نشر بروتوكول UTD Snort IPS على موجهات الخدمات المدمجة طراز 1000 و 4000 و CSRs و ISRv من Cisco
المحتويات
المقدمة
يوضح هذا المستند كيفية نشر محرك UTD Snort IPS على موجهات الخدمات المدمجة ISR1K، و ISR4K، و CSRs، و ISRv باستخدام طريقة IOx.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- موجهات الخدمات المتكاملة ISR1K و ISR4K و CSRs و ISRv من Cisco مع ذاكرة DRAM سعة 8 جيجابايت على الأقل
- معرفة أوامر IOS-XE الأساسية
- معرفة IPS الخاصة بالجهاز العصبي العالمي (UTD) الأساسية
- يلزم وجود اشتراك اشتراك في برنامج IPS لمدة سنة أو ثلاث سنوات
- IOS-XE 16.10.1a وأعلى
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- ISR1K، ISR4K، CSRs و ISRv sery يركض صيغة 17.9.3a
- محرك الشبكة الرقمية (UTD) إصدار 17.9.3a
- ترخيص SecurityYK9 ل ISR1K، ISR4K، CSRs و ISRv series
أسلوب VMAN مهمل الآن.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تتيح ميزة Unified Threat Defense (UTD) Snort IPS نظام منع التسلل (IPS) أو نظام اكتشاف التسلل (IDS) للمكاتب الفرعية الموجودة على موجهات الخدمات المدمجة من Cisco طراز ISR1K و ISR4K و CSRs و ISRv. تستخدم هذه الميزة حساب المصدر المفتوح لتمكين إمكانيات IPS أو IDS.
SNORT هو بروتوكول IPS مفتوح المصدر يقوم بإجراء تحليل حركة مرور البيانات في الوقت الفعلي وإنشاء تنبيهات عند اكتشاف التهديدات على شبكات IP. كما يمكنه إجراء تحليل للبروتوكول والبحث عن المحتوى أو مسيرته واكتشاف مجموعة متنوعة من الهجمات والمستكشفات، مثل تجاوز سعة التخزين المؤقت وتصوير منافذ التخفي وما إلى ذلك. يعمل محرك الشبكة الرقمية (UTD) كخدمة حاوية افتراضية على موجهات الخدمات المدمجة ISR1K و ISR4K و CSRs و ISRv من Cisco.
يوفر UTD Snort IPS إمكانيات IPS أو IDS لموجهات الخدمات المدمجة ISR1K، ISR4K، CSRs و ISRv Series.
- يراقب UTD حركة مرور الشبكة ويحللها مقابل مجموعة قواعد معرفة.
- يقوم UTD بتنفيذ تصنيف إلحاق.
- ويستحضر UTD الإجراءات ضد القواعد المتطابقة.
استنادا إلى متطلبات الشبكة. يمكن تمكين UTD Snort IPS ك IPS أو IDs:
- في وضع IDS: يقوم محرك شبكة UTD بفحص حركة المرور والإبلاغ عن التنبيهات، ولكنه لا يتخذ أي إجراء لمنع الهجمات.
- في وضع IPS: يقوم محرك تنسيق UTD بفحص حركة المرور والإبلاغ عن التنبيهات كما تفعل المعرفات، ولكن يتم إتخاذ إجراءات لمنع الهجمات.
يتم تشغيل UTD Snort IPS كخدمة على الموجهات من السلسلة ISR1K و ISR4K و CSRs و ISRv. تستخدم حاويات الخدمات تقنية المحاكاة الافتراضية لتوفير بيئة مضيفة على أجهزة Cisco للتطبيقات. يتم تمكين فحص حركة مرور البيانات إما على أساس كل واجهة أو بشكل عام على جميع الواجهات المدعومة.
حل التبديل داخل الشاشة (IPS) لمحرك الشبكة الرقمية (UTD)
يتكون حل نظام منع الاختراق (IPS) لمحرك الشبكة الرقمية (UTD) من الكيانات التالية:
-
مستشعر الشبكة — يراقب حركة المرور لاكتشاف الأخطاء استنادا إلى سياسات الأمان التي تم تكوينها (والتي تتضمن التواقيع والإحصائيات وتحليل البروتوكول وما إلى ذلك) ويرسل رسائل التنبيه إلى خادم التنبيه/التقارير. يتم نشر مستشعر الشبكة كخدمة حاوية افتراضية على الموجه.
-
مخزن التوقيع — يستضيف حزم توقيع Cisco التي يتم تحديثها بشكل دوري. يتم تنزيل حزم التوقيع هذه إلى أجهزة إستشعار الشخر إما بشكل دوري أو عند الطلب. يتم نشر حزم التوقيع التي تم التحقق منها على Cisco.com. استنادا إلى التكوين، يمكن تنزيل حزم التوقيع من Cisco.com أو من خادم محلي.
يتم الوصول إلى المجالات التالية من قبل الموجه في عملية تنزيل حزمة التوقيع من cisco.com:
-
api.cisco.com
-
apx.cisco.com
-
cloudsso.cisco.com
-
cloudsso-test.cisco.com
-
cloudsso-test3.cisco.com
-
cloudsso-test4.cisco.com
-
cloudsso-test5.cisco.com
-
cloudsso-test6.cisco.com
-
cloudsso.cisco.com
-
download-ssc.cisco.com
-
dl.cisco.com
-
resolver1.opendns.com
-
resolver2.opendns.com
يجب تنزيل حزم التوقيع يدويا من Cisco.com إلى الخادم المحلي باستخدام بيانات اعتماد Cisco.com قبل أن يتمكن مستشعر الشورت من إسترجاعها.
-
-
خادم التنبيه/إعداد التقارير — يستقبل أحداث التنبيه من مستشعر الشخر. يمكن إرسال أحداث التنبيه التي تم إنشاؤها بواسطة مستشعر snort إلى خادم syslog ل IOS أو خادم syslog خارجي أو إلى كل من خادم syslog وخادم syslog الخارجي ل IOS. لا يتم تجميع أي خوادم سجل خارجية باستخدام حل Snort IPS.
-
الإدارة — يدير حل Snort IPS. تم تكوين الإدارة باستخدام IOS CLI. لا يمكن الوصول إلى مستشعر SNORT مباشرة، ويمكن إجراء جميع التكوين فقط باستخدام واجهة سطر الأوامر (CLI) IOS.
متطلبات الترخيص
فيما يلي متطلبات الترخيص لمحرك شخير UTD:
- يلزم توفر ترخيص Security K9 على موجهات ISR1K و ISR4K و CSRs و ISRv. وبالإضافة إلى ذلك، يلزم اشتراك التوقيع لمدة سنة أو ثلاث سنوات أيضا، وهناك نوعان من الاشتراكات:
أ) رزمة توقيع الجماعة: توفر مجموعة قواعد توقيع الجماعة تغطية محدودة ضد التهديدات.
ب) حزمة التوقيع المستندة إلى المشترك: توفر مجموعة قواعد حزمة التوقيع المستندة إلى المشترك أفضل حماية ضد التهديدات. كما يشمل تغطية عمليات التفجير قبل وقوعها، كما يوفر أسرع وصول إلى التوقيعات المحدثة ردا على حادث أمني أو الاكتشاف الاستباقي لتهديد جديد. يدعم Cisco هذا الاشتراك بالكامل وسيتم تحديث الحزمة باستمرار على Cisco.com.
يمكن تنزيل حزمة توقيع مشترك UTD Snort من موقع الويب software.cisco.com ويمكن العثور على معلومات توقيع النخر على snort.org.
بالإضافة إلى ذلك، يمكنك إستخدام أداة البحث عن وثائق القواعد التالية snort.org للبحث عن معرفات توقيعات IPS معينة.
- يلزم توفر ترخيص أساسيات بنية الشبكة الرقمية (DNA) على موجهات Catalyst 8000 Edge Routers المذكورة في قسم "الأنظمة الأساسية المدعومة" لتتمكن من إستخدام بروتوكول IPS/Snort.
الأنظمة الأساسية المدعومة
وفيما يلي الأنظمة الأساسية المدعومة لمحرك شخير UTD:
- ISR 4461 و 4451 و 4431 و 4351 و 4331 و 4321 و 4221X و 4221 و CSR و ISRv و ISR 1K (X PIDs مثل 111X و 1121X و 1161X الخ التي تدعم ذاكرة DRAM سعة 8 جيجابايت فقط، بدءا من الإصدار 17. 2. 1r)
- مادة حفازة 8500L، 8300، 8200، 8000v.
القيود
تنطبق القيود التالية على محرك شخير UTD:
- سيتم تحويل حزم TCP و UDP و ICMP فقط إلى محرك تشفير UTD للتفتيش
- فقط من خلال الصندوق حركة مرور سيتم تحويلها إلى UTD شنورت محرك للفحص
قيود
تنطبق القيود التالية على محرك شخير UTD:
-
عند تمكين ترخيص تعزيز على موجهات الخدمات المتكاملة (ISRs) من السلسلة Cisco 4000 Series، لا يمكنك تكوين حاوية الخدمة الظاهرية ل Snort IPS.
-
غير متوافق مع ميزة ملف تعريف الارتباط SYN لجدار الحماية المستند إلى المنطقة.
-
ترجمة عنوان الشبكة 64 (NAT64) غير مدعومة.
-
مطلوب SnortSnmpPlugin لاستطلاع SNMP في Snort المصدر المفتوح. لا يدعم IPS إمكانيات إستطلاع SNMP أو قواعد معلومات الإدارة (MIB) حيث إن المكون الإضافي SnortSnmp غير مثبت على UTD.
-
- IOS syslog محدود المعدل ونتيجة لذلك، قد لا تكون جميع التنبيهات التي تم إنشاؤها بواسطة Snort مرئية عبر syslog ل IOS. ومع ذلك، يمكنك عرض جميع رسائل Syslog إذا قمت بتصديرها إلى خادم syslog خارجي.
روابط تنزيل UTD Snort Engine IPS
فيما يلي، روابط Cisco لتنزيل ملفات صورة برنامج محرك UTD snort IPS المراد إستخدامها لتثبيت محرك الشبكة الرقمية (UTD) على موجه Cisco لديك. وبالإضافة إلى ذلك، ستجد ملفات حزمة توقيع مشترك UTD Snort لتنزيل توقيعات IPS الخاصة بشورة UTD، وذلك وفقا لإصدار محرك UTD الذي يعمل.
- Catalyst 8500L -https://software.cisco.com/download/home/286324574/type
- مادة حفازة 8300 -https://software.cisco.com/download/home/286324476/type
- مادة حفازة 8200 -https://software.cisco.com/download/home/286324472/type
- Catalyst 8000V -https://software.cisco.com/download/home/286327102/type
الرسم التخطيطي للشبكة
التكوين
تثبيت محرك الشبكة الرقمية الثابتة (UTD)
الخطوة 1. قم بتكوين واجهات VirtualPortGroup لمحرك تشفير UTD، ثم قم بتكوين مجموعتي منافذ:
- VirtualPortGroup0 لحركة مرور الإدارة: سيتم إستخدام هذه VirtualPortGroup كمصدر السجلات إلى مجمع السجلات وكذلك سحب تحديثات التوقيع من Cisco.com.
- VirtualPortGroup1 لنقل البيانات: سيتم إستخدام مجموعة المنافذ الظاهرية هذه لإرسال الحزم التي تم وضع علامة عليها للتفتيش واستقبالها والتي تصل إلى مستوى البيانات لتفتيش IPS.
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
الخطوة 2. قم بتمكين بيئة IOx في وضع "التكوين العام".
Router(config)#iox
الخطوة 3. بعد ذلك، قم بتنشيط الخدمة الظاهرية وتكوين عناوين IP للضيف، لذلك، قم بتكوين إستضافة التطبيقات باستخدام تكوين بطاقة واجهة الشبكة (VNIC).
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
الخطوة 4 (اختيارية). تكوين ملف تعريف المورد.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
الخطوة 5. انسخ ملف برنامج محرك UTD Snort IPS إلى ذاكرة الفلاش الخاصة بالموجه، ثم قم بتثبيت إستضافة التطبيق باستخدام ملف UTD.tar كما يلي.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
يجب ملاحظة syslog التالية التي تشير إلى تثبيت خدمة UTD بشكل صحيح.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
الخطوة 6. بدء تشغيل خدمة إستضافة التطبيقات.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
يجب ملاحظة رسائل syslog التالية التي تشير إلى تثبيت خدمة UTD بشكل صحيح.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
تكوين محرك UTD Snort كIPS أو IDS
بعد التثبيت الناجح، يجب تكوين مستوى الخدمة لمحرك شخير UTD. يمكن تكوين محرك UTD للتنفس كنظام لمنع الاقتحام (IPS) أو كنظام اكتشاف الاقتحام (IDS) لفحص حركة المرور.
الخطوة 1. تكوين المحرك القياسي للدفاع عن التهديد الموحد (UTD) (مستوى الخدمة)
Router#configure terminal
Router(config)#utd engine standard
الخطوة 2. قم بتمكين تسجيل محرك UTD snort إلى خادم بعيد وإلى syslog ل IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
ملاحظة: يراقب UTD snort IPS حركة مرور البيانات ويبلغ الأحداث إلى خادم سجل خارجي أو syslog IOS. قد يؤثر تمكين التسجيل إلى syslog IOS على الأداء بسبب الحجم المحتمل لرسائل السجل. يمكن إستخدام أدوات المراقبة الخارجية التابعة لجهة خارجية، والتي تدعم سجلات Snort، لجمع السجلات وتحليلها.
الخطوة 3. قم بتمكين فحص التهديد ل snort engine.
Router(config-utd-eng-std)#threat-inspection
الخطوة 4. قم بتكوين نظام اكتشاف التهديدات (IDS) أو منع التسلل (IPS) كوضع تشغيل لمحرك الشبكة.
Router(config-utd-engstd-insp)#threat [protection,detection]
الخطوة 5. قم بتكوين نهج الأمان لمحرك الشبكة.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
الخطوة 6 (اختيارية). قم بتمكين تكوين القائمة المسموح بها في UTD (Whitelist).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
الخطوة 7 (اختيارية). قم بتكوين معرفات توقيع IPS الشنمية لتضمينها في العالم الأبيض.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
الخطوة 8 (اختيارية). قم بتمكين القائمة المسموح بها في تكوين فحص التهديدات.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
الخطوة 9. قم بتكوين الفاصل الزمني لتحديث التوقيع لتنزيل توقيعات snort تلقائيا.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
الخطوة 10. قم بتكوين معلمات خادم تحديث توقيع محرك UTD snort.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
الخطوة 11. قم بتمكين مستوى تسجيل محرك UTD غير الرسمي وتسجيل إحصائيات تنبيه فحص التهديدات:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
الخطوة 12. قم بتمكين خدمة UTD.
Router#configure terminal
Router(config)#utd
الخطوة 13 (اختيارية). قم بإعادة توجيه حركة مرور البيانات من واجهة VirtualPortGroup إلى خدمة UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
الخطوة 14. قم بتمكين محرك UTD IPS لفحص حركة المرور من جميع واجهات الطبقة 3 على الموجه.
Router(config-utd)#all-interfaces
الخطوة 15. قم بتمكين معيار المحرك.
Router(config-utd)#engine standard
يجب ملاحظة رسائل syslog التالية التي تشير إلى تمكين محرك UTD snort بشكل صحيح:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
الخطوة 16 (اختيارية). تحديد الإجراء لمحرك التطفل باستخدام UTD أثناء الفشل (مستوى بيانات UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
الخطوة 17. احفظ تكوين الموجه.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
مفتش مسح المنفذ لمحرك شخير UTD
يحتوي محرك فحص UTD على إمكانيات مسح المنفذ. مسح المنفذ هو شكل من إستطلاع الشبكة الذي غالبا ما يتم إستخدامه من قبل المهاجمين كمقدمة للهجوم. في مسح المنفذ، يرسل المهاجم الحزم المصممة للتحقيق عن بروتوكولات الشبكة والخدمات على مضيف مستهدف. ومن خلال فحص الحزم التي يتم إرسالها إستجابة بواسطة مضيف، يمكن للمهاجم تحديد المنافذ المفتوحة على المضيف، سواء مباشرة أو عن طريق الاستدلال، وبروتوكولات التطبيق التي يتم تشغيلها على هذه المنافذ.
فالمسح الضوئي للمنفذ في حد ذاته ليس دليلا على وقوع هجوم. قد يستخدم المستخدمون الشرعيون على شبكتك تقنيات مسح مماثلة للمنافذ يستخدمها المهاجمون.
يكتشف مفتش por_scan أربعة أنواع من portscan ويراقب محاولات الاتصال على بروتوكولات TCP و UDP و ICMP و IP. عن طريق الكشف عن أنماط النشاط، يساعدك مفتش Port_scan على تحديد مسوحات المنفذ التي قد تكون ضارة.
تنقسم عمليات مسح المنفذ بشكل عام إلى أربعة أنواع استنادا إلى عدد البيئات المضيفة المستهدفة، وعدد مضيفي المسح الضوئي، وعدد المنافذ التي يتم مسحها ضوئيا.
قواعد مفتش مسح المنفذ
يعرض الجدول 3. أدناه قواعد مفتش مسح المنفذ.
المستويات الحساسة لمسح المنفذ
يوفر Port_scan Controller ثلاثة مستويات افتراضية حساسة للمسح الضوئي لمحرك تشفير UTD:
- High port_scan
- ميزة Low port_scan
- Medium port_scan
تكوين "مراقب مسح المنفذ" ل UTD Snort Engine
الخطوة 1. تكوين المحرك القياسي للدفاع عن التهديد الموحد (UTD) (مستوى الخدمة)
Router#configure terminal
Router(config)#utd engine standard
الخطوة 2. قم بتمكين فحص التهديد لمحرك شخر UTD.
Router(config-utd-eng-std)#threat-inspection
الخطوة 3. ثم قم بتمكين port_scan.
Router(config-utd-engstd-insp)#port-scan
الخطوة 4. قم بتعيين المستوى الحساس ل port_scan، والخيارات المتوفرة عالية أو متوسطة أو منخفضة.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
الخطوة 5. بمجرد تمكين port_scan وتكوينه باستخدام مستوى حساس لمحرك تنسيق UTD، أستخدم الأمر show utd engine standard config" للتحقق من تكوين port_scan.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
التحقق من الصحة
التحقق من حالة عناوين IP والواجهات الخاصة بمجموعة VirtualPortGroup
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
التحقق من تكوين واجهات VirtualPortGroup
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
التحقق من تكوين إستضافة التطبيقات
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
افحص تنشيط اليوكس
Router#show running-config | i iox
iox
التحقق من حالة إستضافة التطبيقات
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
التحقق من تفاصيل إستضافة التطبيقات
قم بإصدار الأمر show app-hosting detail" لتأكيد حالة محرك UTD، وإصدار البرنامج الجاري تشغيله، وذاكرة الوصول العشوائي (RAM)، ووحدة المعالجة المركزية (CPU) واستخدام القرص، وإحصاءات الشبكة وتكوين DNS في موضعه.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
تحقق من إصدار توافق محرك تنسيق UTD، مقابل تشغيل إصدار Router IOS-XE
أستخدم الأمر show utd engine standard version لتأكيد إصدار توافق UTD snort engine، مقابل إصدار موجه IOS-XE الذي يتم تشغيله.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
تحقق من حالة محرك شخير UTD
قم بإصدار الأمر 'show utd engine standard status'، لتأكيد حالة محرك UTD، والحالة في 'green'، والصحة في 'green'، والحالة العامة للنظام في 'green، يشير إلى أن محرك شخير UTD قيد التشغيل.
Router#show utd engine standard status
Engine version : 1.1.11_SV3.1.81.0_XE17.12
Profile : Low
System memory :
Usage : 31.80 %
Status : Green
Number of engines : 1
Engine Running Health Reason
=======================================================
Engine(#1): Yes Green None
=======================================================
Overall system status: Green
Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last failed update time: Wed Sep 3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idleخيار 2. قم بإصدار الأمر show platform software utd global"، للحصول على ملخص موجز عن حالة عملية محرك تنفس UTD.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
تحقق من تكوين محرك تشفير UTD
خيار 1. قم بإصدار الأمر show utd engine standard config" لعرض تفاصيل تكوين محرك UTD، ووضع العملية، ووضع السياسة، وتكوين تحديث التوقيع، وتكوين التسجيل، والنظام الأبيض، وحالة مسح المنفذ.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
خيار 2. قم بإصدار العرض running-config | b محرك أمر أن يعرض UTD شخر محرك يركض تشكيل في مكانه.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
التحقق من حالة تحديث توقيع IPS الخاص بمحرك تشفير UTD
1. قم بإصدار الأمر show utd engine standard فحص حالة تحديث توقيع IPS، للتحقق من حالة تحديث توقيع IPS snort.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. قم بإصدار الأمر utd threat-inspection signature update"، لتنفيذ تحديث يدوي لتوقيع IPS snort باستخدام تكوين الخادم الحالي المطبق على محرك UTD snort لتنزيل التوقيع.
Router#utd threat-inspection signature update
3. قم بإصدار الأمر 'utd threat-inspection signature update server [cisco، url] username xxxxx password xxxx force'، لفرض تحديث توقيع IPS يدويا باستخدام Server prameter المحدد.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
كيفية تأكيد ما إذا كان محرك تنسيق UTD يقوم بفحص حركة المرور
أستخدم أوامر العرض التالية لمراقبة حركة المرور التي تتم معالجتها بواسطة محرك تنسيق UTD ولفحص الإحصائيات المتعلقة بفحص حركة المرور.
الخيار 1. من الناتج التالي show utd engine standard statistics'، تزيد العدادات 'receive' و'analysis'، عندما تتم معالجة حركة المرور بواسطة محرك شخير UTD:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
الخيار 2. من الإخراج التالي "show platform hardware qfp active feature utd stats"، decaps' و'Shift' العداد، عند إعادة توجيه حركة المرور من الموجه إلى محرك تنسيق UTD من أجل فحص حركة المرور وزمن 'encaps' و'Reinject'، عند إعادة توجيه حركة المرور من محرك تنسيق UTD إلى الموجه:
Router#show platform hardware qfp active feature utd stats
Summary Statistics:
Policy
Active Connections 3
TCP Connections Created 83364
UDP Connections Created 532075
ICMP Connections Created 494
Channel Summary
Active Connections 3
decaps 1156574 <------------
encaps 1157144 <------------
Expired Connections 615930
Packet stats - Policy
Pkts dropped pkt 15802
byt 14111880
Pkts entered policy feature pkt 1306750
byt 363602774
Pkts slow path pkt 615933
byt 25317465
Packet stats - Channel Summary
Bypass pkt 25368
byt 4459074
Divert pkt 1157144 <------------
byt 301046050
Reinject pkt 1156574 <------------
byt 301015446
Would Drop Statistics (fail-open):
Policy
TCP SYN w/data packet 15802
Channel Summary
Stats were all zero
General Statistics:
Non Diverted Pkts to/from divert interface 2725
Inspection skipped - UTD policy not applicable 111161
Pkts Skipped - New pkt from RP 33139
Response Packet Seen 64766
Feature memory allocations 615933
Feature memory free 615930
Feature Object Delete 615930
Skipped - First-in-flow RST packets of a TCP flow 55
Diversion Statistics Summary:
SN offloaded flow 3282
Flows Bypassed as SN Unhealthy 25368
Service Node Statistics:
SN down 1
SN health green 13
SN health red 12
SN Health: Channel: Threat Defense : Green
AppNAV registration 2
AppNAV deregister 1
SN Health: Channel: Service : Down
Stats were all zero
TLS Decryption policy not enabled
Appnav Statistics:
No FO Drop pkt 0
byt 0الخيار 3. من الناتج التالي show utd engine standard statistics internal'، تزداد العدادات 'receive' و'analysis'، عند إعادة توجيه حركة المرور من الموجه إلى محرك UTD snort لفحص حركة المرور. وعلاوة على ذلك، سيعرض هذا الناتج مزيدا من التفاصيل والإحصائيات عن حركة المرور التي تم فحصها من قبل محرك شخير UTD:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
كيفية تأكيد ما إذا كان محرك شخير UTD قد قام بتشغيل توقيع شخير IPS
أستخدم أوامر العرض التالية لمراقبة توقيعات IPS التي تم تشغيلها وأحداث IPS/IDS التي تم إنشاؤها وعناوين IP المعنية بالمصدر والوجهة.
خيار 1. أستخدم الأمر show utd engine standard logging events [threat-inspection]'، للبحث عن أحداث IPS/IDS:
Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10الخيار 2. أستخدم الأمر show utd engine standard logging statistics threat-inspection"، للبحث عن أفضل توقيعات شفرات IPS التي تم تشغيلها في ال 24 ساعة الماضية وعدد المرات التي تم فيها تشغيل كل توقيع:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
الخيار 3. أستخدم الأمر show utd engine standard logging statistics inspection detail"، للبحث عن أفضل توقيعات شفرات IPS التي تم تشغيلها في ال 24 ساعة الماضية، وعدد المرات التي تم فيها تشغيل كل توقيع وعناوين IP للمصدر والوجهة التي قامت بتشغيل التوقيع:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
الخيار 4. يراقب محرك تنسيق UTD حركة مرور البيانات ويبلغ الأحداث إلى خادم سجل خارجي أو syslog ل IOS. قد يؤثر تمكين التسجيل إلى syslog IOS على الأداء بسبب الحجم المحتمل لرسائل السجل. يمكن إستخدام أدوات المراقبة الخارجية التابعة لجهة خارجية، والتي تدعم سجلات Snort، لجمع السجلات وتحليلها.
عندما يقوم محرك الشبكة الرقمية (UTD) بإنشاء حدث IPS/IDS، سيقوم الموجه بعرض رسالة syslog مثل ما يلي:
Router#
*Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184عندما يتم تكوين محرك UTD snort لإرسال السجلات إلى خادم syslog خارجي، فيجب أن ترى سجلات محرك UTD snort في خادم syslog البعيد كما يلي:
كيفية عرض توقيعات تشفير IPS النشطة
أستخدم الأوامر التالية لعرض توقيعات شعاع IPS النشطة والإفلات والتنبيه لمحرك شخر UTD، بناء على تكوين النهج المستخدم (متوازن أو اتصال أو أمان).
الخيار 1. قم بالمتابعة كما يلي لعرض قائمة توقيعات شفرات IPS النشطة لنهج الأمان.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_security
Router#more bootflash:siglist_security
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity,
Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]الخيار 2. قم بالمتابعة كما يلي لعرض قائمة توقيعات شفرات IPS النشطة لنهج الاتصال.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Connectivity
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation,
Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]الخيار 3. قم بالمتابعة كما يلي لعرض قائمة توقيعات IPS النشطة للنهج المتوازن.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Balanced
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]استكشاف الأخطاء وإصلاحها
1. تأكد من أن موجه الخدمات المدمجة (ISR) من Cisco يشغل الإصدار XE 16.10.1a والإصدارات الأعلى (لطريقة IOx).
2. تأكد من ترخيص موجه الخدمات المتكاملة (ISR) من Cisco باستخدام ميزة SecurityTyk9 الممكنة.
3. تأكد من أن طراز أجهزة ISR متوافق مع الحد الأدنى لملف تعريف الموارد.
4. لا يتوافق محرك UTD snort مع ملف تعريف إرتباط SYN لجدار الحماية المستند إلى المنطقة وترجمة عنوان الشبكة 64 (NAT64)
5. تأكد من بدء تشغيل خدمة محرك UTD snort بعد التثبيت.
6. أثناء تنزيل حزمة التوقيع اليدوي، تأكد من أن الحزمة لها نفس إصدار محرك snort. قد يفشل تحديث حزمة التوقيع في حالة عدم تطابق الإصدار.
7. في حالة حدوث مشاكل في الأداء، أستخدم عرض مورد إستضافة التطبيقات" و'إظهار التطبيق ''UTD-NAME'' لاستخدام إستضافة التطبيقات للتحقق من وحدة المعالجة المركزية UTD والذاكرة ومساحة التخزين.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
تصحيح الأخطاء
لأغراض أستكشاف الأخطاء وإصلاحها، أستخدم أوامر تصحيح الأخطاء المدرجة أدناه لجمع مزيد من التفاصيل من محرك تصحيح الأخطاء وإصلاحها (UTD).
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
تحذير: يمكن أن يؤدي تشغيل أوامر تصحيح الأخطاء أثناء ساعات الإنتاج إلى زيادة وحدة المعالجة المركزية (CPU) أو الذاكرة أو إستخدام القرص بشكل ملحوظ على محرك وحدة التحكم بالموجه (UTD)، مما قد يؤثر على حركة مرور البيانات واستقرار النظام. أستخدم أوامر تصحيح الأخطاء بشكل قليل، ويفضل أن يكون ذلك أثناء نافذة الصيانة، وقم بتعطيلها فورا بعد تجميع البيانات المطلوبة. إذا تم ملاحظة إستخدام موارد مرتفع أو تأثير خدمة، فقم بإيقاف تصحيح الأخطاء والاتصال ب Cisco TAC.
معلومات ذات صلة
يمكن العثور على الوثائق الإضافية المتعلقة بنشر UTD Snort IPS هنا:
دليل تكوين أمان Cisco Snort IPS
ملف تعريف موارد الخدمة الظاهرية ل ISR4K و CSR1000V من Cisco
بروتوكول IPS على الموجهات - التكوين خطوة بخطوة
دليل Cisco - أستكشاف أخطاء IPS وإصلاحها
دليل مرجع مفتش مسح المنفذ snort Port-Scan
صفحة الويب الخاصة بنظام منع التسلل إلى المصادر المفتوحة (IPS)
تثبيت الصورة الظاهرية لأمان UTD على موجهات cEdge
لا يتم نشر CSCwf57595 ISR4K Snort IPS نظرا لأن HW ليس لديه موارد كافية لمنصات العمل
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
17-Sep-2025
|
الإصدار الأولي |
1.0 |
11-Jul-2023
|
الإصدار الأولي |
التعليقات