Dieses Dokument enthält häufig gestellte Fragen (FAQs) zum Cisco Secure Intrusion Detection System (IDS), vormals NetRanger, Version 3.1 und früher.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Antwort: Weitere Informationen zu Cisco Secure IDS finden Sie in der vollständigen Produktdokumentation.
Antwort: Sie müssen die Sensor- und Management Platform-Signaturen separat aktualisieren. Beachten Sie, dass die Management-Software vom Sensor keine Signaturen erlernen kann, daher muss sie auch aktualisiert werden. Laden Sie die aktuelle Signatur-Update-Datei für jede Anwendung von den Cisco Secure Downloads herunter (nur registrierte Kunden). Die am gleichen Speicherort verfügbaren Readme-Dateien enthalten Anweisungen zum Aktualisierungsverfahren.
Antwort: Die Liste der IDS-Signaturen ist über die Cisco Secure Encyclopedia verfügbar (nur registrierte Kunden).
Antwort: Auf der UNIX IDS-Standalone-Sensor- und IDS-Management-Software lautet das Standardkennwort "Angriff" für Benutzer-Netzwerk und Root. Wenn Sie den Befehl su eingeben, um der Root-Benutzer zu werden, lautet das Standardkennwort "attack". Auf dem IDSM-Blade (Intrusion Detection System Module) lautet das Standardkennwort "Attack" für ciscoids mit dem Benutzernamen.
Antwort: Sie benötigen einen lokalen FTP-Server, damit Sie die Konfigurationen hochladen können.
- Geben Sie diesen Befehl aus dem Diagnosemodus auf dem Blade ein.
report systemstatus siteuser dir - Geben Sie y ein, um fortzufahren, wenn Sie dazu aufgefordert werden, den Systembericht weiter zu generieren.
- Geben Sie bei Aufforderung das FTP-Kennwort Ihres angegebenen Benutzers ein. Wenn der Vorgang abgeschlossen ist, erhalten Sie eine Meldung, die angibt, ob der Vorgang fehlgeschlagen ist oder die Datei gesendet wurde.
Antwort: Die Installations-/Aktualisierungsprotokolle finden Sie an folgenden Stellen:
Die Installationsprotokolle des Direktors befinden sich unter /var/adm/nrInstall.log.
Die Aktualisierungsprotokolle für das Sensor Service Pack befinden sich in /usr/nr/sp-update/.
Signature-Update-Protokolle sind in /usr/nr/sig-update/.
Antwort: IDS ist nur für PIX 6.0 und höher verfügbar. Die Signaturen sind in den Syslog-Meldungen 40000 bis 400051 enthalten, die als Cisco Secure IDS-Signaturnachrichten bezeichnet werden. Weitere Informationen zu jeder Signatur finden Sie in der Dokumentation der PIX-Systemprotokollmeldungen.
Antwort: Melden Sie sich für Cisco IDS-Benachrichtigungen über aktive Updates an, um E-Mail-Benachrichtigungen zu Produktneuigkeiten im Zusammenhang mit Cisco Secure IDS zu erhalten.
Antwort: Vor Version 3.1 sind die Verwaltungsoptionen Cisco Secure Policy Manager (CSPM) oder UNIX Director. Der Hauptunterschied besteht darin, dass CSPM als unabhängige Anwendung auf einem Windows-Server ausgeführt wird, während UNIX Director auf einem UNIX Solaris-Server auf HP OpenView ausgeführt wird. Mit IDS 3.1 können die Sensoren auch über den auf einem PC installierten IDS Event Viewer (IEV) oder den IDS Device Manager, der Teil des Sensors der Version 3.1 ist, verwaltet werden. Der Gerätemanager wird standardmäßig mithilfe von Secure Socket Layer (SSL) aktiviert, nachdem Sie den Sensor eingerichtet haben.
Antwort: Die SDK-Software ist für die Öffentlichkeit nicht verfügbar.
Antwort: Version 4.0 bietet mehrere neue Funktionen. Die auffälligste neue Funktion ist eine Kommandozeile ähnlich wie Cisco IOS®.
Antwort: Die harte Einstellung von Geschwindigkeit/Duplex in 3.x- und 4.0-Code wird nicht unterstützt, und es gibt einen Fehler bei der Funktionsanforderung (Cisco Bug ID CSCdy43054 (nur registrierte Kunden)). Die Funktion ist im 5.0-Code verfügbar, der jetzt unter Schnittstellenkonfiguration verfügbar ist.
Antwort: Kunden können die Update-Datei für Version 3.1 von den Cisco Secure Downloads herunterladen (nur registrierte Kunden).
Antwort: Kunden können die Update-Datei für Version 3.0 von den Cisco Secure Downloads herunterladen (nur registrierte Kunden). Installieren Sie das Software-Update auf die gleiche Weise wie Service Pack- und Signatur-Updates in Version 2.5. Das Verfahren wird ausführlich in der Cisco IDS Sensor Configuration Note Version 3.0 beschrieben.
Antwort: Die 3.0-Upgrade-Datei kann von den Cisco Secure Downloads heruntergeladen werden (nur registrierte Kunden), jedoch kann diese Datei nicht vor 2.5 aktualisiert werden. Sie müssen die Upgrade-/Recovery-CD verwenden, die über das Product Upgrade Tool verfügbar ist (nur registrierte Kunden), um ein Upgrade von der Softwareversion 2.2 auf 3.0 durchzuführen. Die Teilenummer für diese CD ist IDS-SW-U.
Hinweis: Sie benötigen einen gültigen Support-Vertrag, um die Upgrade-/Recovery-CD zu bestellen.
Antwort: Stellen Sie sicher, dass Sie eine unterstützte Tastatur und einen unterstützten Monitor verwenden. Einige Marken und Modelle sind nicht mit Cisco Secure IDS kompatibel und verhindern, dass der IDS-Sensor ordnungsgemäß bootet. Detaillierte Markeninformationen finden Sie unter Cisco Secure IDS Appliance Boot Failure.
Antwort: Jede dieser Dateien enthält eine bestimmte Gruppe von Software-Updates oder -Ergänzungen, die durch die hier erläuterten Benennungskonventionen angezeigt werden.
Das Service Pack-Update für die IDS Sensor Appliance-Software beinhaltet Verbesserungen an der IDS Sensor Core-Anwendungssoftware sowie Bugfixes. Beispielsweise enthält eine Datei mit dem Namen IDSk9-sp-3.0-5-S17.bin Updates für die Softwareversion 3.0(5) sowie die Signaturensatznummer 17.
Die Signatur-Update-Datei enthält nur Updates der Signaturen (Angriffs-Fingerprints). Beispielsweise enthält eine Datei mit dem Namen IDSk9-sig-3.0-5-S18.bin die Signaturensatznummer 18 für die 3.0(5) Sensor-Software.
Kunden können diese Dateien von der Cisco Secure Downloads (nur registrierte Kunden) Website herunterladen.
Antwort: Melden Sie sich als Benutzerbereich beim Sensor an, und führen Sie den folgenden Befehl aus:
nrgetbulk
Sie sollten eine Antwort erhalten, die ähnlich wie "<IP_address> Active" ist und die die IP-Adresse des Shunning-Geräts anzeigt, das zur Blockierung von Angriffen verwendet wird. Diese Ausgabe zeigt ein Beispiel für die Befehlssyntax und die erwartete Antwort:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessSie können sich auch beim Router anmelden und den Befehl Who eingeben, um festzustellen, ob der Sensor angemeldet ist.
Antwort: Diese Fehlermeldung weist auf potenzielle Probleme mit den Dateien /usr/nr/etc/routen und/oder /usr/nr/etc/hosts auf Ihrem Sensor hin. Die .../routen-Dateien definieren die vertrauliche Kommunikation zwischen dem Sensor und dem Director. Die .../hosts-Dateien definieren die Namen und IP-Adressen von Sensoren und Directors.
Sie können sich auch als Benutzer-Root anmelden, den Befehl sysconfig-sensor ausführen und Ihre IDS Communications Infrastructure-Informationen erneut eingeben.
Antwort: Weitere Informationen zu diesem Verfahren finden Sie unter Kopieren von zu sichtenden IP-Protokolldateien.
Antwort: Configd ist der Daemon, der alle Befehle sowohl auf UNIX Directors als auch auf Sensoren in der 2.2.x-Codebasis verarbeitet. In der 2.5- und 3.0-Codebasis wurde diese Funktionalität in die anderen Daemons übernommen, und der konfigurierte Daemon existiert nicht mehr.
Antwort: Bearbeiten Sie die Datei /usr/nr/etc/daemons auf dem Sensor, um sicherzustellen, dass nr.packetd in der Daemon-Liste enthalten ist. Beenden und starten Sie dann die Services.
Antwort: Die Steuerschnittstelle oben ist iprb1: und die Sniffing-Schnittstelle unten ist iprb0:.
Antwort: Der Befehl ifconfig sollte nur die Steuerungsschnittstelle anzeigen. Die andere Schnittstelle (die Sniffing-Schnittstelle) wird noch vom Sensor verwendet, aber Benutzer sollen sie nicht sehen können. Wenn Sie diese Schnittstelle anzeigen möchten, melden Sie sich als root an und geben den Befehl ifconfig -a ein, um die Schnittstellennamen zu bestimmen. Geben Sie den Befehl ifconfig <interface> plumb ein, um den Status einer bestimmten Schnittstelle zu überprüfen.
Antwort: Die Härtung der Schnittstellengeschwindigkeit am Sensor sollte nicht erforderlich sein und wird vom technischen Support von Cisco nicht unterstützt. Wenn der Switch für die automatische Aushandlung festgelegt ist, handelt die Schnittstelle die Geschwindigkeit mit dem Switch aus, an den er angeschlossen ist. Der Datenverkehr vom Netzwerk zum Sensor verläuft unidirektional (d. h. der Sensor empfängt). Daher ist es im Allgemeinen ausreichend, wenn der Switch anzeigt, dass 100 Halbduplex ausgehandelt wurden (unter der Annahme, dass der Switch-Port 100 m beträgt).
Antwort: Ja, aber Sie sollten ein Upgrade Ihrer Director-Software auf Version 2.2.3 oder höher durchführen. Registrierte Kunden können diese Dateien von den Cisco Secure Downloads herunterladen (nur registrierte Kunden).
Antwort: Geben Sie den Befehl cat /usr/nr/VERSION ein, und überprüfen Sie die Versionsnummer, die die Ausgabe enthält.
Hinweis: Ausgabe des nrvers-Befehls auf dem Director teilt Ihnen die Version der Daemons mit, die auf dem Director ausgeführt werden, aber sie sagt Ihnen nicht die Version der Director-Software selbst.
Antwort: Melden Sie sich als user netrangr an, und führen Sie das Skript /usr/nr/bin/Director/nrCollectInfo aus, um Konfigurationsinformationen an eine Datei mit dem Namen /usr/nr/var/tmp/Report_For_Director.html zu senden.
Antwort: Wenn IDS Director mit Fehlern überflutet wird und nicht alle angezeigt werden kann, wird eine Pufferung auf eine Datei gestartet. Beenden Sie die IDS-Daemons und beenden Sie alle OpenView-Karten, die Sie geöffnet haben, um die Datei loszuwerden. Löschen Sie die Datei /usr/nr/var/nrDirmap.buffer.default, starten Sie dann die IDS-Daemons und Ihre OpenView-Zuordnung neu.
Antwort: In IDS-Versionen vor 2.2.2 ist es am einfachsten, die OpenView-Datenbank zu löschen. Die Datenbank ist in /var/opt/OV/share/database/openview gespeichert. Führen Sie diese Schritte aus, um die OpenView-Datenbank zu löschen.
- Schließen Sie alle offenen OpenView-Maps mit dem Befehl ovstop, und beenden Sie dann die IDS-Dienste mit dem Befehl nrstop.
- Melden Sie sich als Benutzer-Root und Problem/Benutzer/nr/bin/Director/nrDeleteOVwDb an.
- Entfernen Sie alle "error.*"-Dateien im Verzeichnis /usr/nr/var (z. B. errors.configd).
- Starten Sie die Dienste mit dem Befehl nrstart neu, und starten Sie OpenView mit dem Befehl ostart neu.
Hinweis: In Director Version 2.2.2 können Sie nur den IDS-Teil der OpenView-Datenbank anstelle der gesamten Datenbank entfernen. Dieses Verfahren wird im IDS Director-Konfigurationshandbuch beschrieben.
Antwort: Führen Sie diesen Befehl aus.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesStellen Sie sicher, dass das Benutzernetzwerk Eigentümer der Dateien ist, und starten Sie dann die IDS-Dienste neu.
Antwort: Das Problem tritt auf, weil nrConfigure den gepackten Prozess in der Daemon-Datei des Direktors erkennt (was nicht der Fall sein sollte). Wenn nrConfigure den Director nach seiner Version fragt, als ob es sich um einen Sensor handele, kann der Director nicht mit einer Sensorversion antworten.
Führen Sie diese Schritte aus, um dieses Problem zu beheben.
- Bearbeiten Sie die Datei /usr/nr/etc/daemons, und entfernen Sie Einträge für nr.packetd, nr.sensord und nr.managed, da diese Prozesse nur auf dem Sensor ausgeführt werden sollen.
- Beenden Sie die Dienste mit dem Befehl nrstop, und starten Sie dann die Dienste mit dem Befehl nrstart neu.
- Stellen Sie sicher, dass nrConfigure heruntergefahren wurde.
- Starten Sie OpenView mit dem Befehl ovw.
- Wählen Sie Security > Advanced > nrConfigure DB > Delete aus, um die beschädigte nrConfigure-Datenbank zu löschen.
- Geben Sie yes ein, wenn Sie zum Fortfahren aufgefordert werden.
- Markieren Sie Ihren Director und alle Sensoren im Hauptfenster von OpenView.
- Wählen Sie Security > Advanced > nrConfigure DB > Create aus, um eine neue nrConfigure-Datenbank mit den aktuellen Konfigurationsversionen der Computer zu erstellen.
Antwort: Benutzer, die die IDS-Anwendung auf UNIX Director ausführen, können auch andere Anwendungen auf OpenView ausführen. Dies wird nicht empfohlen, kann aber in einigen Fällen nicht vermieden werden. Das Problem ist, dass nrdirmap standardmäßig für jede OpenView-Map aktiviert ist, was nicht wünschenswert ist, wenn andere Anwendungen in OpenView ausgeführt werden.
Führen Sie diese Schritte auf UNIX Director aus, um die Standardeinstellung zu ändern, sodass Sie auswählen können, für welche Karten die Richtlinienkarte aktiviert ist.
- Melden Sie sich als Benutzer netrangr an.
- Geben Sie cd $OV_REGISTRATION/C ein. (OV_REGISTRATION ist Teil Ihrer Umgebungsvariablen. Der übliche Pfad ist /etc/opt/OV/share/registration/C.)
- Geben Sie su root ein.
- Bearbeiten Sie die Roadmap-Datei, und ändern Sie die Befehlszeile, wie in der Ausgabe gezeigt:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Speichern Sie die nrdirmap-Datei.
- Recyclen Sie OpenView. Wenn eine Karte mit dem Befehl ovw aufgerufen wird, geben Sie ps -ef ein. | grep dirmap sollte eine ähnliche Ausgabe wie hier gezeigt ergeben. Beachten Sie die Anleitung mit dem -d Switch.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dBei neuen Karten, die in OpenView erstellt wurden, ist nrdirmap jetzt nicht standardmäßig aktiviert. Wenn Sie eine Map mit installierter nrdirmap erstellen möchten, müssen Sie dies über die OpenView-GUI tun, wie in diesem Verfahren erläutert wird.
- Wählen Sie im Hauptmenü von OpenView Map > New aus und geben Sie einen Namen für die neue Karte ein.
- Unter den konfigurierbaren Anwendungen sollte NetRanger/Director angezeigt werden. Wählen Sie NetRanger/Director aus und klicken Sie auf Konfigurieren für diese Karte.
- Wählen Sie für die Option "Soll nrdirmap für diese Karte aktiviert werden?" die Option True aus, wenn Sie nrdirmap aktivieren möchten.
- Wählen Sie Prüfen und klicken Sie auf OK.
Antwort: Die Schweregrade wurden in Version 2.2.3 des Direktors geändert, um nur den Bereich 1 bis 5 zu unterstützen.
Antwort: Derzeit ist Version 2.3i von CSPM die Version, die IDS-Sensor verwalten kann, CSPM 3.0 hingegen nicht. Wenn Sie den Sensor und andere sichere Cisco Geräte (wie PIX, Router) mit CSPM verwalten, müssen Sie die beiden verschiedenen CSPM-Versionen (2.3i und 3.x) auf zwei separaten Windows-Servern installieren. Sie können jeden Server für die Verwaltung der entsprechenden Geräte verwenden: CSPM 2.3i für die Sensoren und CSPM 3.x für PIX, Router usw.
Antwort: Unter Konfigurieren eines Cisco Secure IDS-Sensors in CSPM finden Sie weitere Informationen zur Konfiguration des CSPM für das Management Ihres IDS-Sensors und zur Sicherstellung der Kommunikation.
Antwort: Tuning beinhaltet die Änderung dessen, was erforderlich ist, damit eine Signatur ausgelöst wird (z. B. die Anzahl der Hosts in einer Sweep-Aktion), und bedeutet nicht, Aktionen und Schweregrade festzulegen.
CSPM kann keine Signaturen für die Appliance (in keiner Version) abstimmen. Sie kann nur die Aktionen und Schweregrade einer Signatur festlegen. Mit anderen Worten, CSPM kann festlegen, welcher Schweregrad und welche Aktion der Signatur zugeordnet werden soll, aber nicht festlegen, was diese Signatur auslöst. Das SigWizMenu auf dem Sensor muss zur Einstellung der Sensoren verwendet werden. SigWizMenu und CSPM können beide verwendet werden, um denselben Sensor zu konfigurieren, da sie verschiedene Bereiche der Konfiguration betreffen.
Hinweis: Wenn Sie UNIX Director, Version 2.2.3 oder höher, verwenden, kann das Dienstprogramm nrConfigure alles konfigurieren, was SigWizMenu konfiguriert. Nach dem Upgrade auf 2.2.3 sollten Sie nrConfigure anstelle von SigWizMenu verwenden, um die Signaturen zu optimieren.