In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Bereitstellung der UTD Snort IPS Engine auf den Cisco Integrated Services Routern der Serien ISR1K, ISR4K, CSRs und ISRv mit der IOx-Methode beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die VMAN-Methode ist inzwischen veraltet.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Die Unified Threat Defense (UTD) Snort IPS-Funktion aktiviert das Intrusion Prevention System (IPS) oder das Intrusion Detection System (IDS) für Zweigstellen der Cisco Integrated Services Router der Serien ISR1K, ISR4K, CSRs und ISRv. Diese Funktion verwendet Open-Source Snort, um IPS- oder IDS-Funktionen zu aktivieren.
Snort ist ein Open-Source-IPS, das Datenverkehrsanalysen in Echtzeit durchführt und Warnmeldungen generiert, wenn in IP-Netzwerken Bedrohungen erkannt werden. Sie kann außerdem Protokollanalysen durchführen, Inhalte recherchieren oder marschieren und eine Vielzahl von Angriffen und Tests erkennen, z. B. Pufferüberläufe, Stealth-Port-Scans usw. Die UTD Snort Engine wird als virtueller Container-Service auf den Cisco Integrated Services Routern der Serien ISR1K, ISR4K, CSRs und ISRv ausgeführt.
Das UTD Snort IPS bietet IPS- oder IDS-Funktionen für die Cisco Integrated Services Router der Serien ISR1K, ISR4K, CSRs und ISRv.
Abhängig von den Netzwerkanforderungen UTD Snort IPS kann als IPS oder IDS aktiviert werden:
Das UTD Snort IPS wird als Service auf den Routern der Serien ISR1K, ISR4K, CSRs und ISRv ausgeführt. Servicecontainer nutzen Virtualisierungstechnologie, um eine Hosting-Umgebung für Anwendungen auf Cisco Geräten bereitzustellen. Snort Traffic Inspection ist entweder schnittstellenbasiert oder global auf allen unterstützten Schnittstellen aktiviert.
Die UTD-Snort-Engine IPS-Lösung besteht aus den folgenden Einheiten:
Snort-Sensor - Überwacht den Datenverkehr, um Anomalien basierend auf den konfigurierten Sicherheitsrichtlinien (einschließlich Signaturen, Statistiken, Protokollanalyse usw.) zu erkennen, und sendet Warnmeldungen an den Alert/Reporting-Server. Der Snort-Sensor wird als virtueller Container-Service auf dem Router bereitgestellt.
Signaturspeicher: Hosts für die Cisco Signaturpakete, die regelmäßig aktualisiert werden. Diese Signaturpakete werden entweder regelmäßig oder bei Bedarf auf Snort-Sensoren heruntergeladen. Validierte Signaturpakete werden unter Cisco.com bereitgestellt. Je nach Konfiguration können Signaturpakete von Cisco.com oder von einem lokalen Server heruntergeladen werden.
Der Router greift auf die folgenden Domänen zu, während er das Signaturpaket von cisco.com herunterlädt:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Signaturpakete müssen manuell von Cisco.com mit den Anmeldeinformationen Cisco.com auf den lokalen Server heruntergeladen werden, bevor der Snort-Sensor sie abrufen kann.
Alert/Reporting-Server — Empfängt Warnungsereignisse vom Snort-Sensor. Die vom Snort-Sensor generierten Warnungsereignisse können entweder an das IOS-Syslog oder einen externen Syslog-Server oder sowohl an das IOS-Syslog als auch an den externen Syslog-Server gesendet werden. Mit der Snort IPS-Lösung sind keine externen Protokollserver im Paket erhältlich.
Management - Verwaltet die Snort IPS-Lösung. Die Verwaltung wird über die IOS-CLI konfiguriert. Auf Snort Sensor kann nicht direkt zugegriffen werden, und alle Konfigurationen können nur über die IOS-CLI vorgenommen werden.
Die Lizenzanforderungen für die UTD-Snort-Engine sind wie folgt:
a) Signaturpaket der Community: Das Regelpaket für das Signaturpaket der Community bietet eine begrenzte Abdeckung für Bedrohungen.
b) Subscriber-Based Signature Package (Signaturpaket): Das Subscriber-Based Signature Package (Signaturpaket)-Regelpaket bietet den besten Schutz vor Bedrohungen. Sie deckt Exploits bereits im Voraus ab und bietet den schnellsten Zugriff auf aktualisierte Signaturen, wenn ein Sicherheitsvorfall eintritt oder eine neue Bedrohung proaktiv erkannt wird. Dieses Abonnement wird von Cisco vollständig unterstützt, und das Paket wird kontinuierlich auf Cisco.com aktualisiert.
Das UTD Snort Subscriber Signature Package kann von software.cisco.com heruntergeladen werden. Die Informationen zur Snort-Signatur finden Sie unter snort.org.
Außerdem können Sie das folgende Tool verwenden: snort.org Rule Documentation Search (Suche nach bestimmten IPS-Signatur-IDs für Snort).
Folgende Plattformen werden für die UTD-Snort-Engine unterstützt:
Die folgenden Einschränkungen gelten für die UTD-Snort-Engine:
Die folgenden Einschränkungen gelten für die UTD-Snort-Engine:
Wenn Sie die Boost-Lizenz auf Cisco ISRs der Serie 4000 aktivieren, können Sie den Virtual-Service-Container für Snort IPS nicht konfigurieren.
Inkompatibel mit der zonenbasierten Firewall-SYN-Cookie-Funktion.
Network Address Translation 64 (NAT64) wird nicht unterstützt.
SnortSnmpPlugin ist für das SNMP-Polling in Open Source Snort erforderlich. Snort IPS unterstützt keine SNMP-Polling-Funktionen oder MIBs, da das SnortSnmp-Plug-In nicht auf UTD installiert ist.
Über die folgenden Cisco Links können Sie die UTD Snort IPS Engine Software-Image-Dateien herunterladen, die zur Installation der UTD Snort Engine auf Ihrem Cisco Router verwendet werden. Darüber hinaus finden Sie die UTD Snort Subscriber Signature Package-Dateien zum Herunterladen der UTD snort IPS-Signaturen, abhängig von der UTD snort engine version running.
Anmerkung: Vor der Installation der UTD-Snort-Engine zu berücksichtigende Voraussetzungen: Wenn es sich um einen physischen ISR handelt, muss IOS-XE Version 3.16.1 oder höher ausgeführt werden. Handelt es sich um einen CSR, muss Version 16.3.1 oder höher und ISRv (ENCS) Version 16.8.1 oder höher ausgeführt werden. Für Catalyst 8300 (ab Version 17.3.2), 8200 (ab Version 17.4.1) und 8000V (ab Version 17.4.1).
Anmerkung: Wenn der Benutzer das UTD Snort Subscriber Signature Package manuell von der Download-Software-Seite herunterlädt, muss der Benutzer sicherstellen, dass das Paket dieselbe Version wie die Snort-Engine-Version hat. Wenn die Snort-Engine-Version beispielsweise 2982 ist, sollte der Benutzer dieselbe Version des Signaturpakets herunterladen. Wenn eine Versionskonflikt vorliegt, wird die Aktualisierung des Signaturpakets zurückgewiesen und schlägt fehl.
Anmerkung: Wenn das Signaturpaket aktualisiert wird, wird die Engine neu gestartet, und der Datenverkehr wird unterbrochen oder für einen kurzen Zeitraum umgangen, je nach der Fail-Open-/Fail-Close-Konfiguration der Datenebene.
Schritt 1. Konfigurieren Sie die VirtualPortGroup-Schnittstellen für das UTD-Snort-Modul, und konfigurieren Sie zwei Portgruppen:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Hinweis: Konfigurieren Sie NAT und Routing, die für VirtualPortGroup0 erforderlich sind, damit die UTD-Snort-Engine den externen Syslog-Server sowie cisco.com erreichen kann, um die Signatur-Update-Dateien abzurufen.
Schritt 2: Aktivieren der IOx-Umgebung im globalen Konfigurationsmodus
Router(config)#iox
Schritt 3. Aktivieren Sie dann den virtuellen Dienst, und konfigurieren Sie Gast-IPs. Konfigurieren Sie dazu das App-Hosting mit der vNIC-Konfiguration.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Schritt 4 (optional). Ressourcenprofil konfigurieren.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Anmerkung: Der virtuelle Service der UTD-Snort-Engine unterstützt drei Ressourcenprofile: Niedrig, Mittel und Hoch. Diese Profile geben die CPU- und Speicherressourcen an, die für die Ausführung des virtuellen Diensts erforderlich sind. Sie können eines dieser Ressourcenprofile konfigurieren. Die Ressourcenprofilkonfiguration ist optional. Wenn Sie kein Profil konfigurieren, wird der virtuelle Service mit seinem Standardressourcenprofil aktiviert. Weitere Ressourcenprofildetails finden Sie im Cisco Virtual Service Resource Profile für ISR4K und CSR1000v.
Anmerkung: Diese Option ist für die ISR1K-Serie nicht verfügbar.
Schritt 5. Kopieren Sie die UTD Snort IPS-Modul-Software-Datei in den Router-Flash, dann Installieren Sie die App-Hosting mit der UTD.tar-Datei wie folgt.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Anmerkung: Die UTD-Modulversion wird im UTD-Dateinamen angegeben. Stellen Sie sicher, dass die zu installierende UTD-Modulversion mit der IOS-XE-Version kompatibel ist, die auf dem Cisco Router ausgeführt wird.
Die nächsten Syslogs zeigen an, dass der UTD-Dienst ordnungsgemäß installiert wurde.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Anmerkung: Mit "show app-hosting list" sollte der Status als "Deployed" angezeigt werden.
Schritt 6: Starten Sie den App-Hosting-Dienst.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Anmerkung: Nach dem Start des App-Hosting-Dienstes sollte der App-Hosting-Status auf 'Running' (Wird ausgeführt) lauten. Verwenden Sie 'Show app-hosting list' oder 'show app-hosting detail', um weitere Details anzuzeigen.
Die nächsten Syslog-Meldungen zeigen an, dass der UTD-Dienst ordnungsgemäß installiert wurde.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Nach der erfolgreichen Installation muss die Serviceebene für die UTD-Snort-Engine konfiguriert werden. Die UTD-Snort-Engine kann als Intrusion Prevention System (IPS) oder als Intrusion Detection System (IDS) für die Datenverkehrsanalyse konfiguriert werden.
Warnung: Bestätigen Sie, dass die Lizenzfunktion 'securityk9' auf dem Router aktiviert ist, um mit der UTD-Serviceebenenkonfiguration fortzufahren.
Schritt 1: Konfigurieren der Unified Threat Defense (UTD)-Standard-Engine (Serviceebene)
Router#configure terminal
Router(config)#utd engine standard
Schritt 2: Aktivieren Sie die Protokollierung der UTD-Snort-Engine auf einem Remote-Server und im IOSd-Syslog.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Anmerkung: Das UTD Snort IPS überwacht den Datenverkehr und meldet Ereignisse an einen externen Protokollserver oder das IOS-Syslog. Die Aktivierung der Protokollierung im IOS-Syslog kann sich aufgrund des potenziellen Volumens an Protokollmeldungen auf die Leistung auswirken. Externe Überwachungstools von Drittanbietern, die Snort-Protokolle unterstützen, können zur Protokollsammlung und -analyse verwendet werden.
Schritt 3: Aktivieren Sie die Bedrohungsprüfung für die Snort Engine.
Router(config-utd-eng-std)#threat-inspection
Schritt 4: Konfigurieren Sie Threat Detection (IDS) oder Intrusion Prevention System (IPS) als Betriebsmodus für die Snort-Engine.
Router(config-utd-engstd-insp)#threat [protection,detection]
Anmerkung: Verwenden Sie das Schlüsselwort 'protection' für IPS und 'detection' für den IDS-Modus. Der Standardmodus ist 'Erkennung'.
Schritt 5: Konfigurieren der Sicherheitsrichtlinie für die Snort-Engine
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Anmerkung: Die Standardrichtlinie ist 'balanciert', je nach gewählter Richtlinie aktiviert oder deaktiviert die Snort-Engine IPS-Signaturen für den Schutz der Snort-Engine.
Schritt 6 (optional). Aktivieren Sie die Konfiguration der zulässigen UTD-Listen (Whitelist).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Schritt 7 (optional). Konfigurieren Sie die IPS-Snort-Signatur-IDs, die in die Whitelist aufgenommen werden sollen.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Anmerkung: Die Signatur-IDs können aus den zu unterdrückenden Warnmeldungen kopiert werden. Sie können mehrere Signatur-IDs konfigurieren. Wiederholen Sie diesen Schritt für jede Signatur-ID, die der Whitelist hinzugefügt werden muss.
Anmerkung: Nachdem die Signatur-ID der zulässigen Liste konfiguriert wurde (Whitelist), lässt die UTD-Snort-Engine den Fluss ohne Warnungen und Auslassungen durch das Gerät passieren.
Anmerkung: Die Generatorkennung (GID) identifiziert das Subsystem, das eine Angriffsregel auswertet und Ereignisse generiert. Standardtexteingriffsregeln haben eine Generatorkennung von 1, und Regeln für den gemeinsamen Objekteingriff haben eine Generatorkennung von 3. Es gibt auch mehrere Regelsätze für verschiedene Präprozessoren. Die folgende Tabelle 1. Generator-IDs erläutert die GIDs.
Schritt 8 (optional). Aktiviert die Liste der zulässigen Bedrohungen in der Konfiguration für die Bedrohungsprüfung.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Anmerkung: Nach der Konfiguration der Signatur-ID der Whitelist lässt die Snort Engine den Datenfluss ohne Warnungen und Auslassungen durch das Gerät passieren
Schritt 9: Konfigurieren Sie das Aktualisierungsintervall für die Signatur so, dass Snort-Signaturen automatisch heruntergeladen werden.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Anmerkung: Die erste Zahl definiert die Stunde im 24-Stunden-Format, die zweite Zahl steht für Minuten.
Warnung: UTD-Signatur-Updates führen zum Zeitpunkt der Aktualisierung zu einer kurzen Serviceunterbrechung.
Schritt 10: Konfigurieren Sie die Parameter des Aktualisierungsservers für die Signatur des UTD-Snort-Moduls.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Anmerkung: Verwenden Sie das Schlüsselwort 'cisco', um auf den Cisco-Server für die Signatur-Updates zu verweisen, oder verwenden Sie das Schlüsselwort 'url', um einen benutzerdefinierten http/https-Pfad für den Update-Server zu definieren. Für den Cisco Server müssen Sie Ihren Cisco Benutzernamen und Ihr Kennwort eingeben.
Anmerkung: Stellen Sie sicher, dass ein DNS-Server konfiguriert ist, um IPS-Snort-Signaturen vom Cisco-Server herunterzuladen. Der Snort-Container führt eine Suche nach dem Domänennamen (auf dem/den DNS-Server(n), der/die auf dem Router konfiguriert ist) durch, um den Speicherort für automatische Signaturaktualisierungen von Cisco.com oder auf dem lokalen Server aufzulösen, wenn die URL nicht als IP-Adresse angegeben ist.
Anmerkung: Die der Schnittstelle VirtualPortGroup0 zugewiesene MGMT-IP-Adresse des UTD-Moduls muss in der Router-NAT-Konfiguration enthalten sein, damit das Modul über das Internet auf den Cisco Server zugreifen kann, um die Snort-Signaturpakete herunterzuladen.
Schritt 11: Aktivieren Sie die Protokollierungsebene der UTD-Snort-Engine und die Protokollierung der Bedrohungsprüfungswarnstatistiken:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Anmerkung: Ab der Version Cisco IOS XE Fuji 16.8 erhalten Sie zusammengefasste Details zu Bedrohungsprüfungswarnungen, wenn Sie den nächsten Befehl "show utd engine standard logging Threat-Inspection Statistics Detail" ausführen. Nur, wenn die Protokollierung der Bedrohungsprüfung und der Warnmeldungsstatistik für die UTD-Snort-Engine aktiviert ist.
Schritt 12: Aktivieren Sie den Dienst utd.
Router#configure terminal
Router(config)#utd
Schritt 13 (optional). Leiten Sie den Datenverkehr von der VirtualPortGroup-Schnittstelle an den UTD-Dienst um.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Anmerkung: Wenn die Umleitung nicht konfiguriert ist, wird sie automatisch erkannt.
Schritt 14: Aktivieren Sie die UTD IPS-Engine, um den Datenverkehr aller Layer-3-Schnittstellen auf dem Router zu überprüfen.
Router(config-utd)#all-interfaces
Schritt 15. Aktivieren Sie den Motorstandard.
Router(config-utd)#engine standard
Die nächsten Syslog-Meldungen zeigen an, dass die UTD-Snort-Engine ordnungsgemäß aktiviert wurde:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Schritt 16 (optional). Definieren der Aktion für die UTD-Snort-Engine während eines Fehlers (UTD-Datenebene)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Anmerkung: Die Option "Fail Close" verwirft den gesamten Router-Datenverkehr, wenn die UTD-Engine ausfällt, und die Option "Fail Open" ermöglicht dem Router, den Datenverkehr auch bei UTD-Ausfällen ohne IPS/IDS-Inspektion weiterzuleiten. Die Standardoption ist "fail open".
Schritt 17: Speichern der Router-Konfiguration
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
Die UTD-Snort-Engine verfügt über Port-Scan-Funktionen. Ein Port-Scan ist eine Form der Netzwerkdurchsuchung, die von Angreifern häufig als Auftakt für einen Angriff verwendet wird. Bei einem Port-Scan sendet ein Angreifer Pakete, die darauf ausgelegt sind, Netzwerkprotokolle und -dienste auf einem Zielhost zu suchen. Durch die Untersuchung der Pakete, die als Antwort von einem Host gesendet werden, kann der Angreifer ermitteln, welche Ports auf dem Host offen sind und welche Anwendungsprotokolle auf diesen Ports direkt oder indirekt ausgeführt werden.
Ein Port-Scan allein ist kein Anzeichen für einen Angriff. Legitime Benutzer in Ihrem Netzwerk verwenden möglicherweise ähnliche Port-Scanning-Techniken, die von Angreifern verwendet werden.
Der por_scan-Inspektor erkennt vier Typen von Port-Scan und überwacht Verbindungsversuche mit TCP-, UDP-, ICMP- und IP-Protokollen. Durch die Erkennung von Aktivitätsmustern unterstützt Sie der Port_scan-Inspektor dabei, festzustellen, welche Port-Scans schädlich sein können.
Port-Scans werden im Allgemeinen in vier Typen unterteilt, die auf der Anzahl der Ziel-Hosts, der Anzahl der Scan-Hosts und der Anzahl der gescannten Ports basieren.
In Tabelle 3 unten werden die Regeln des Port-Scan-Inspektors angezeigt.
Der port_scan inspector bietet drei standardmäßige Scan-sensitive Ebenen für die UTD-Snort-Engine:
Schritt 1: Konfigurieren der Unified Threat Defense (UTD)-Standard-Engine (Serviceebene)
Router#configure terminal
Router(config)#utd engine standard
Schritt 2: Aktivieren Sie die Bedrohungsprüfung für die UTD-Snort-Engine.
Router(config-utd-eng-std)#threat-inspection
Schritt 3. Aktivieren Sie dann port_scan.
Router(config-utd-engstd-insp)#port-scan
Schritt 4. Stellen Sie die Empfindlichkeitsstufe port_scan ein. Die verfügbaren Optionen sind hoch, mittel oder niedrig.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Schritt 5: Sobald "port_scan" aktiviert und mit einer Empfindlichkeitsstufe für die UTD-Snort-Engine konfiguriert ist, verwenden Sie den Befehl "show utd engine standard config", um die Konfiguration von "port_scan" zu überprüfen.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Geben Sie den Befehl show app-hosting detail aus, um den Status der UTD-Snort-Engine, die ausgeführte Softwareversion, den RAM, die CPU- und Festplattenauslastung, die Netzwerkstatistiken und die DNS-Konfiguration zu bestätigen.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Verwenden Sie den Befehl 'show utd engine standard version', um die Kompatibilitätsversion der UTD-Snort-Engine unter Verwendung der IOS-XE-Router-Version zu überprüfen.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Option 1: Geben Sie den Befehl "show utd engine standard status" ein, um den Status der UTD-Snort-Engine, den Status in "Green", den Status in "Green" und den Gesamtsystemstatus in "Green" zu bestätigen. Sie geben an,dass die UTD-Snort-Engine betriebsbereit ist.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Anmerkung: Wenn die UTD-Snort-Engine überbelegt ist, ändert sich der Status des Threat Defense-Kanals zwischen grün und rot. Das UTD-Datenfeld verwirft entweder alle weiteren Pakete, wenn Fail-Close konfiguriert ist, oder leitet die Pakete ohne Überprüfung weiter, wenn Fail-Close nicht konfiguriert ist (Standard). Wenn sich die UTD-Serviceebene von einer Überbelegung erholt, antwortet sie mit dem grünen Status auf das UTD-Datenflugzeug.
Option 2. Geben Sie den Befehl show platform software utd global ein, um eine kurze Zusammenfassung des Betriebsstatus der UTD-Snort-Engine zu erhalten.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Option 1. Geben Sie den Befehl "show utd engine standard config" ein, um die Konfigurationsdetails der UTD-Snort-Engine, den Betriebsmodus, den Richtlinienmodus, die Signatur-Update-Konfiguration, die Protokollierungskonfiguration, die Whitelist und den Port-Scan-Status anzuzeigen.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Option 2: Geben Sie "show running-config" ein | b engine'-Befehl zur Anzeige der aktuellen Konfiguration der UTD-Snort-Engine.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Führen Sie den Befehl "show utd engine standard Threat-Inspection signature update status" aus, um den IPS-Signatur-Update-Status zu überprüfen.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Geben Sie den Befehl "utd Threat-Inspection Signature Update" ein, um eine manuelle Aktualisierung der IPS-Snort-Signatur auszuführen, indem Sie die vorhandene Serverkonfiguration verwenden, die auf die UTD-Snort-Engine für die Signatur-Downloads angewendet wird.
Router#utd threat-inspection signature update
3. Führen Sie den Befehl "utd Threat-Inspection Signature Update Server [cisco, url] username xxxxx password xxxxx force" aus, um ein manuelles IPS Snort Signature Update mit den angegebenen Serverparametern zu erzwingen.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Verwenden Sie die folgenden show-Befehle, um den von der UTD-Snort-Engine verarbeiteten Datenverkehr zu überwachen und die mit der Datenverkehrsanalyse verbundenen Statistiken zu überprüfen.
Option 1. Aus der unten stehenden Ausgabe von "show utd engine standard statistics" (UTD-Standardstatistiken anzeigen) werden die Zähler "received" und "analyzed" (analysierte Zähler) inkrementiert, wenn der Datenverkehr von der UTD-Snort-Engine verarbeitet wird:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Option 2. Aus der folgenden Ausgabe der qfp active feature utd stats-Plattformhardware werden die Zähler "decaps" und "Divert" inkrementiert, wenn der Datenverkehr zur Datenverkehrsanalyse vom Router zur UTD-Snort-Engine umgeleitet wird, und die Encaps- und Reinject-Zähler inkrementieren sich, wenn von der UTD-Snort-Engine zum Router umgeleitet:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Option 3. Aus der unten stehenden Ausgabe von "show utd engine standard statistics internal" erhöhen sich die Zähler "received" und "analyzed", wenn der Datenverkehr zur Datenverkehrsanalyse vom Router zur UTD-Snort-Engine umgeleitet wird. Außerdem zeigt diese Ausgabe weitere Details und Statistiken über den von der UTD-Snort-Engine überprüften Datenverkehr an:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Verwenden Sie die folgenden show-Befehle, um die ausgelösten snort IPS-Signaturen, die generierten IPS/IDS-Ereignisse und die beteiligten Quell- und Ziel-IP-Adressen zu überwachen.
Option 1. Verwenden Sie den Befehl show utd engine standard logging events [Threat-Inspection], um nach IPS/IDS-Ereignissen zu suchen:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Option 2. Verwenden Sie den Befehl "show utd engine standard logging statistics threat-inspection", um nach den wichtigsten IPS-Snort-Signaturen zu suchen, die in den letzten 24 Stunden ausgelöst wurden, und wie oft die einzelnen Signaturen ausgelöst wurden:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Option 3. Verwenden Sie den Befehl "show utd engine standard logging statistics threat-inspection detail", um nach den höchsten IPS-Snort-Signaturen zu suchen, die in den letzten 24 Stunden ausgelöst wurden, wie oft jede Signatur ausgelöst wurde und nach den Quell- und Ziel-IP-Adressen, die die Signatur ausgelöst haben:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Option 4. Die UTD-Snort-Engine überwacht den Datenverkehr und meldet Ereignisse an einen externen Protokollserver oder das IOS-Syslog. Die Aktivierung der Protokollierung im IOS-Syslog kann sich aufgrund des potenziellen Volumens an Protokollmeldungen auf die Leistung auswirken. Externe Überwachungstools von Drittanbietern, die Snort-Protokolle unterstützen, können zur Protokollsammlung und -analyse verwendet werden.
Wenn die UTD-Snort-Engine ein IPS/IDS-Ereignis generiert, zeigt der Router eine Syslog-Meldung wie die folgende an:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Anmerkung: Die Protokolle der UTD-Snort-Engine werden in der CLI des Router IOSd angezeigt, sobald das Protokollierungs-Syslog unter der UTD-Engine-Standardkonfiguration für die UTD-Snort-Engine aktiviert ist.
Wenn die UTD-Snort-Engine so konfiguriert ist, dass sie Abmeldungen an einen externen Syslog-Server sendet, sollten Sie die UTD-Snort-Engine-Protokolle auf Ihrem Remote-Syslog-Server wie folgt sehen:
Verwenden Sie die folgenden Befehle, um je nach verwendeter Richtlinienkonfiguration (Balanced, Connectivity oder Security) die Snort-Signaturen Active, Drop und Alert IPS für die UTD-Snort-Engine anzuzeigen.
Option 1. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Sicherheitsrichtlinie anzuzeigen.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Option 2. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Verbindungsrichtlinie anzuzeigen.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Option 3. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Balanced-Richtlinie anzuzeigen.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Anmerkung: Um die aktiven IPS Snort-Signaturen für die Balanced-, Connectivity- oder Security Policy anzuzeigen, muss die UTD Snort Engine den entsprechenden Richtlinienmodus ausführen, den Sie anzeigen möchten.
1. Stellen Sie sicher, dass auf dem Cisco Integrated Services Router (ISR) XE 16.10.1a und höher ausgeführt wird (für die IOx-Methode).
2. Stellen Sie sicher, dass der Cisco Integrated Services Router (ISR) mit aktivierter Security900-Funktion lizenziert ist.
3. Überprüfen Sie, ob das ISR-Hardwaremodell mit dem minimalen Ressourcenprofil übereinstimmt.
4. Die UTD-Snort-Engine ist nicht mit dem zonenbasierten Firewall-SYN-Cookie und der Network Address Translation 64 (NAT64) kompatibel.
5. Bestätigen Sie, dass der UTD-Snort-Engine-Dienst nach der Installation gestartet wird.
6. Stellen Sie beim manuellen Herunterladen des Signaturpakets sicher, dass das Paket die gleiche Version wie die Snort-Engine-Version hat. Die Aktualisierung des Signaturpakets schlägt möglicherweise fehl, wenn eine Versionskonflikt vorliegt.
7. Verwenden Sie bei Leistungsproblemen die 'show app-hosting resource' und die 'show app-hosting usage ''UTD-NAME' zum Überprüfen der UTD-CPU, des Arbeitsspeichers und des Speicherplatzes.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
Warnung: Wenden Sie sich an das Cisco TAC, wenn Sie bestätigen, dass die UTD Snort-Engine eine hohe CPU-, Arbeitsspeicher- oder Festplattenauslastung aufweist.
Verwenden Sie zur Fehlerbehebung die unten aufgeführten Debug-Befehle, um weitere Details von der UTD-Snort-Engine zu erfassen.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Warnung: Das Ausführen von Debugbefehlen während der Produktionszeiten kann die CPU-, Arbeitsspeicher- oder Festplattenauslastung der UTD Snort-Engine oder des Routers erheblich erhöhen und sich potenziell auf den Datenverkehr und die Systemstabilität auswirken. Verwenden Sie Debug-Befehle sparsam, vorzugsweise während eines Wartungsfensters, und deaktivieren Sie sie sofort nach dem Erfassen der erforderlichen Daten. Wenn eine erhöhte Ressourcennutzung oder Auswirkungen auf den Service festgestellt werden, brechen Sie die Fehlerbehebung ab, und wenden Sie sich an das Cisco TAC.
Weitere Dokumentation zur UTD Snort IPS-Bereitstellung finden Sie hier:
Cisco Snort IPS Security - Konfigurationsleitfaden
Cisco Virtual Service Resource Profile für ISR4K und CSR1000v
Snort IPS auf Routern - schrittweise Konfiguration
Cisco Leitfaden - Fehlerbehebung bei Snort IPS
Snort Port-Scan Inspector - Referenzhandbuch
Open Source Intrusion Prevention System (IPS)-Webseite von Snort
Installation des virtuellen UTD Security Images auf cEdge-Routern
CSCwf57595 ISR4K Snort IPS wird nicht bereitgestellt, da die HW nicht über genügend Plattformressourcen verfügt
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
17-Sep-2025
|
Erstveröffentlichung |
1.0 |
11-Jul-2023
|
Erstveröffentlichung |