثها بشكل دوري. يتم تنزيل حزم التوقيع هذه إلى أجهزة إستشعار الشخر إما بشكل دوري أو عند الطلب. يتم نشر حزم التوقيع التي تم التحقق منها على Cisco.com. استنادا إلى التكوين، يمكن تنزيل حزم التوقيع من Cisco.com أو من خادم محلي.
يتم الوصول إلى المجالات التالية من قبل الموجه في عملية تنزيل حزمة التوقيع من cisco.com:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
يجب تنزيل حزم التوقيع يدويا من Cisco.com إلى الخادم المحلي باستخدام بيانات اعتماد Cisco.com قبل أن يتمكن مستشعر الشورت من إسترجاعها.
خادم التنبيه/إعداد التقارير — يستقبل أحداث التنبيه من مستشعر الشخر. يمكن إرسال أحداث التنبيه التي تم إنشاؤها بواسطة مستشعر snort إلى خادم syslog ل IOS أو خادم syslog خارجي أو إلى كل من خادم syslog وخادم syslog الخارجي ل IOS. لا يتم تجميع أي خوادم سجل خارجية باستخدام حل Snort IPS.
الإدارة — يدير حل Snort IPS. تم تكوين الإدارة باستخدام IOS CLI. لا يمكن الوصول إلى مستشعر SNORT مباشرة، ويمكن إجراء جميع التكوين فقط باستخدام واجهة سطر الأوامر (CLI) IOS.
فيما يلي متطلبات الترخيص لمحرك شخير UTD:
أ) رزمة توقيع الجماعة: توفر مجموعة قواعد توقيع الجماعة تغطية محدودة ضد التهديدات.
ب) حزمة التوقيع المستندة إلى المشترك: توفر مجموعة قواعد حزمة التوقيع المستندة إلى المشترك أفضل حماية ضد التهديدات. كما يشمل تغطية عمليات التفجير قبل وقوعها، كما يوفر أسرع وصول إلى التوقيعات المحدثة ردا على حادث أمني أو الاكتشاف الاستباقي لتهديد جديد. يدعم Cisco هذا الاشتراك بالكامل وسيتم تحديث الحزمة باستمرار على Cisco.com.
يمكن تنزيل حزمة توقيع مشترك UTD Snort من موقع الويب software.cisco.com ويمكن العثور على معلومات توقيع النخر على snort.org.
بالإضافة إلى ذلك، يمكنك إستخدام أداة البحث عن وثائق القواعد التالية snort.org للبحث عن معرفات توقيعات IPS معينة.
وفيما يلي الأنظمة الأساسية المدعومة لمحرك شخير UTD:
تنطبق القيود التالية على محرك شخير UTD:
تنطبق القيود التالية على محرك شخير UTD:
عند تمكين ترخيص تعزيز على موجهات الخدمات المتكاملة (ISRs) من السلسلة Cisco 4000 Series، لا يمكنك تكوين حاوية الخدمة الظاهرية ل Snort IPS.
غير متوافق مع ميزة ملف تعريف الارتباط SYN لجدار الحماية المستند إلى المنطقة.
ترجمة عنوان الشبكة 64 (NAT64) غير مدعومة.
مطلوب SnortSnmpPlugin لاستطلاع SNMP في Snort المصدر المفتوح. لا يدعم IPS إمكانيات إستطلاع SNMP أو قواعد معلومات الإدارة (MIB) حيث إن المكون الإضافي SnortSnmp غير مثبت على UTD.
فيما يلي، روابط Cisco لتنزيل ملفات صورة برنامج محرك UTD snort IPS المراد إستخدامها لتثبيت محرك الشبكة الرقمية (UTD) على موجه Cisco لديك. وبالإضافة إلى ذلك، ستجد ملفات حزمة توقيع مشترك UTD Snort لتنزيل توقيعات IPS الخاصة بشورة UTD، وذلك وفقا لإصدار محرك UTD الذي يعمل.
ملاحظة: المتطلبات الأساسية التي يجب أخذها في الاعتبار قبل تثبيت محرك وحدة التخزين UTD، إذا كان محرك ISR ماديا، فيجب أن يشغل IOS-XE الإصدار 3.16.1 أو إصدارا أعلى. إذا كان CSR فيجب أن يكون الإصدار 16.3.1 أو إصدارا أعلى وإذا كان هو ISRv (ENCS)، فيجب أن يكون قد قام بتشغيل الإصدار 16.8.1 أو إصدارا أعلى. بالنسبة لمادة حفازة 8300 (الإصدار الأولي 17.3.2 والإصدارات الأعلى) و 8200 (الإصدار الأولي 17.4.1 والإصدارات الأعلى) و 8000v (الإصدار الأولي 17.4.1 والإصدارات الأعلى).
ملاحظة: إذا قام المستخدم بتنزيل حزمة توقيع مشترك UTD Snort يدويا من صفحة تنزيل البرامج، فيجب على المستخدم التأكد من أن الحزمة لها نفس إصدار محرك snort. على سبيل المثال، إذا كان إصدار محرك snort هو 2982، فيجب على المستخدم تنزيل نفس الإصدار من حزمة التوقيع. إذا كان هناك عدم تطابق في الإصدار، سيتم رفض تحديث حزمة التوقيع وسيفشل.
ملاحظة: عندما يتم تحديث حزمة التوقيع، سيتم إعادة تشغيل المحرك وانقطاع حركة المرور أو تخطي التفتيش لفترة قصيرة حسب تكوين مستوى البيانات الخاص بهم فتح/إغلاق الفشل.
الخطوة 1. قم بتكوين واجهات VirtualPortGroup لمحرك تشفير UTD، ثم قم بتكوين مجموعتي منافذ:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
ملاحظة: تأكد من تكوين NAT والتوجيه المطلوب ل VirtualPortGroup0، لكي يتمكن محرك UTD snort من الوصول إلى خادم syslog الخارجي وكذلك إلى cisco.com لانتزاع ملفات تحديث التوقيع.
الخطوة 2. قم بتمكين بيئة IOx في وضع "التكوين العام".
Router(config)#iox
الخطوة 3. بعد ذلك، قم بتنشيط الخدمة الظاهرية وتكوين عناوين IP للضيف، لذلك، قم بتكوين إستضافة التطبيقات باستخدام تكوين بطاقة واجهة الشبكة (VNIC).
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
الخطوة 4 (اختيارية). تكوين ملف تعريف المورد.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
ملاحظة: تدعم الخدمة الظاهرية لمحرك الشبكة الرقمية الثابتة (UTD) ثلاثة ملفات تعريف للموارد: منخفض، متوسط، ومرتفع. تشير هذه التوصيفات إلى وحدة المعالجة المركزية وموارد الذاكرة المطلوبة لتشغيل الخدمة الظاهرية. يمكنك تكوين أحد ملفات تعريف الموارد هذه. تكوين ملف تعريف المورد إختياري. في حالة عدم تكوين ملف تعريف، يتم تنشيط الخدمة الظاهرية بملف تعريف الموارد الافتراضي الخاص بها. تحقق من ملف تعريف مورد الخدمة الظاهرية من Cisco ل ISR4K و CSR1000v للحصول على مزيد من تفاصيل ملف تعريف الموارد.
ملاحظة: لا يتوفر هذا الخيار لسلسلة ISR1K.
الخطوة 5. انسخ ملف برنامج محرك UTD Snort IPS إلى ذاكرة الفلاش الخاصة بالموجه، ثم قم بتثبيت إستضافة التطبيق باستخدام ملف UTD.tar كما يلي.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
ملاحظة: تم تحديد إصدار محرك UTD على اسم ملف UTD، تأكد من أن إصدار محرك UTD الذي سيتم تثبيته، متوافق مع إصدار IOS-XE الذي يعمل في موجه Cisco
يجب ملاحظة syslog التالية التي تشير إلى تثبيت خدمة UTD بشكل صحيح.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
ملاحظة: يجب عرض الحالة 'Deployment' باستخدام 'show قائمة إستضافة التطبيقات'
الخطوة 6. بدء تشغيل خدمة إستضافة التطبيقات.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
ملاحظة: بعد بدء تشغيل خدمة إستضافة التطبيقات، يجب أن تكون حالة إستضافة التطبيقات 'قيد التشغيل'. أستخدم 'إظهار قائمة إستضافة التطبيقات' أو 'إظهار تفاصيل إستضافة التطبيقات' للاطلاع على مزيد من التفاصيل.
يجب ملاحظة رسائل syslog التالية التي تشير إلى تثبيت خدمة UTD بشكل صحيح.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
بعد التثبيت الناجح، يجب تكوين مستوى الخدمة لمحرك شخير UTD. يمكن تكوين محرك UTD للتنفس كنظام لمنع الاقتحام (IPS) أو كنظام اكتشاف الاقتحام (IDS) لفحص حركة المرور.
تحذير: تأكد من تمكين ميزة ترخيص 'securityk9' في الموجه لمتابعة تكوين مستوى خدمة UTD.
الخطوة 1. تكوين المحرك القياسي للدفاع عن التهديد الموحد (UTD) (مستوى الخدمة)
Router#configure terminal
Router(config)#utd engine standard
الخطوة 2. قم بتمكين تسجيل محرك UTD snort إلى خادم بعيد وإلى syslog ل IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
ملاحظة: يراقب UTD snort IPS حركة مرور البيانات ويبلغ الأحداث إلى خادم سجل خارجي أو syslog IOS. قد يؤثر تمكين التسجيل إلى syslog IOS على الأداء بسبب الحجم المحتمل لرسائل السجل. يمكن إستخدام أدوات المراقبة الخارجية التابعة لجهة خارجية، والتي تدعم سجلات Snort، لجمع السجلات وتحليلها.
الخطوة 3. قم بتمكين فحص التهديد ل snort engine.
Router(config-utd-eng-std)#threat-inspection
الخطوة 4. قم بتكوين نظام اكتشاف التهديدات (IDS) أو منع التسلل (IPS) كوضع تشغيل لمحرك الشبكة.
Router(config-utd-engstd-insp)#threat [protection,detection]
ملاحظة: أستخدم الكلمة الأساسية حماية' ل IPS و'كشف' لوضع المعرفات. الوضع الافتراضي هو 'كشف'
الخطوة 5. قم بتكوين نهج الأمان لمحرك الشبكة.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
ملاحظة: النهج الافتراضي هو balanced'، اعتمادا على النهج الذي تم إختياره، سيقوم مشغل الشورt بتنشيط توقيعات IPS أو إلغاء تنشيطها الخاصة بحماية محرك الشونرت.
الخطوة 6 (اختيارية). قم بتمكين تكوين القائمة المسموح بها في UTD (Whitelist).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
الخطوة 7 (اختيارية). قم بتكوين معرفات توقيع IPS الشنمية لتضمينها في العالم الأبيض.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
ملاحظة: يمكن نسخ معرفات التوقيع من التنبيهات التي تحتاج إلى منع، يمكنك تكوين معرفات توقيع متعددة. كرر هذه الخطوة لكل معرف توقيع يلزم إضافته إلى WhiteList.
ملاحظة: بعد تكوين معرف توقيع القائمة المسموح به (WhiteList)، سيسمح محرك UTD snort للتدفق بالمرور عبر الجهاز دون أي تنبيهات وعمليات إسقاط.
ملاحظة: يعرف معرف المولد (GID) النظام الفرعي الذي يقيم قاعدة التطفل ويقوم بإنشاء الأحداث. تحتوي قواعد منع أختراق النص القياسية على معرف مولدة واحد، كما أن قواعد منع أختراق الكائن المشترك لها معرف مولدة مكون من 3. هناك أيضا العديد من مجموعات القواعد لمختلف المعالجات المسبقة. يشرح الجدول التالي 1. معرفات المولدات معرفات GIDs.
الخطوة 8 (اختيارية). قم بتمكين القائمة المسموح بها في تكوين فحص التهديدات.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
ملاحظة: بعد تكوين معرف توقيع WhiteList، سيسمح محرك snort للتدفق بالمرور عبر الجهاز دون أي تنبيهات وعمليات إسقاط
الخطوة 9. قم بتكوين الفاصل الزمني لتحديث التوقيع لتنزيل توقيعات snort تلقائيا.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
ملاحظة: يحدد الرقم الأول الساعة بتنسيق 24 ساعة، ويشير الرقم الثاني إلى دقائق.
تحذير: تقوم تحديثات توقيع UTD بإنشاء مقاطعة خدمة قصيرة في وقت التحديث.
الخطوة 10. قم بتكوين معلمات خادم تحديث توقيع محرك UTD snort.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
ملاحظة: أستخدم الكلمة الأساسية 'cisco' للإشارة إلى خادم Cisco لتحديثات التوقيع أو أستخدم الكلمة الأساسية 'url' لتعريف مسار http/https مخصص لخادم التحديث. لخادم Cisco، يجب عليك توفير بيانات اعتماد اسم مستخدم وكلمة مرور Cisco.
ملاحظة: تأكد من تكوين خادم DNS لتنزيل توقيعات تشفير IPS من خادم Cisco. تقوم حاوية الشورت بالبحث عن اسم المجال (على خادم (خوادم) DNS التي تم تكوينها على الموجه) لحل موقع تحديثات التوقيع التلقائية من Cisco.com أو على الخادم المحلي، إذا لم يتم تحديد عنوان URL كعنوان IP.
ملاحظة: يجب تضمين عنوان IP الخاص بإدارة وحدة UTD النمطية الذي تم تعيينه للواجهة VirtualPortGroup0، في تكوين وحدة التحكم في الشبكة (NAT) الخاصة بالموجه للسماح للوحدة بالوصول إلى الإنترنت للوصول إلى خادم Cisco لتنزيل حزم توقيع الشبكة.
الخطوة 11. قم بتمكين مستوى تسجيل محرك UTD غير الرسمي وتسجيل إحصائيات تنبيه فحص التهديدات:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
ملاحظة: بداية إصدار Cisco IOS XE Fuji 16.8، يمكنك الحصول على تفاصيل ملخصة لتنبيهات فحص التهديدات عند تشغيل الأمر التالي show utd engine standard logging threat-inspection statisticsDetail'. فقط، عند تمكين تسجيل إحصائيات تنبيه فحص التهديدات لمحرك شخر UTD.
الخطوة 12. قم بتمكين خدمة UTD.
Router#configure terminal
Router(config)#utd
الخطوة 13 (اختيارية). قم بإعادة توجيه حركة مرور البيانات من واجهة VirtualPortGroup إلى خدمة UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
ملاحظة: إذا لم يتم تكوين إعادة التوجيه، يتم الكشف عنها تلقائيا.
الخطوة 14. قم بتمكين محرك UTD IPS لفحص حركة المرور من جميع واجهات الطبقة 3 على الموجه.
Router(config-utd)#all-interfaces
الخطوة 15. قم بتمكين معيار المحرك.
Router(config-utd)#engine standard
يجب ملاحظة رسائل syslog التالية التي تشير إلى تمكين محرك UTD snort بشكل صحيح:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
الخطوة 16 (اختيارية). تحديد الإجراء لمحرك التطفل باستخدام UTD أثناء الفشل (مستوى بيانات UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
ملاحظة: يسقط الخيار 'فشل الإغلاق' كل حركة مرور الموجه عندما يفشل محرك UTD وخيار فشل الفتح، ويسمح لحركة مرور الموجه بمواصلة التدفق بدون فحص IPS/IDS أثناء فشل UTD. الخيار الافتراضي هو "فتح الفشل".
الخطوة 17. احفظ تكوين الموجه.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
يحتوي محرك فحص UTD على إمكانيات مسح المنفذ. مسح المنفذ هو شكل من إستطلاع الشبكة الذي غالبا ما يتم إستخدامه من قبل المهاجمين كمقدمة للهجوم. في مسح المنفذ، يرسل المهاجم الحزم المصممة للتحقيق عن بروتوكولات الشبكة والخدمات على مضيف مستهدف. ومن خلال فحص الحزم التي يتم إرسالها إستجابة بواسطة مضيف، يمكن للمهاجم تحديد المنافذ المفتوحة على المضيف، سواء مباشرة أو عن طريق الاستدلال، وبروتوكولات التطبيق التي يتم تشغيلها على هذه المنافذ.
فالمسح الضوئي للمنفذ في حد ذاته ليس دليلا على وقوع هجوم. قد يستخدم المستخدمون الشرعيون على شبكتك تقنيات مسح مماثلة للمنافذ يستخدمها المهاجمون.
يكتشف مفتش por_scan أربعة أنواع من portscan ويراقب محاولات الاتصال على بروتوكولات TCP و UDP و ICMP و IP. عن طريق الكشف عن أنماط النشاط، يساعدك مفتش Port_scan على تحديد مسوحات المنفذ التي قد تكون ضارة.
تنقسم عمليات مسح المنفذ بشكل عام إلى أربعة أنواع استنادا إلى عدد البيئات المضيفة المستهدفة، وعدد مضيفي المسح الضوئي، وعدد المنافذ التي يتم مسحها ضوئيا.
يعرض الجدول 3. أدناه قواعد مفتش مسح المنفذ.
يوفر Port_scan Controller ثلاثة مستويات افتراضية حساسة للمسح الضوئي لمحرك تشفير UTD:
الخطوة 1. تكوين المحرك القياسي للدفاع عن التهديد الموحد (UTD) (مستوى الخدمة)
Router#configure terminal
Router(config)#utd engine standard
الخطوة 2. قم بتمكين فحص التهديد لمحرك شخر UTD.
Router(config-utd-eng-std)#threat-inspection
الخطوة 3. ثم قم بتمكين port_scan.
Router(config-utd-engstd-insp)#port-scan
الخطوة 4. قم بتعيين المستوى الحساس ل port_scan، والخيارات المتوفرة عالية أو متوسطة أو منخفضة.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
الخطوة 5. بمجرد تمكين port_scan وتكوينه باستخدام مستوى حساس لمحرك تنسيق UTD، أستخدم الأمر show utd engine standard config" للتحقق من تكوين port_scan.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
قم بإصدار الأمر show app-hosting detail" لتأكيد حالة محرك UTD، وإصدار البرنامج الجاري تشغيله، وذاكرة الوصول العشوائي (RAM)، ووحدة المعالجة المركزية (CPU) واستخدام القرص، وإحصاءات الشبكة وتكوين DNS في موضعه.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
أستخدم الأمر show utd engine standard version لتأكيد إصدار توافق UTD snort engine، مقابل إصدار موجه IOS-XE الذي يتم تشغيله.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
قم بإصدار الأمر 'show utd engine standard status'، لتأكيد حالة محرك UTD، والحالة في 'green'، والصحة في 'green'، والحالة العامة للنظام في 'green، يشير إلى أن محرك شخير UTD قيد التشغيل.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
ملاحظة: عندما يزيد الاشتراك في محرك إحتباس UTD، تتغير حالة قناة الحماية من التهديد بين الأخضر والأحمر. تقوم لوحة بيانات UTD إما بإسقاط جميع الحزم الإضافية إذا تم تكوين إغلاق الفشل أو إعادة توجيه الحزم التي لم يتم فحصها إذا لم يتم تكوين إغلاق الفشل (الافتراضي). عندما يسترد UTD ServicePlane الاسترداد من الاشتراك الزائد، فإنه يستجيب إلى مستوى بيانات UTD بالحالة صديقة البيئة.
خيار 2. قم بإصدار الأمر show platform software utd global"، للحصول على ملخص موجز عن حالة عملية محرك تنفس UTD.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
خيار 1. قم بإصدار الأمر show utd engine standard config" لعرض تفاصيل تكوين محرك UTD، ووضع العملية، ووضع السياسة، وتكوين تحديث التوقيع، وتكوين التسجيل، والنظام الأبيض، وحالة مسح المنفذ.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
خيار 2. قم بإصدار العرض running-config | b محرك أمر أن يعرض UTD شخر محرك يركض تشكيل في مكانه.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. قم بإصدار الأمر show utd engine standard فحص حالة تحديث توقيع IPS، للتحقق من حالة تحديث توقيع IPS snort.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. قم بإصدار الأمر utd threat-inspection signature update"، لتنفيذ تحديث يدوي لتوقيع IPS snort باستخدام تكوين الخادم الحالي المطبق على محرك UTD snort لتنزيل التوقيع.
Router#utd threat-inspection signature update
3. قم بإصدار الأمر 'utd threat-inspection signature update server [cisco، url] username xxxxx password xxxx force'، لفرض تحديث توقيع IPS يدويا باستخدام Server prameter المحدد.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
أستخدم أوامر العرض التالية لمراقبة حركة المرور التي تتم معالجتها بواسطة محرك تنسيق UTD ولفحص الإحصائيات المتعلقة بفحص حركة المرور.
الخيار 1. من الناتج التالي show utd engine standard statistics'، تزيد العدادات 'receive' و'analysis'، عندما تتم معالجة حركة المرور بواسطة محرك شخير UTD:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
الخيار 2. من الإخراج التالي "show platform hardware qfp active feature utd stats"، decaps' و'Shift' العداد، عند إعادة توجيه حركة المرور من الموجه إلى محرك تنسيق UTD من أجل فحص حركة المرور وزمن 'encaps' و'Reinject'، عند إعادة توجيه حركة المرور من محرك تنسيق UTD إلى الموجه:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
الخيار 3. من الناتج التالي show utd engine standard statistics internal'، تزداد العدادات 'receive' و'analysis'، عند إعادة توجيه حركة المرور من الموجه إلى محرك UTD snort لفحص حركة المرور. وعلاوة على ذلك، سيعرض هذا الناتج مزيدا من التفاصيل والإحصائيات عن حركة المرور التي تم فحصها من قبل محرك شخير UTD:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
أستخدم أوامر العرض التالية لمراقبة توقيعات IPS التي تم تشغيلها وأحداث IPS/IDS التي تم إنشاؤها وعناوين IP المعنية بالمصدر والوجهة.
خيار 1. أستخدم الأمر show utd engine standard logging events [threat-inspection]'، للبحث عن أحداث IPS/IDS:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
الخيار 2. أستخدم الأمر show utd engine standard logging statistics threat-inspection"، للبحث عن أفضل توقيعات شفرات IPS التي تم تشغيلها في ال 24 ساعة الماضية وعدد المرات التي تم فيها تشغيل كل توقيع:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
الخيار 3. أستخدم الأمر show utd engine standard logging statistics inspection detail"، للبحث عن أفضل توقيعات شفرات IPS التي تم تشغيلها في ال 24 ساعة الماضية، وعدد المرات التي تم فيها تشغيل كل توقيع وعناوين IP للمصدر والوجهة التي قامت بتشغيل التوقيع:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
الخيار 4. يراقب محرك تنسيق UTD حركة مرور البيانات ويبلغ الأحداث إلى خادم سجل خارجي أو syslog ل IOS. قد يؤثر تمكين التسجيل إلى syslog IOS على الأداء بسبب الحجم المحتمل لرسائل السجل. يمكن إستخدام أدوات المراقبة الخارجية التابعة لجهة خارجية، والتي تدعم سجلات Snort، لجمع السجلات وتحليلها.
عندما يقوم محرك الشبكة الرقمية (UTD) بإنشاء حدث IPS/IDS، سيقوم الموجه بعرض رسالة syslog مثل ما يلي:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
ملاحظة: سيتم عرض سجلات محرك وحدة تحكم UTD في واجهة سطر الأوامر للموجه IOSD، فقط عند تمكين syslog للتسجيل ضمن التكوين القياسي لمحرك أمان UTD.
عندما يتم تكوين محرك UTD snort لإرسال السجلات إلى خادم syslog خارجي، فيجب أن ترى سجلات محرك UTD snort في خادم syslog البعيد كما يلي:
أستخدم الأوامر التالية لعرض توقيعات شعاع IPS النشطة والإفلات والتنبيه لمحرك شخر UTD، بناء على تكوين النهج المستخدم (متوازن أو اتصال أو أمان).
الخيار 1. قم بالمتابعة كما يلي لعرض قائمة توقيعات شفرات IPS النشطة لنهج الأمان.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
الخيار 2. قم بالمتابعة كما يلي لعرض قائمة توقيعات شفرات IPS النشطة لنهج الاتصال.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
الخيار 3. قم بالمتابعة كما يلي لعرض قائمة توقيعات IPS النشطة للنهج المتوازن.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
ملاحظة: لعرض توقيعات برنامج IPS Snort النشطة لنهج الأمان أو الاتصال المتوازن، يجب أن يقوم محرك UTD Snort بتشغيل وضع النهج المتوافق الذي تريد عرضه.
1. تأكد من أن موجه الخدمات المدمجة (ISR) من Cisco يشغل الإصدار XE 16.10.1a والإصدارات الأعلى (لطريقة IOx).
2. تأكد من ترخيص موجه الخدمات المتكاملة (ISR) من Cisco باستخدام ميزة SecurityTyk9 الممكنة.
3. تأكد من أن طراز أجهزة ISR متوافق مع الحد الأدنى لملف تعريف الموارد.
4. لا يتوافق محرك UTD snort مع ملف تعريف إرتباط SYN لجدار الحماية المستند إلى المنطقة وترجمة عنوان الشبكة 64 (NAT64)
5. تأكد من بدء تشغيل خدمة محرك UTD snort بعد التثبيت.
6. أثناء تنزيل حزمة التوقيع اليدوي، تأكد من أن الحزمة لها نفس إصدار محرك snort. قد يفشل تحديث حزمة التوقيع في حالة عدم تطابق الإصدار.
7. في حالة حدوث مشاكل في الأداء، أستخدم عرض مورد إستضافة التطبيقات" و'إظهار التطبيق ''UTD-NAME'' لاستخدام إستضافة التطبيقات للتحقق من وحدة المعالجة المركزية UTD والذاكرة ومساحة التخزين.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
تحذير: اتصل ب Cisco TAC، إن يؤكد أنت أن UTD Snort محرك يواجه مستوى عال من وحدة المعالجة المركزية، الذاكرة، أو إستخدام القرص.
لأغراض أستكشاف الأخطاء وإصلاحها، أستخدم أوامر تصحيح الأخطاء المدرجة أدناه لجمع مزيد من التفاصيل من محرك تصحيح الأخطاء وإصلاحها (UTD).
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
تحذير: يمكن أن يؤدي تشغيل أوامر تصحيح الأخطاء أثناء ساعات الإنتاج إلى زيادة وحدة المعالجة المركزية (CPU) أو الذاكرة أو إستخدام القرص بشكل ملحوظ على محرك وحدة التحكم بالموجه (UTD)، مما قد يؤثر على حركة مرور البيانات واستقرار النظام. أستخدم أوامر تصحيح الأخطاء بشكل قليل، ويفضل أن يكون ذلك أثناء نافذة الصيانة، وقم بتعطيلها فورا بعد تجميع البيانات المطلوبة. إذا تم ملاحظة إستخدام موارد مرتفع أو تأثير خدمة، فقم بإيقاف تصحيح الأخطاء والاتصال ب Cisco TAC.
يمكن العثور على الوثائق الإضافية المتعلقة بنشر UTD Snort IPS هنا:
دليل تكوين أمان Cisco Snort IPS
ملف تعريف موارد الخدمة الظاهرية ل ISR4K و CSR1000V من Cisco
بروتوكول IPS على الموجهات - التكوين خطوة بخطوة
دليل Cisco - أستكشاف أخطاء IPS وإصلاحها
دليل مرجع مفتش مسح المنفذ snort Port-Scan
صفحة الويب الخاصة بنظام منع التسلل إلى المصادر المفتوحة (IPS)
تثبيت الصورة الظاهرية لأمان UTD على موجهات cEdge
لا يتم نشر CSCwf57595 ISR4K Snort IPS نظرا لأن HW ليس لديه موارد كافية لمنصات العمل
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
3.0 |
17-Sep-2025
|
الإصدار الأولي |
1.0 |
11-Jul-2023
|
الإصدار الأولي |