تكوين مستشعر Cisco Secure IDS في CSPM

خيارات التنزيل

PDF (858.5 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (779.7 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (1.0 MB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٩ يناير ٢٠٠٦

معرّف المستند:6117

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الاصطلاحات

التكوين

تحديد الشبكة التي يتواجد عليها مضيف CSPM

إضافة مضيف CSPM

إضافة جهاز الاستشعار

تكوين جهاز الاستشعار

معلومات ذات صلة

المقدمة

يشرح هذا المستند الإجراء المستخدم لتكوين مستشعر نظام اكتشاف الاقتحام الآمن (IDS) من Cisco على Cisco Secure Policy Manager (CSPM). يفترض هذا المستند أنك قمت بتثبيت الإصدار 2.3.i من CSPM على جهاز الكمبيوتر الخاص بك. يسمح الإصدار "I" بإدارة أجهزة IDS (أجهزة إستشعار الأجهزة أو موجهات Cisco IOS^® أو خوادم IDS النصلية) في محول Cisco Catalyst^® 6000 switch. يفترض هذا المستند أيضا أن معلمات مكتب البريد IDS معرفة بشكل صحيح. وهذه تشمل HostID، OrgID، Hostname، و OrgName. الرجاء ملاحظة أنه لكي يتصل مضيف CSPM بمستشعر، يجب أن يتطابق ORGID و ORGname مع ما تم تعريفه على المستشعر.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى CSPM 2.3.I والإصدارات الأحدث.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

التكوين

توضح هذه الأقسام العملية المستخدمة لتكوين مستشعر IDS في CSPM.

قم بتشغيل CSPM وسجل الدخول. يظهر قالب فارغ (إطلاق أولي) يتيح لك تعريف الشبكة.

هذه التعريفات الثلاثة مطلوبة في مخطط CSPM لمعرفات المستخدم.

قم بتعريف الشبكة التي توجد فيها واجهة التحكم الخاصة بالمستشعر والشبكة التي يتواجد فيها مضيف CSPM. إذا كانا على الشبكة الفرعية نفسها، فيجب تعريف شبكة واحدة فقط. قم بتعريف هذه الشبكة أولا.
تحديد مضيف CSPM في شبكته. بدون تعريف مضيف CSPM، لا يمكن إدارة المستشعر.
قم بتعريف المستشعر في شبكته.

تحديد الشبكة التي يتواجد عليها مضيف CSPM

أكمل الخطوات التالية:

انقر بزر الماوس الأيمن على رمز الإنترنت في المخطط وحدد جديد > الشبكة لإنشاء شبكة جديدة.
على الجانب الأيمن من لوحة الشبكة، أضف اسم الشبكة الجديدة وعنوان الشبكة وقناع الشبكة الذي سيتم إستخدامه.
انقر فوق الزر عنوان IP، وأدخل عنوان IP لشبكتك التي يستخدمها للوصول إلى الإنترنت.

في العادة تكون العبارة الافتراضية للشبكة.

ملاحظة: عند إدارة أجهزة الاستشعار، لا يلزم بالضرورة أن يكون عنوان البوابة صحيحا نظرا لأن المستشعر لا يرسل معلومات العبارة الافتراضية هذه. يجب تعريفه بالفعل في المستشعر.
وانقر فوق OK. تتم إضافة الشبكة إلى خريطة المخطط دون حدوث أي أخطاء.

إضافة مضيف CSPM

أستخدم هذا الإجراء لإضافة مضيف CSPM.

في مخطط الشبكة، انقر بزر الماوس الأيمن على الشبكة التي أضفتها للتو وحدد جديد > المضيف.

يعرض CSPM شاشة مماثلة لهذا. إذا لم تكن هناك شبكة، فالشبكة التي قمت بتعريفها للتو ليست الشبكة التي يتواجد فيها مضيف CSPM الخاص بك. تحقق من عنوان IP على مضيف CSPM الخاص بك مرة أخرى.
انقر فوق نعم لتثبيت مضيف CSPM في المخطط.
تحقق من صحة المعلومات الموجودة على الشاشة العامة لمضيف CSPM.
انقر فوق موافق على الشاشة العامة لمضيف CSPM.

إضافة جهاز الاستشعار

أستخدم هذا الإجراء لإضافة جهاز الاستشعار.

انقر بزر الماوس الأيمن فوق الشبكة التي يتواجد فيها جهاز الاستشعار وحدد المعالجات > إضافة جهاز إستشعار.

ملاحظة: إذا لم يكن مضيف CSPM وواجهة التحكم الخاصة بالمستشعر لديك في الشبكة نفسها، فحدد الشبكة التي يتواجد فيها المستشعر.
أدخل معلمات مكتب البريد الصحيحة للمستشعر.
انقر فوق التحقق هنا للتحقق من مربع عنوان أداة الاستشعار.

ملاحظة: إذا كانت هذه هي المرة الأولى التي تقوم فيها بإعداد هذا المستشعر، فلن ترغب في التقاط تكوين المستشعر. إذا كنت قد انتهيت من تكوين هذا المستشعر مسبقا في مكان آخر إما عبر مدير UNIX أو مضيف CSPM آخر وأجرت تغييرات في التكوين على توقيعات المستشعرات، فأنت تريد التقاط تكوين المستشعر.
طقطقت بعد ذلك أن يعين التوقيع صيغة على المستشعر. يمكنك أيضا إصدار الأمر nrvers للتحقق من هذا على المستشعر.

ملاحظة: إذا لم يكن ل CSPM إصدار المستشعر الصحيح الذي تقوم بتشغيله على المستشعر الخاص بك، فقم بتحديث التوقيعات على مضيف CSPM الخاص بك. يرجى الاطلاع على تنزيل البرامج (للعملاء المسجلين فقط) للحصول على التحديثات.
انقر فوق الزر التالي للمتابعة.
انقر فوق إنهاء لإكمال تثبيت المستشعر في المخطط.
من القائمة الرئيسية CSPM، حدد ملف > حفظ وتحديث لتجميع المعلومات التي تم إدخالها في المخطط في CSPM. يرجى ملاحظة أن هذه الخطوة ضرورية لبدء بروتوكول مكتب البريد على مضيف CSPM.
تحقق من أن كل شيء يعمل عن طريق تسجيل الدخول إلى جهاز الاستشعار الخاص بك كمستخدم للشبكة.
قم بتنفيذ الأمر nrconns.
```
>nrconns

Connection Status for gacy.rtp

               cspm.rtp Connection 1: 172.18.124.106   45000 1 
               [Established]  sto:0004 with Version 1

netrangr@gacy:/usr/nr

>
```
ملاحظة: إذا لم يكن المستشعر ومضيف CSPM يتواصلان، يظهر إخراج مشابه لهذا بدلا من ذلك:
```
netrangr@gacy:/usr/nr

>nrconns

Connection Status for gacy.rtp

          insane.rtp Connection 1: 172.18.124.194   45000 1 [SynSent]      
          sto:5000  syn NOT rcvd!

               

netrangr@gacy:/usr/nr
```
إن هذا هو الحالة، يحصل sniffer تتبع أن يرى إن كلا جانب يرسل UDP 45000 ربط. UDP 45000 هو ما تستخدمه أجهزة IDS للاتصال ببعضها البعض. لاختبار هذا على المستشعر، su to root و (حسب المستشعر لديك) ينفذ snoop -d iprb1 ميناء 45000 (ل IDS 4210 مستشعر) وsnoop -d iprb0 ميناء 45000 (ل أي نموذج آخر للمستشعر).

أستخدم <control-c>للخروج من جلسة عمل snoop.

يظهر هذا المخرج إذا لم يكن هناك اتصال بين المستشعر و CSPM:
```
netrangr@gacy:/usr/nr

>su -

Password:

Sun Microsystems Inc.   SunOS 5.8       Generic February 2000

# snoop -d spwr0 port 45000

Using device /dev/spwr (promiscuous mode)

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

^C#
```
في الإخراج أعلاه، يرسل المستشعر حزم UDP 45000، ولكنه لا يستلم أي. ينتج التكوين الصحيح مخرجات مماثلة لهذا:
```
# snoop -d spwr0 port 45000

Using device /dev/iprb (promiscuous mode)

172.18.124.106 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56

172.18.124.142 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
```
وفي الناتج المذكور أعلاه، تسير حركة مرور UDP 45000 في كلا الاتجاهين.

إذا كانت حزم UDP 45000 تتدفق في كلا الاتجاهين وكان إخراج الشبكات على المستشعر لا يزال يقول إنه لا يوجد اتصال تم إنشاؤه، فإن معلمات PostOffice على المستشعر ومضيف CSPM لا تتطابق.

للتحقق يدويا من معلمات مكتب البريد الموجودة على مضيف CSPM:
1. أستخدم "مستكشف Windows" للتنقل إلى المكان الذي تم تثبيت CSPM فيه على جهاز NT.
2. قم بتحرير ملفات المضيف والتوجيه والمؤسسات باستخدام Write أو Wordpad (لا تستخدم Notepad لأن التنسيق سيكون تالفا).
3. تأكد من أن هذه الملفات تبدو صحيحة للتثبيت. إذا لم تكن أي من القيم صحيحة، قم بتحريرها وأعد تشغيل جهاز كمبيوتر NT باستخدام الخطوات التالية:
  1. انقر على رمز CSPM في مخطط الشبكة.
  2. انقر فوق علامة التبويب "توزيع النهج" لإدخال معلمات مكتب البريد.
  3. حفظ التغييرات وتحديثها.
  4. أعد تشغيل جهاز كمبيوتر NT.

تكوين جهاز الاستشعار

بعد حفظ التكوين في CSPM، قم بتكوين المستشعر. للقيام بذلك، قم أولا بتعيين المستشعر لكتابة الإنذارات التي يراها في سجله الخاص. ثم قم بتعيين "المستشعر" على "sniff" على الواجهة الصحيحة.

كتابة تنبيهات إلى السجل

أستخدم هذا الإجراء لكتابة الإنذارات إلى السجل.

انقر فوق مربع إنشاء ملفات سجل أحداث التدقيق لإخبار المستشعر بإرسال التنبيهات إلى سجلاته المحلية.

كما أنها ترسل تنبيهات إلى مربع CSPM بشكل افتراضي بعد دفع تكوين ما لأسفل إليه.
انقر فوق موافق" للمتابعة.

تعيين المستشعر على "sniff"

أستخدم هذا الإجراء لتعيين المستشعر على "sniff".

حدد المستشعر في مخطط CSPM الخاص بك وانقر فوق علامة تبويب الاستشعار.
تعريف جهاز التقاط الحزمة:
- iprb0 - لمستشعر IDS 4210
- spwr0 - لأي طراز مستشعر آخر
انقر فوق موافق" للمتابعة.
انقر فوق رمز التحديث في شريط قائمة CSPM لتحديث CSPM بالمعلومات.

ملاحظة: إذا سار كل شيء على ما يرام، تظهر شاشة مماثلة. لاحظ أنه لا توجد أخطاء حمراء. التحذيرات الصفراء عادة ما تكون موافق.
حدد المستشعر في مخطط الشبكة وانقر فوق علامة التبويب "أمر" لإرسال التكوين المحدث إلى المستشعر.
انقر فوق الزر موافقة الآن لإرسال التكوين إلى المستشعر.

يعرض جزء الحالة الرسالة "تحميل <#> مكتمل". وهذا يشير إلى عملية نقل صحيحة وكاملة. تم تحديث "المستشعر" الآن ويجب تشغيله الآن بشكل طبيعي.

إذا لم يكن المستشعر يعمل بشكل طبيعي، فارجع إلى المستشعر وفحص إخراج الأمر nrconns للتأكد من إنشاء الاتصال بين مضيف CSPM والمستشعر.

بعد اكتمال هذا الإجراء، يمكنك البحث عن تنبيهات يرسلها المستشعر إلى مضيف CSPM في عارض الأحداث. لعرض عارض الأحداث، من قائمة CSPM الرئيسية حدد أدوات > عرض أحداث المستشعر > قاعدة البيانات.

انقر فوق موافق لعرض نافذة قاعدة بيانات الأحداث. ستختلف شاشتك حسب الإنذارات التي قد تتلقاها.