يحتوي هذا المستند على الأسئلة المتداولة (FAQs) حول نظام اكتشاف الاقتحام الآمن (IDS) من Cisco، المعروف سابقا باسم NetRanger، الإصدارات 3.1 والإصدارات الأقدم.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
أ. راجع المجموعة الكاملة لوثائق المنتج للحصول على مزيد من المعلومات حول معرفات Cisco الآمنة.
أ. عليك ترقية توقيعات النظام الأساسي "للمستشعر" و"الإدارة" بشكل منفصل. لاحظ أن برنامج الإدارة غير قادر على التعرف على التوقيعات من المستشعر، لذا يجب تحديثه أيضا. قم بتنزيل ملف تحديث التوقيع الأحدث لكل تطبيق من Cisco Secure Downloads ( العملاء المسجلون فقط). تحتوي ملفات القراءة المتوفرة في نفس الموقع على إرشادات لإجراء الترقية.
أ. تتوفر قائمة توقيعات المعرفات من خلال موسوعة Cisco الآمنة ( العملاء المسجلون فقط).
أ. في المستشعر المستقل لنظام UNIX وبرنامج إدارة IDS، كلمة المرور الافتراضية هي "هجوم" للمستخدمين عبر الإنترنت وroot. عند إصدار الأمر su ليصبح المستخدم الجذري، تكون كلمة المرور الافتراضية هي "هجوم." في الخادم النصلي لوحدة نظام اكتشاف الاقتحام (IDSM)، كلمة المرور الافتراضية هي "هجوم" لاسم المستخدم CiscoIDs.
a. تحتاج إلى خادم FTP محلي حتى يمكنك تحميل التكوينات.
- أدخل هذا الأمر من وضع diag على الخادم النصلي.
report systemstatus siteuser dir - اكتب y للمتابعة عند الطلب "متابعة إنشاء تقرير النظام؟ ".
- اكتب كلمة مرور FTP الخاصة بالمستخدم المحدد عند مطالبتك بذلك. عند اكتمال العملية، تتلقى رسالة تشير إلى ما إذا فشلت العملية أو إذا تم إرسال الملف.
أ. يمكن العثور على سجلات التثبيت/التحديث في هذه المواقع:
توجد سجلات تثبيت المدير في /var/adm/nrInstall.log.
توجد سجلات تحديث Sensor Service Pack في /usr/nr/sp-update/.
توجد سجلات تحديث التوقيع في /usr/nr/sig-update/.
أ. المعرفات متاحة فقط ل PIX 6.0 والإصدارات الأحدث. تحتوي التوقيعات على رسائل syslog من 400000 إلى 400051، ويشار إليها باسم رسائل توقيع معرفات الأمان من Cisco. ارجع إلى وثائق رسائل سجل نظام PIX للحصول على مزيد من المعلومات حول كل توقيع.
أ. قم بالتسجيل للحصول على إخطارات التحديث النشطة لمعرف Cisco IDS لتلقي تنبيهات عبر البريد الإلكتروني لأخبار المنتج المتعلقة بمعرفات Cisco الآمنة.
a. قبل الإصدار 3.1، تكون خيارات الإدارة هي إستخدام مدير السياسة الآمنة (CSPM) من Cisco أو مدير UNIX. يكمن الاختلاف الرئيسي بين الطرازين في تشغيل CSPM كتطبيق مستقل على خادم Windows، بينما يعمل مدير UNIX فوق OpenView من HP على خادم UNIX Solaris. باستخدام IDS 3.1، يمكن أيضا إدارة أجهزة الاستشعار من خلال عارض أحداث IDS (IEV) المثبت على جهاز الكمبيوتر أو باستخدام مدير أجهزة IDS، والذي هو جزء من مستشعر الإصدار 3.1. يتم تمكين "إدارة الأجهزة" بشكل افتراضي باستخدام طبقة مأخذ التوصيل الآمنة (SSL) بعد إعداد المستشعر.
ألف - برنامج SDK غير متاح للجمهور.
ألف - يقدم الإصدار 4.0 عدة ميزات جديدة. الميزة الجديدة الأكثر وضوحا هي واجهة سطر الأوامر (CLI) مماثلة ل Cisco IOS®.
أ. الإعداد الثابت للسرعة/الإرسال ثنائي الإتجاه في 3.x و 4.0 رمز غير مدعوم وهناك خطأ مقابل طلب الميزة (معرف تصحيح الأخطاء من Cisco CSCdy43054 ( العملاء المسجلون فقط). تتوفر الميزة في الرمز 5.0، والذي يتوفر الآن في تكوين الواجهات.
أ. يمكن للعملاء تنزيل ملف التحديث للإصدار 3.1 من Cisco Secure Downloads ( للعملاء المسجلين فقط).
أ. يمكن للعملاء تنزيل ملف التحديث للإصدار 3.0 من Cisco Secure Downloads ( للعملاء المسجلين فقط). قم بتثبيت تحديث البرنامج بنفس الطريقة التي يتم بها تثبيت تحديثات مجموعة الخدمة والتوقيع في الإصدار 2.5. يتم وصف الإجراء بالتفصيل في مذكرة تكوين مستشعر Cisco IDS، الإصدار 3.0.
a. يمكن تنزيل ملف الترقية 3.0 من تنزيلات Cisco الآمنة ( العملاء المسجلون فقط)، ولكن هذا الملف غير قادر على تحديث الإصدارات قبل 2.5. يجب إستخدام القرص المضغوط الخاص بالتحديث/الاسترداد المتوفر من خلال أداة ترقية المنتج ( العملاء المسجلون فقط) للترقية من الإصدار 2.2 إلى 3.0. رقم الجزء لهذا القرص المضغوط هو IDS-SW-U.
ملاحظة: يجب أن يكون لديك عقد دعم صالح لطلب القرص المضغوط الخاص بالترقية/الاسترداد.
أ. تأكد من أنك تستخدم لوحة مفاتيح وشاشة مدعومين. لا تتوافق بعض العلامات التجارية والطرز مع معرفات Cisco الآمنة وتمنع مستشعر IDS من التمهيد بشكل صحيح. ارجع إلى فشل تمهيد جهاز المعرفات الآمنة من Cisco للحصول على تفاصيل العلامة التجارية المحددة.
ألف - يحتوي كل ملف من هذه الملفات على مجموعة محددة من تحديثات البرامج أو إضافاتها، على النحو المبين في اصطلاحات التسمية الموضحة هنا.
يحتوي تحديث حزمة الخدمة لبرنامج جهاز مستشعر IDS على تحسين لبرنامج تطبيق IDS Sensor core بالإضافة إلى إصلاح الأخطاء. على سبيل المثال، يتضمن ملف باسم IDSk9-SP-3.0-5-S17.bin تحديثات لإصدار البرنامج 3.0(5) بالإضافة إلى مجموعة التوقيع رقم 17.
يحتوي ملف تحديث التوقيع على تحديثات التواقيع فقط (بصمات الأصابع الهجومية). على سبيل المثال، يحتوي ملف باسم IDSk9-sig-3.0-5-S18.bin على رقم مجموعة توقيع 18 لبرنامج المستشعر 3.0(5).
يمكن للعملاء تنزيل هذه الملفات من موقع التنزيلات الآمنة من Cisco ( العملاء المسجلون فقط).
أ. سجل الدخول إلى المستشعر كشبكة مستخدم ونفذ هذا الأمر:
nrgetbulk
يجب أن تتلقى إستجابة مماثلة ل <IP_ADDRESS>Active، التي تظهر عنوان IP الخاص بجهاز الرفض المستخدم لحظر الهجمات. يعرض هذا الإخراج مثالا على صياغة الأمر والاستجابة المتوقعة:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active Successيمكنك أيضا تسجيل الدخول إلى الموجه وإصدار الأمر WHO لمعرفة ما إذا كان المستشعر قد سجل الدخول.
أ. تشير رسالة الخطأ هذه إلى وجود مشاكل محتملة في ملفات /usr/nr/etc/route و/أو /usr/nr/etc/host على جهاز الاستشعار. يعرض الأمر.../route files تعرف الاتصالات التي تم تعيينها مؤقتا بين "المستشعر" و"المدير". يعرض الأمر.../hosts files تعرف الأسماء وعناوين IP لأجهزة الاستشعار والمخرجين.
يمكنك أيضا تسجيل الدخول كجذر مستخدم، وتشغيل الأمر sysconfig-sensor، وإدخال معلومات البنية الأساسية لاتصالات IDS مرة أخرى.
أ. راجع نسخ ملفات سجل IP لعرضها للحصول على مزيد من المعلومات حول هذا الإجراء.
أ. Configd هو البرنامج الذي يقوم بمعالجة جميع الأوامر على كل من مديري UNIX وكذلك أجهزة الاستشعار في قاعدة الترميز 2.2.x. في قاعدة الرموز 2.5 و 3.0، تم امتصاص هذه الوظيفة في البرامج الأخرى ولم يعد البرنامج الخفي الذي تم تكوينه موجودا.
أ. قم بتحرير ملف /usr/nr/etc/daemons على المستشعر لضمان أن nr.packetD موجود في قائمة الأجهزة المساعدة. ثم قم بإيقاف تشغيل الخدمات.
a. ال control قارن على الأعلى iprb1:، وال sniffing قارن على القاع iprb0:.
a. يجب أن يعرض الأمر ifconfig واجهة التحكم فقط. الآخر قارن (ال sniffing قارن) بعد استعملت بالمستشعر، غير أن المستعمل لا يفترض أن يكون قادر أن يراها. إذا كنت بحاجة إلى رؤية هذه الواجهة، فقم بتسجيل الدخول كجذر وأصدر الأمر ifconfig -a لتحديد أسماء الواجهة. قم بإصدار الأمر ifconfig <interface>plumb للتحقق من حالة واجهة معينة.
أ. يجب ألا يكون الترميز الثابت لسرعة الواجهة على المستشعر ضروريا ولا يدعمه دعم Cisco التقني. إذا تم تعيين المحول التفاوض التلقائي، فإن الواجهة تتفاوض على السرعة مع المحول الذي ترتبط به. حركة المرور من الشبكة إلى المستشعر أحادية الإتجاه (بمعنى أن المستشعر يستلم). لذلك، يكون مناسبا بشكل عام إذا أظهر المحول أن 100 half-duplex تم التفاوض عليه (افتراض أن منفذ المحول هو 100 م).
أ. نعم، ولكن يجب ترقية برنامج Director إلى الإصدار 2.2.3 أو إصدار أحدث. يمكن للعملاء المسجلين تنزيل هذه الملفات من Cisco Secure Downloads ( العملاء المسجلون فقط).
a. أصدرت cat /usr/nr/version أمر وفحصت الإصدار رقم أن الإنتاج يحتوي.
ملاحظة: يخبرك إخراج الأمر NRVER على المدير بإصدار الأوامر التي تعمل على المدير، ولكنه لا يخبرك بإصدار برنامج Director نفسه.
أ. سجل الدخول كشبكة مستخدم وقم بتنفيذ الأمر /usr/nr/bin/director/nrCollectInfo لإرسال معلومات التكوين إلى ملف باسم /usr/nr/var/tmp/Report_For_Director.html.
أ. إذا تم إغراق مدير IDS بالأخطاء وتعذر عليه عرضها كلها، فإنه يبدأ في التخزين المؤقت لملف. قم بإيقاف ملفات تعريف IDS وإنهاء أي خرائط OpenView التي قمت بفتحها للتخلص من الملف. احذف الملف /usr/nr/var/nrDirmap.buffer.default، ثم أعد تشغيل برنامج IDS والخريطة OpenView.
أ. في إصدارات IDS قبل 2.2.2، أسهل شيء للقيام به هو مسح قاعدة بيانات OpenView. توجد قاعدة البيانات في /var/opt/ov/share/database/openView. أكمل الخطوات التالية لحذف قاعدة بيانات OpenView.
- قم بإغلاق جميع خرائط OpenView باستخدام الأمر ovstop، ثم قم بإيقاف خدمات IDS باستخدام الأمر nrstop.
- قم بتسجيل الدخول كجذر وإصدار للمستخدم /usr/nr/bin/director/nrDeleteOVwDb.
- قم بإزالة كافة الملفات "error.*" الموجودة في الدليل /usr/nr/var (على سبيل المثال، errors.configd).
- قم بإعادة تشغيل الخدمات باستخدام الأمر nrstart، ثم قم بإعادة تشغيل OpenView باستخدام الأمر ovstart.
ملاحظة: في الإصدار 2.2.2 من Director، يمكنك إزالة جزء IDS فقط من قاعدة بيانات OpenView بدلا من قاعدة البيانات بأكملها. ويتم وصف هذا الإجراء في دليل تكوين مدير IDS.
أ. قم بتنفيذ هذا الأمر.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesتأكد من امتلاك شبكة المستخدم للملفات، ثم أعد تشغيل خدمات IDS.
a. المشكلة يقع لأن nrConfigure يرى العملية ربط في المدير مبرد (أي لا ينبغي هو). عندما يستعلم NrConfigure المدير عن إصداره كما لو كان مستشعر، لا يمكن للمدير الاستجابة باستخدام إصدار مستشعر.
أتمت هذا steps أن يحل هذا إصدار.
- قم بتحرير ملف /usr/nr/etc/daemons وأزال الإدخالات ل nr.packetD و nr.sensord و nr.managed، نظرا لأن هذه العمليات يجب أن تعمل فقط على المستشعر.
- قم بإيقاف الخدمات باستخدام الأمر nrstop، ثم قم بإعادة تشغيل الخدمات باستخدام الأمر nrstart.
- تأكد من إيقاف تشغيل NRconfigure.
- بدء تشغيل OpenView باستخدام الأمر ovw.
- حدد تأمين > متقدم > nrConfigure DB > حذف لحذف قاعدة بيانات nrConfigure التالفة.
- أدخل نعم عند الطلب للمتابعة.
- قم بتمييز المدير وجميع أجهزة الاستشعار الخاصة بك في نافذة OpenView الرئيسية.
- حدد تأمين > متقدم > nrConfigure DB>إنشاء لإنشاء قاعدة بيانات nrConfigure جديدة باستخدام إصدارات التكوين الحالية من الأجهزة.
أ. يمكن للمستخدمين الذين يقومون بتشغيل تطبيق IDS على مدير UNIX أيضا تشغيل تطبيقات أخرى على OpenView. ولا ينصح بذلك، ولكن لا يمكن تجنبه في بعض الحالات. المشكلة هي أن NRDIRMAP يتم تمكينها بشكل افتراضي لكل خريطة OpenView، وهو أمر غير مرغوب فيه عند تشغيل تطبيقات أخرى على OpenView.
أتمت هذا steps على ال UNIX Director أن يغير التقصير لذلك أنت يستطيع أخترت أي خرائط يتلقى NRDIRMAP يمكن على هم.
- تسجيل الدخول كشبكة مستخدم.
- اكتب cd$ov_register/C. (OV_REGISTER هو جزء من المتغير البيئي الخاص بك. المسار المعتاد هو /etc/opt/ov/share/register/c.)
- اكتب su root.
- قم بتحرير ملف الخريطة النقطية وتغيير سطر "الأمر" كما يوضح هذا الإخراج:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- قم بحفظ ملف الخريطة الرقمية.
- إعادة تدوير OpenView. الآن، عندما يتم إحضار خريطة باستخدام الأمر OVW، تكتب ps -ef |خريطة GREP ينبغي أن ينتج مخرجات مماثلة لتلك الموضحة هنا. لاحظ الخريطة الرقمية باستخدام المحول -d.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dلا تحتوي الخرائط الجديدة التي تم إنشاؤها في OpenView الآن على NRdirMap ممكن بشكل افتراضي. إذا كنت ترغب في إنشاء خريطة مع تثبيت الخريطة، يجب أن تقوم بذلك من واجهة المستخدم الرسومية OpenView، كما يوضح هذا الإجراء.
- من قائمة OpenView الرئيسية، أختر خريطة > جديد وأدخل اسم للخريطة الجديدة.
- تحت التطبيقات القابلة للتكوين، يجب أن ترى NetRanger/Director. أخترت NetRanger/Director وطقطقة يشكل ل هذا خريطة.
- للخيار الذي يقول "هل يجب تمكين خريطة الموارد لهذه الخريطة؟ "، أختر صحيح إذا كنت تريد تمكين خريطة الموارد.
- أخترت دققت وطقطقة ok.
أ. تم تغيير مستويات الخطورة في الإصدار 2.2.3 من المدير لدعم النطاق من 1 إلى 5 فقط.
أ. الإصدار 2.3i من CSPM حاليا هو الإصدار الذي يمكنه إدارة مستشعر IDS، في حين لا يمكن CSPM 3.0. إذا كنت تستخدم CSPM لإدارة المستشعر وأجهزة Cisco الآمنة الأخرى (مثل PIXs، الموجهات)، فيجب تثبيت الإصدارين المختلفين ل CSPM (2.3i و 3.x) على خادمين Windows منفصلين. يمكنك إستخدام كل خادم لإدارة الأجهزة المقابلة: CSPM 2.3i لأجهزة الاستشعار و CSPM 3.x لأجهزة PIX والموجهات وما إلى ذلك.
a. راجع تكوين مستشعر Cisco Secure IDS في CSPM للحصول على مزيد من المعلومات حول كيفية تكوين CSPM لإدارة مستشعر IDS لديك وضمان عمل الاتصال.
أ. يتضمن الضبط تغيير ما يتطلبه الأمر لإطلاق التوقيع (مثل عدد البيئات المضيفة في عملية مسح) ولا يعني تحديد الإجراءات ومستويات الخطورة.
يتعذر على CSPM (في أي إصدار) ضبط توقيعات الجهاز. يمكن فقط أن تحدد أفعال التوقيع ومراحله. بمعنى آخر، يمكن ل CSPM تعيين الخطورة وأي إجراء للاقتران بالتوقيع ولكن لا يمكن تعيين ما يطلق ذلك التوقيع. يجب إستخدام قائمة SigWizMenu الموجودة على جهاز الاستشعار لضبط أجهزة الاستشعار. يمكن إستخدام كل من SigWizMenu و CSPM لتكوين المستشعر نفسه نظرا لأنهما يؤثران على أجزاء مختلفة من التكوين.
ملاحظة: إذا كنت تستخدم الإصدار 2.2.3 من مدير UNIX أو إصدار أحدث، فإن الأداة المساعدة nrConfigure قادرة على تكوين كل شيء تقوم SigWizMenu بتكوينه. بعد الترقية إلى 2.2.3، يجب إستخدام nrConfigure بدلا من SigWizMenu لضبط التوقيعات.