Bereitstellung von UTD Snort IPS auf Cisco Integrated Services Routern der Serien 1000, 4000, CSRs und ISRv

Download-Optionen

PDF (1.2 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen

Aktualisiert:17. September 2025

Dokument-ID:220565

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Hintergrundinformationen

UTD Snort Engine IPS-Lösung

Lizenzanforderungen

Unterstützte Plattformen

Einschränkungen

UTD Snort Engine IPS - Download-Links

Netzwerkdiagramm

Konfigurieren

UTD Snort Engine-Installation

Konfigurieren der UTD Snort Engine als IPS oder IDS

Port-Scan Inspector für die UTD Snort Engine

Regeln für den Port-Scan-Inspektor

Empfindliche Stufen für Port-Scans

Konfigurieren des Port-Scan-Inspektors für die UTD Snort Engine

Überprüfung

Überprüfen Sie die IP-Adressen und den Schnittstellenstatus der VirtualPortGroup.

Überprüfen der VirtualPortGroup-Schnittstellenkonfiguration

Überprüfen der App-Hosting-Konfiguration

Überprüfen Sie die Iox-Aktivierung.

Prüfen des App-Hosting-Status

Details zum App-Hosting überprüfen

Überprüfen Sie die Kompatibilitätsversion der UTD-Snort-Engine im Vergleich zur laufenden Router IOS-XE-Version.

Status der UTD-Snort-Engine überprüfen

Überprüfen der Konfiguration der UTD-Snort-Engine

Überprüfen des Aktualisierungsstatus der IPS-Snort-Signatur der UTD-Snort-Engine

So überprüfen Sie, ob die UTD-Snort-Engine den Datenverkehr überprüft

Überprüfen, ob die UTD-Snort-Engine eine IPS-Snort-Signatur ausgelöst hat

Anzeigen der aktiven IPS-Snort-Signaturen

Fehlerbehebung

Debuggen

Zugehörige Informationen

Einleitung

In diesem Dokument wird die Bereitstellung der UTD Snort IPS Engine auf den Cisco Integrated Services Routern der Serien ISR1K, ISR4K, CSRs und ISRv mit der IOx-Methode beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

Cisco Integrated Services Router der Serien ISR1K, ISR4K, CSRs und ISRv mit mindestens 8 GB DRAM
Grundlegende Kenntnisse zu IOS-XE-Befehlen
Grundlegende UTD Snort IPS-Kenntnisse
Ein Signatur-IPS-Snort-Abonnement für 1 oder 3 Jahre ist erforderlich.
IOS-XE 16.10.1a und höher

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

ISR1K, ISR4K, CSRs und ISRv-Serie mit Version 17.9.3a
UTD Snort Engine Version 17.9.3a
Security9-Lizenz für ISR1K, ISR4K, CSRs und ISRv-Serie

Die VMAN-Methode ist inzwischen veraltet.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Die Unified Threat Defense (UTD) Snort IPS-Funktion aktiviert das Intrusion Prevention System (IPS) oder das Intrusion Detection System (IDS) für Zweigstellen der Cisco Integrated Services Router der Serien ISR1K, ISR4K, CSRs und ISRv. Diese Funktion verwendet Open-Source Snort, um IPS- oder IDS-Funktionen zu aktivieren.

Snort ist ein Open-Source-IPS, das Datenverkehrsanalysen in Echtzeit durchführt und Warnmeldungen generiert, wenn in IP-Netzwerken Bedrohungen erkannt werden. Sie kann außerdem Protokollanalysen durchführen, Inhalte recherchieren oder marschieren und eine Vielzahl von Angriffen und Tests erkennen, z. B. Pufferüberläufe, Stealth-Port-Scans usw. Die UTD Snort Engine wird als virtueller Container-Service auf den Cisco Integrated Services Routern der Serien ISR1K, ISR4K, CSRs und ISRv ausgeführt.

Das UTD Snort IPS bietet IPS- oder IDS-Funktionen für die Cisco Integrated Services Router der Serien ISR1K, ISR4K, CSRs und ISRv.

Die UTD überwacht den Netzwerkverkehr und analysiert diesen anhand eines definierten Regelsatzes.
Das UTD führt die Attach-Klassifizierung durch.
Die UTD ruft Aktionen für zugeordnete Regeln auf.

Abhängig von den Netzwerkanforderungen UTD Snort IPS kann als IPS oder IDS aktiviert werden:

Im IDS-Modus: Die UTD-Snort-Engine überprüft den Datenverkehr und gibt Warnmeldungen aus, ergreift jedoch keine Maßnahmen, um Angriffe zu verhindern.
Im IPS-Modus: Die UTD-Snort-Engine überprüft den Datenverkehr und meldet Warnmeldungen wie IDS. Es werden jedoch Maßnahmen ergriffen, um Angriffe zu verhindern.

Das UTD Snort IPS wird als Service auf den Routern der Serien ISR1K, ISR4K, CSRs und ISRv ausgeführt. Servicecontainer nutzen Virtualisierungstechnologie, um eine Hosting-Umgebung für Anwendungen auf Cisco Geräten bereitzustellen. Snort Traffic Inspection ist entweder schnittstellenbasiert oder global auf allen unterstützten Schnittstellen aktiviert.

UTD Snort Engine IPS-Lösung

Die UTD-Snort-Engine IPS-Lösung besteht aus den folgenden Einheiten:

Snort-Sensor - Überwacht den Datenverkehr, um Anomalien basierend auf den konfigurierten Sicherheitsrichtlinien (einschließlich Signaturen, Statistiken, Protokollanalyse usw.) zu erkennen, und sendet Warnmeldungen an den Alert/Reporting-Server. Der Snort-Sensor wird als virtueller Container-Service auf dem Router bereitgestellt.

Signaturspeicher: Hosts für die Cisco Signaturpakete, die regelmäßig aktualisiert werden. Diese Signaturpakete werden entweder regelmäßig oder bei Bedarf auf Snort-Sensoren heruntergeladen. Validierte Signaturpakete werden unter Cisco.com bereitgestellt. Je nach Konfiguration können Signaturpakete von Cisco.com oder von einem lokalen Server heruntergeladen werden.

Der Router greift auf die folgenden Domänen zu, während er das Signaturpaket von cisco.com herunterlädt:
- api.cisco.com
- apx.cisco.com
- cloudsso.cisco.com
- cloudsso-test.cisco.com
- cloudsso-test3.cisco.com
- cloudsso-test4.cisco.com
- cloudsso-test5.cisco.com
- cloudsso-test6.cisco.com
- cloudsso.cisco.com
- download-ssc.cisco.com
- dl.cisco.com
- resolver1.opendns.com
- resolver2.opendns.com
Signaturpakete müssen manuell von Cisco.com mit den Anmeldeinformationen Cisco.com auf den lokalen Server heruntergeladen werden, bevor der Snort-Sensor sie abrufen kann.

Alert/Reporting-Server — Empfängt Warnungsereignisse vom Snort-Sensor. Die vom Snort-Sensor generierten Warnungsereignisse können entweder an das IOS-Syslog oder einen externen Syslog-Server oder sowohl an das IOS-Syslog als auch an den externen Syslog-Server gesendet werden. Mit der Snort IPS-Lösung sind keine externen Protokollserver im Paket erhältlich.

Management - Verwaltet die Snort IPS-Lösung. Die Verwaltung wird über die IOS-CLI konfiguriert. Auf Snort Sensor kann nicht direkt zugegriffen werden, und alle Konfigurationen können nur über die IOS-CLI vorgenommen werden.

Lizenzanforderungen

Die Lizenzanforderungen für die UTD-Snort-Engine sind wie folgt:

Die Security K9-Lizenz ist für ISR1K, ISR4K-Router, CSRs und ISRv erforderlich. Darüber hinaus ist ein Abonnement mit einer Laufzeit von einem oder drei Jahren erforderlich. Es gibt zwei Arten von Abonnements:

a) Signaturpaket der Community: Das Regelpaket für das Signaturpaket der Community bietet eine begrenzte Abdeckung für Bedrohungen.

b) Subscriber-Based Signature Package (Signaturpaket): Das Subscriber-Based Signature Package (Signaturpaket)-Regelpaket bietet den besten Schutz vor Bedrohungen. Sie deckt Exploits bereits im Voraus ab und bietet den schnellsten Zugriff auf aktualisierte Signaturen, wenn ein Sicherheitsvorfall eintritt oder eine neue Bedrohung proaktiv erkannt wird. Dieses Abonnement wird von Cisco vollständig unterstützt, und das Paket wird kontinuierlich auf Cisco.com aktualisiert.

Das UTD Snort Subscriber Signature Package kann von software.cisco.com heruntergeladen werden. Die Informationen zur Snort-Signatur finden Sie unter snort.org.

Außerdem können Sie das folgende Tool verwenden: snort.org Rule Documentation Search (Suche nach bestimmten IPS-Signatur-IDs für Snort).

Für die Verwendung von IPS/Snort ist eine Lizenz für DNA Essentials auf den im Abschnitt "Unterstützte Plattformen" erwähnten Catalyst 8000 Edge-Routern erforderlich.

Unterstützte Plattformen

Folgende Plattformen werden für die UTD-Snort-Engine unterstützt:

ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv und ISR 1K (X PIDs wie 1111X, 1121X, 1161X usw., die nur 8 GB DRAM unterstützen, ab Version 17.2.1r)

Catalyst 8500L, 8300, 8200, 8000V

Einschränkungen

Die folgenden Einschränkungen gelten für die UTD-Snort-Engine:

Nur TCP-, UDP- und ICMP-Pakete werden zur Überprüfung an die UTD-Snort-Engine umgeleitet.

Nur über die Box wird der Datenverkehr zur Überprüfung an die UTD-Snort-Engine umgeleitet.

Einschränkungen

Die folgenden Einschränkungen gelten für die UTD-Snort-Engine:

Wenn Sie die Boost-Lizenz auf Cisco ISRs der Serie 4000 aktivieren, können Sie den Virtual-Service-Container für Snort IPS nicht konfigurieren.

Inkompatibel mit der zonenbasierten Firewall-SYN-Cookie-Funktion.

Network Address Translation 64 (NAT64) wird nicht unterstützt.

SnortSnmpPlugin ist für das SNMP-Polling in Open Source Snort erforderlich. Snort IPS unterstützt keine SNMP-Polling-Funktionen oder MIBs, da das SnortSnmp-Plug-In nicht auf UTD installiert ist.

Das IOS-Syslog ist ratenbegrenzt, sodass ggf. nicht alle von Snort generierten Warnmeldungen über das IOS-Syslog angezeigt werden. Sie können jedoch alle Syslog-Meldungen anzeigen, wenn Sie sie auf einen externen Syslog-Server exportieren.

UTD Snort Engine IPS - Download-Links

Über die folgenden Cisco Links können Sie die UTD Snort IPS Engine Software-Image-Dateien herunterladen, die zur Installation der UTD Snort Engine auf Ihrem Cisco Router verwendet werden. Darüber hinaus finden Sie die UTD Snort Subscriber Signature Package-Dateien zum Herunterladen der UTD snort IPS-Signaturen, abhängig von der UTD snort engine version running.

ISR1K - https://software.cisco.com/download/home/286315006/type

ISR4K - https://software.cisco.com/download/home/284389362/type

CSR - https://software.cisco.com/download/home/284364978/type

ISRv - https://software.cisco.com/download/home/286308693/type

Catalyst 8500L - https://software.cisco.com/download/home/286324574/type

Catalyst 8300 - https://software.cisco.com/download/home/286324476/type

Catalyst 8200 - https://software.cisco.com/download/home/286324472/type

Catalyst 8000V - https://software.cisco.com/download/home/286327102/type

Anmerkung: Vor der Installation der UTD-Snort-Engine zu berücksichtigende Voraussetzungen: Wenn es sich um einen physischen ISR handelt, muss IOS-XE Version 3.16.1 oder höher ausgeführt werden. Handelt es sich um einen CSR, muss Version 16.3.1 oder höher und ISRv (ENCS) Version 16.8.1 oder höher ausgeführt werden. Für Catalyst 8300 (ab Version 17.3.2), 8200 (ab Version 17.4.1) und 8000V (ab Version 17.4.1).

Anmerkung: Wenn der Benutzer das UTD Snort Subscriber Signature Package manuell von der Download-Software-Seite herunterlädt, muss der Benutzer sicherstellen, dass das Paket dieselbe Version wie die Snort-Engine-Version hat. Wenn die Snort-Engine-Version beispielsweise 2982 ist, sollte der Benutzer dieselbe Version des Signaturpakets herunterladen. Wenn eine Versionskonflikt vorliegt, wird die Aktualisierung des Signaturpakets zurückgewiesen und schlägt fehl.

Anmerkung: Wenn das Signaturpaket aktualisiert wird, wird die Engine neu gestartet, und der Datenverkehr wird unterbrochen oder für einen kurzen Zeitraum umgangen, je nach der Fail-Open-/Fail-Close-Konfiguration der Datenebene.

Netzwerkdiagramm

ISR4K

Konfigurieren

UTD Snort Engine-Installation

Schritt 1. Konfigurieren Sie die VirtualPortGroup-Schnittstellen für das UTD-Snort-Modul, und konfigurieren Sie zwei Portgruppen:

VirtualPortGroup0 für Verwaltungsdatenverkehr: Diese VirtualPortGroup wird verwendet, um Protokolle für den Protokollsammler zu erstellen und Signatur-Updates von Cisco.com zu beziehen.

VirtualPortGroup1 für Datenverkehr: Diese VirtualPortGroup wird zum Senden und Empfangen von Paketen verwendet, die für die Prüfung markiert sind und auf der Datenebene zur IPS-Prüfung eintreffen.

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Hinweis: Konfigurieren Sie NAT und Routing, die für VirtualPortGroup0 erforderlich sind, damit die UTD-Snort-Engine den externen Syslog-Server sowie cisco.com erreichen kann, um die Signatur-Update-Dateien abzurufen.

Schritt 2: Aktivieren der IOx-Umgebung im globalen Konfigurationsmodus

Router(config)#iox

Schritt 3. Aktivieren Sie dann den virtuellen Dienst, und konfigurieren Sie Gast-IPs. Konfigurieren Sie dazu das App-Hosting mit der vNIC-Konfiguration.

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Schritt 4 (optional). Ressourcenprofil konfigurieren.

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

Anmerkung: Der virtuelle Service der UTD-Snort-Engine unterstützt drei Ressourcenprofile: Niedrig, Mittel und Hoch. Diese Profile geben die CPU- und Speicherressourcen an, die für die Ausführung des virtuellen Diensts erforderlich sind. Sie können eines dieser Ressourcenprofile konfigurieren. Die Ressourcenprofilkonfiguration ist optional. Wenn Sie kein Profil konfigurieren, wird der virtuelle Service mit seinem Standardressourcenprofil aktiviert. Weitere Ressourcenprofildetails finden Sie im Cisco Virtual Service Resource Profile für ISR4K und CSR1000v.

Anmerkung: Diese Option ist für die ISR1K-Serie nicht verfügbar.

Schritt 5. Kopieren Sie die UTD Snort IPS-Modul-Software-Datei in den Router-Flash, dann Installieren Sie die App-Hosting mit der UTD.tar-Datei wie folgt.

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

Anmerkung: Die UTD-Modulversion wird im UTD-Dateinamen angegeben. Stellen Sie sicher, dass die zu installierende UTD-Modulversion mit der IOS-XE-Version kompatibel ist, die auf dem Cisco Router ausgeführt wird.

Die nächsten Syslogs zeigen an, dass der UTD-Dienst ordnungsgemäß installiert wurde.

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

Anmerkung: Mit "show app-hosting list" sollte der Status als "Deployed" angezeigt werden.

Schritt 6: Starten Sie den App-Hosting-Dienst.

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

Anmerkung: Nach dem Start des App-Hosting-Dienstes sollte der App-Hosting-Status auf 'Running' (Wird ausgeführt) lauten. Verwenden Sie 'Show app-hosting list' oder 'show app-hosting detail', um weitere Details anzuzeigen.

Die nächsten Syslog-Meldungen zeigen an, dass der UTD-Dienst ordnungsgemäß installiert wurde.

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

Konfigurieren der UTD Snort Engine als IPS oder IDS

Nach der erfolgreichen Installation muss die Serviceebene für die UTD-Snort-Engine konfiguriert werden. Die UTD-Snort-Engine kann als Intrusion Prevention System (IPS) oder als Intrusion Detection System (IDS) für die Datenverkehrsanalyse konfiguriert werden.

Warnung: Bestätigen Sie, dass die Lizenzfunktion 'securityk9' auf dem Router aktiviert ist, um mit der UTD-Serviceebenenkonfiguration fortzufahren.

Schritt 1: Konfigurieren der Unified Threat Defense (UTD)-Standard-Engine (Serviceebene)

Router#configure terminal
Router(config)#utd engine standard

Schritt 2: Aktivieren Sie die Protokollierung der UTD-Snort-Engine auf einem Remote-Server und im IOSd-Syslog.

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

Anmerkung: Das UTD Snort IPS überwacht den Datenverkehr und meldet Ereignisse an einen externen Protokollserver oder das IOS-Syslog. Die Aktivierung der Protokollierung im IOS-Syslog kann sich aufgrund des potenziellen Volumens an Protokollmeldungen auf die Leistung auswirken. Externe Überwachungstools von Drittanbietern, die Snort-Protokolle unterstützen, können zur Protokollsammlung und -analyse verwendet werden.

Schritt 3: Aktivieren Sie die Bedrohungsprüfung für die Snort Engine.

Router(config-utd-eng-std)#threat-inspection

Schritt 4: Konfigurieren Sie Threat Detection (IDS) oder Intrusion Prevention System (IPS) als Betriebsmodus für die Snort-Engine.

Router(config-utd-engstd-insp)#threat [protection,detection]

Anmerkung: Verwenden Sie das Schlüsselwort 'protection' für IPS und 'detection' für den IDS-Modus. Der Standardmodus ist 'Erkennung'.

Schritt 5: Konfigurieren der Sicherheitsrichtlinie für die Snort-Engine

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Anmerkung: Die Standardrichtlinie ist 'balanciert', je nach gewählter Richtlinie aktiviert oder deaktiviert die Snort-Engine IPS-Signaturen für den Schutz der Snort-Engine.

Schritt 6 (optional). Aktivieren Sie die Konfiguration der zulässigen UTD-Listen (Whitelist).

Router#configure terminal
Router(config)#utd threat-inspection whitelist

Schritt 7 (optional). Konfigurieren Sie die IPS-Snort-Signatur-IDs, die in die Whitelist aufgenommen werden sollen.

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

Anmerkung: Die Signatur-IDs können aus den zu unterdrückenden Warnmeldungen kopiert werden. Sie können mehrere Signatur-IDs konfigurieren. Wiederholen Sie diesen Schritt für jede Signatur-ID, die der Whitelist hinzugefügt werden muss.

Anmerkung: Nachdem die Signatur-ID der zulässigen Liste konfiguriert wurde (Whitelist), lässt die UTD-Snort-Engine den Fluss ohne Warnungen und Auslassungen durch das Gerät passieren.

Anmerkung: Die Generatorkennung (GID) identifiziert das Subsystem, das eine Angriffsregel auswertet und Ereignisse generiert. Standardtexteingriffsregeln haben eine Generatorkennung von 1, und Regeln für den gemeinsamen Objekteingriff haben eine Generatorkennung von 3. Es gibt auch mehrere Regelsätze für verschiedene Präprozessoren. Die folgende Tabelle 1. Generator-IDs erläutert die GIDs.

alt-tag-for-image

Schritt 8 (optional). Aktiviert die Liste der zulässigen Bedrohungen in der Konfiguration für die Bedrohungsprüfung.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

Anmerkung: Nach der Konfiguration der Signatur-ID der Whitelist lässt die Snort Engine den Datenfluss ohne Warnungen und Auslassungen durch das Gerät passieren

Schritt 9: Konfigurieren Sie das Aktualisierungsintervall für die Signatur so, dass Snort-Signaturen automatisch heruntergeladen werden.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

Anmerkung: Die erste Zahl definiert die Stunde im 24-Stunden-Format, die zweite Zahl steht für Minuten.

Warnung: UTD-Signatur-Updates führen zum Zeitpunkt der Aktualisierung zu einer kurzen Serviceunterbrechung.

Schritt 10: Konfigurieren Sie die Parameter des Aktualisierungsservers für die Signatur des UTD-Snort-Moduls.

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

Anmerkung: Verwenden Sie das Schlüsselwort 'cisco', um auf den Cisco-Server für die Signatur-Updates zu verweisen, oder verwenden Sie das Schlüsselwort 'url', um einen benutzerdefinierten http/https-Pfad für den Update-Server zu definieren. Für den Cisco Server müssen Sie Ihren Cisco Benutzernamen und Ihr Kennwort eingeben.

Anmerkung: Stellen Sie sicher, dass ein DNS-Server konfiguriert ist, um IPS-Snort-Signaturen vom Cisco-Server herunterzuladen. Der Snort-Container führt eine Suche nach dem Domänennamen (auf dem/den DNS-Server(n), der/die auf dem Router konfiguriert ist) durch, um den Speicherort für automatische Signaturaktualisierungen von Cisco.com oder auf dem lokalen Server aufzulösen, wenn die URL nicht als IP-Adresse angegeben ist.

Anmerkung: Die der Schnittstelle VirtualPortGroup0 zugewiesene MGMT-IP-Adresse des UTD-Moduls muss in der Router-NAT-Konfiguration enthalten sein, damit das Modul über das Internet auf den Cisco Server zugreifen kann, um die Snort-Signaturpakete herunterzuladen.

Schritt 11: Aktivieren Sie die Protokollierungsebene der UTD-Snort-Engine und die Protokollierung der Bedrohungsprüfungswarnstatistiken:

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Anmerkung: Ab der Version Cisco IOS XE Fuji 16.8 erhalten Sie zusammengefasste Details zu Bedrohungsprüfungswarnungen, wenn Sie den nächsten Befehl "show utd engine standard logging Threat-Inspection Statistics Detail" ausführen. Nur, wenn die Protokollierung der Bedrohungsprüfung und der Warnmeldungsstatistik für die UTD-Snort-Engine aktiviert ist.

Schritt 12: Aktivieren Sie den Dienst utd.

Router#configure terminal
Router(config)#utd

Schritt 13 (optional). Leiten Sie den Datenverkehr von der VirtualPortGroup-Schnittstelle an den UTD-Dienst um.

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup

Anmerkung: Wenn die Umleitung nicht konfiguriert ist, wird sie automatisch erkannt.

Schritt 14: Aktivieren Sie die UTD IPS-Engine, um den Datenverkehr aller Layer-3-Schnittstellen auf dem Router zu überprüfen.

Router(config-utd)#all-interfaces

Schritt 15. Aktivieren Sie den Motorstandard.

Router(config-utd)#engine standard

Die nächsten Syslog-Meldungen zeigen an, dass die UTD-Snort-Engine ordnungsgemäß aktiviert wurde:

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

Schritt 16 (optional). Definieren der Aktion für die UTD-Snort-Engine während eines Fehlers (UTD-Datenebene)

Router(config-engine-std)#fail open
Router(config-engine-std)#end

Anmerkung: Die Option "Fail Close" verwirft den gesamten Router-Datenverkehr, wenn die UTD-Engine ausfällt, und die Option "Fail Open" ermöglicht dem Router, den Datenverkehr auch bei UTD-Ausfällen ohne IPS/IDS-Inspektion weiterzuleiten. Die Standardoption ist "fail open".

Schritt 17: Speichern der Router-Konfiguration

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

Port-Scan Inspector für die UTD Snort Engine

Die UTD-Snort-Engine verfügt über Port-Scan-Funktionen. Ein Port-Scan ist eine Form der Netzwerkdurchsuchung, die von Angreifern häufig als Auftakt für einen Angriff verwendet wird. Bei einem Port-Scan sendet ein Angreifer Pakete, die darauf ausgelegt sind, Netzwerkprotokolle und -dienste auf einem Zielhost zu suchen. Durch die Untersuchung der Pakete, die als Antwort von einem Host gesendet werden, kann der Angreifer ermitteln, welche Ports auf dem Host offen sind und welche Anwendungsprotokolle auf diesen Ports direkt oder indirekt ausgeführt werden.

Ein Port-Scan allein ist kein Anzeichen für einen Angriff. Legitime Benutzer in Ihrem Netzwerk verwenden möglicherweise ähnliche Port-Scanning-Techniken, die von Angreifern verwendet werden.

Der por_scan-Inspektor erkennt vier Typen von Port-Scan und überwacht Verbindungsversuche mit TCP-, UDP-, ICMP- und IP-Protokollen. Durch die Erkennung von Aktivitätsmustern unterstützt Sie der Port_scan-Inspektor dabei, festzustellen, welche Port-Scans schädlich sein können.

alt-tag-for-image

Port-Scans werden im Allgemeinen in vier Typen unterteilt, die auf der Anzahl der Ziel-Hosts, der Anzahl der Scan-Hosts und der Anzahl der gescannten Ports basieren.

alt-tag-for-image

Regeln für den Port-Scan-Inspektor

In Tabelle 3 unten werden die Regeln des Port-Scan-Inspektors angezeigt.

alt-tag-for-image

Empfindliche Stufen für Port-Scans

Der port_scan inspector bietet drei standardmäßige Scan-sensitive Ebenen für die UTD-Snort-Engine:

Hoher Port-Scan
Niedriger Port_scan
Mittlerer Port_scan

Konfigurieren des Port-Scan-Inspektors für die UTD Snort Engine

Schritt 1: Konfigurieren der Unified Threat Defense (UTD)-Standard-Engine (Serviceebene)

Router#configure terminal
Router(config)#utd engine standard

Schritt 2: Aktivieren Sie die Bedrohungsprüfung für die UTD-Snort-Engine.

Router(config-utd-eng-std)#threat-inspection

Schritt 3. Aktivieren Sie dann port_scan.

Router(config-utd-engstd-insp)#port-scan

Schritt 4. Stellen Sie die Empfindlichkeitsstufe port_scan ein. Die verfügbaren Optionen sind hoch, mittel oder niedrig.

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

Schritt 5: Sobald "port_scan" aktiviert und mit einer Empfindlichkeitsstufe für die UTD-Snort-Engine konfiguriert ist, verwenden Sie den Befehl "show utd engine standard config", um die Konfiguration von "port_scan" zu überprüfen.

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Überprüfung

Überprüfen Sie die IP-Adressen und den Schnittstellenstatus der VirtualPortGroup.

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

Überprüfen der VirtualPortGroup-Schnittstellenkonfiguration

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

Überprüfen der App-Hosting-Konfiguration

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

Überprüfen Sie die Iox-Aktivierung.

Router#show running-config | i iox
iox

Prüfen des App-Hosting-Status

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

Details zum App-Hosting überprüfen

Geben Sie den Befehl show app-hosting detail aus, um den Status der UTD-Snort-Engine, die ausgeführte Softwareversion, den RAM, die CPU- und Festplattenauslastung, die Netzwerkstatistiken und die DNS-Konfiguration zu bestätigen.

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

Überprüfen Sie die Kompatibilitätsversion der UTD-Snort-Engine im Vergleich zur laufenden Router IOS-XE-Version.

Verwenden Sie den Befehl 'show utd engine standard version', um die Kompatibilitätsversion der UTD-Snort-Engine unter Verwendung der IOS-XE-Router-Version zu überprüfen.

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

Status der UTD-Snort-Engine überprüfen

Option 1: Geben Sie den Befehl "show utd engine standard status" ein, um den Status der UTD-Snort-Engine, den Status in "Green", den Status in "Green" und den Gesamtsystemstatus in "Green" zu bestätigen. Sie geben an,dass die UTD-Snort-Engine betriebsbereit ist.

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

Anmerkung: Wenn die UTD-Snort-Engine überbelegt ist, ändert sich der Status des Threat Defense-Kanals zwischen grün und rot. Das UTD-Datenfeld verwirft entweder alle weiteren Pakete, wenn Fail-Close konfiguriert ist, oder leitet die Pakete ohne Überprüfung weiter, wenn Fail-Close nicht konfiguriert ist (Standard). Wenn sich die UTD-Serviceebene von einer Überbelegung erholt, antwortet sie mit dem grünen Status auf das UTD-Datenflugzeug.

Option 2. Geben Sie den Befehl show platform software utd global ein, um eine kurze Zusammenfassung des Betriebsstatus der UTD-Snort-Engine zu erhalten.

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

Überprüfen der Konfiguration der UTD-Snort-Engine

Option 1. Geben Sie den Befehl "show utd engine standard config" ein, um die Konfigurationsdetails der UTD-Snort-Engine, den Betriebsmodus, den Richtlinienmodus, die Signatur-Update-Konfiguration, die Protokollierungskonfiguration, die Whitelist und den Port-Scan-Status anzuzeigen.

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

Option 2: Geben Sie "show running-config" ein | b engine'-Befehl zur Anzeige der aktuellen Konfiguration der UTD-Snort-Engine.

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

Überprüfen des Aktualisierungsstatus der IPS-Snort-Signatur der UTD-Snort-Engine

1. Führen Sie den Befehl "show utd engine standard Threat-Inspection signature update status" aus, um den IPS-Signatur-Update-Status zu überprüfen.

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. Geben Sie den Befehl "utd Threat-Inspection Signature Update" ein, um eine manuelle Aktualisierung der IPS-Snort-Signatur auszuführen, indem Sie die vorhandene Serverkonfiguration verwenden, die auf die UTD-Snort-Engine für die Signatur-Downloads angewendet wird.

Router#utd threat-inspection signature update

3. Führen Sie den Befehl "utd Threat-Inspection Signature Update Server [cisco, url] username xxxxx password xxxxx force" aus, um ein manuelles IPS Snort Signature Update mit den angegebenen Serverparametern zu erzwingen.

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

So überprüfen Sie, ob die UTD-Snort-Engine den Datenverkehr überprüft

Verwenden Sie die folgenden show-Befehle, um den von der UTD-Snort-Engine verarbeiteten Datenverkehr zu überwachen und die mit der Datenverkehrsanalyse verbundenen Statistiken zu überprüfen.

Option 1. Aus der unten stehenden Ausgabe von "show utd engine standard statistics" (UTD-Standardstatistiken anzeigen) werden die Zähler "received" und "analyzed" (analysierte Zähler) inkrementiert, wenn der Datenverkehr von der UTD-Snort-Engine verarbeitet wird:

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

Option 2. Aus der folgenden Ausgabe der qfp active feature utd stats-Plattformhardware werden die Zähler "decaps" und "Divert" inkrementiert, wenn der Datenverkehr zur Datenverkehrsanalyse vom Router zur UTD-Snort-Engine umgeleitet wird, und die Encaps- und Reinject-Zähler inkrementieren sich, wenn von der UTD-Snort-Engine zum Router umgeleitet:

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

Option 3. Aus der unten stehenden Ausgabe von "show utd engine standard statistics internal" erhöhen sich die Zähler "received" und "analyzed", wenn der Datenverkehr zur Datenverkehrsanalyse vom Router zur UTD-Snort-Engine umgeleitet wird. Außerdem zeigt diese Ausgabe weitere Details und Statistiken über den von der UTD-Snort-Engine überprüften Datenverkehr an:

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

Überprüfen, ob die UTD-Snort-Engine eine IPS-Snort-Signatur ausgelöst hat

Verwenden Sie die folgenden show-Befehle, um die ausgelösten snort IPS-Signaturen, die generierten IPS/IDS-Ereignisse und die beteiligten Quell- und Ziel-IP-Adressen zu überwachen.

Option 1. Verwenden Sie den Befehl show utd engine standard logging events [Threat-Inspection], um nach IPS/IDS-Ereignissen zu suchen:

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

Option 2. Verwenden Sie den Befehl "show utd engine standard logging statistics threat-inspection", um nach den wichtigsten IPS-Snort-Signaturen zu suchen, die in den letzten 24 Stunden ausgelöst wurden, und wie oft die einzelnen Signaturen ausgelöst wurden:

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

Option 3. Verwenden Sie den Befehl "show utd engine standard logging statistics threat-inspection detail", um nach den höchsten IPS-Snort-Signaturen zu suchen, die in den letzten 24 Stunden ausgelöst wurden, wie oft jede Signatur ausgelöst wurde und nach den Quell- und Ziel-IP-Adressen, die die Signatur ausgelöst haben:

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1

Option 4. Die UTD-Snort-Engine überwacht den Datenverkehr und meldet Ereignisse an einen externen Protokollserver oder das IOS-Syslog. Die Aktivierung der Protokollierung im IOS-Syslog kann sich aufgrund des potenziellen Volumens an Protokollmeldungen auf die Leistung auswirken. Externe Überwachungstools von Drittanbietern, die Snort-Protokolle unterstützen, können zur Protokollsammlung und -analyse verwendet werden.

Wenn die UTD-Snort-Engine ein IPS/IDS-Ereignis generiert, zeigt der Router eine Syslog-Meldung wie die folgende an:

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

Anmerkung: Die Protokolle der UTD-Snort-Engine werden in der CLI des Router IOSd angezeigt, sobald das Protokollierungs-Syslog unter der UTD-Engine-Standardkonfiguration für die UTD-Snort-Engine aktiviert ist.

Wenn die UTD-Snort-Engine so konfiguriert ist, dass sie Abmeldungen an einen externen Syslog-Server sendet, sollten Sie die UTD-Snort-Engine-Protokolle auf Ihrem Remote-Syslog-Server wie folgt sehen:

alt-tag-for-image

Anzeigen der aktiven IPS-Snort-Signaturen

Verwenden Sie die folgenden Befehle, um je nach verwendeter Richtlinienkonfiguration (Balanced, Connectivity oder Security) die Snort-Signaturen Active, Drop und Alert IPS für die UTD-Snort-Engine anzuzeigen.

Option 1. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Sicherheitsrichtlinie anzuzeigen.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

Option 2. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Verbindungsrichtlinie anzuzeigen.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

Option 3. Gehen Sie wie folgt vor, um die Liste der aktiven IPS-Snort-Signaturen für die Balanced-Richtlinie anzuzeigen.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

Anmerkung: Um die aktiven IPS Snort-Signaturen für die Balanced-, Connectivity- oder Security Policy anzuzeigen, muss die UTD Snort Engine den entsprechenden Richtlinienmodus ausführen, den Sie anzeigen möchten.

Fehlerbehebung

1. Stellen Sie sicher, dass auf dem Cisco Integrated Services Router (ISR) XE 16.10.1a und höher ausgeführt wird (für die IOx-Methode).

2. Stellen Sie sicher, dass der Cisco Integrated Services Router (ISR) mit aktivierter Security900-Funktion lizenziert ist.

3. Überprüfen Sie, ob das ISR-Hardwaremodell mit dem minimalen Ressourcenprofil übereinstimmt.

4. Die UTD-Snort-Engine ist nicht mit dem zonenbasierten Firewall-SYN-Cookie und der Network Address Translation 64 (NAT64) kompatibel.

5. Bestätigen Sie, dass der UTD-Snort-Engine-Dienst nach der Installation gestartet wird.

6. Stellen Sie beim manuellen Herunterladen des Signaturpakets sicher, dass das Paket die gleiche Version wie die Snort-Engine-Version hat. Die Aktualisierung des Signaturpakets schlägt möglicherweise fehl, wenn eine Versionskonflikt vorliegt.

7. Verwenden Sie bei Leistungsproblemen die 'show app-hosting resource' und die 'show app-hosting usage ''UTD-NAME' zum Überprüfen der UTD-CPU, des Arbeitsspeichers und des Speicherplatzes.

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

Warnung: Wenden Sie sich an das Cisco TAC, wenn Sie bestätigen, dass die UTD Snort-Engine eine hohe CPU-, Arbeitsspeicher- oder Festplattenauslastung aufweist.

Debuggen

Verwenden Sie zur Fehlerbehebung die unten aufgeführten Debug-Befehle, um weitere Details von der UTD-Snort-Engine zu erfassen.

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

Warnung: Das Ausführen von Debugbefehlen während der Produktionszeiten kann die CPU-, Arbeitsspeicher- oder Festplattenauslastung der UTD Snort-Engine oder des Routers erheblich erhöhen und sich potenziell auf den Datenverkehr und die Systemstabilität auswirken. Verwenden Sie Debug-Befehle sparsam, vorzugsweise während eines Wartungsfensters, und deaktivieren Sie sie sofort nach dem Erfassen der erforderlichen Daten. Wenn eine erhöhte Ressourcennutzung oder Auswirkungen auf den Service festgestellt werden, brechen Sie die Fehlerbehebung ab, und wenden Sie sich an das Cisco TAC.