El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo implementar el motor UTD Snort IPS en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSRs e ISRv mediante el método IOx.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
El método VMAN está ahora obsoleto.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La función Snort IPS de Unified Threat Defence (UTD) habilita el sistema de prevención de intrusiones (IPS) o el sistema de detección de intrusiones (IDS) para sucursales en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv. Esta función utiliza el Snort de código abierto para activar las funciones de IPS o IDS.
Snort es un IPS de código abierto que realiza análisis de tráfico en tiempo real y genera alertas cuando se detectan amenazas en redes IP. También puede realizar análisis de protocolos, investigaciones de contenido o marchas, y detectar una variedad de ataques y sondeos, como desbordamientos de búfer, análisis de puertos sigilosos, etc. El motor UTD Snort se ejecuta como un servicio de contenedor virtual en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv.
UTD Snort IPS proporciona funciones IPS o IDS para los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv.
En función de los requisitos de red. El UTD Snort IPS se puede activar como IPS o IDS:
El UTD Snort IPS se ejecuta como servicio en los routers de las series ISR1K, ISR4K, CSR e ISRv. Los contenedores de servicios utilizan tecnología de virtualización para proporcionar un entorno de alojamiento en dispositivos de Cisco para aplicaciones. La inspección del tráfico de Snort se habilita por interfaz o globalmente en todas las interfaces admitidas.
La solución IPS de motor de buceo UTD consta de las siguientes entidades:
Sensor de Snort: supervisa el tráfico para detectar anomalías en función de las políticas de seguridad configuradas (que incluyen firmas, estadísticas, análisis de protocolos, etc.) y envía mensajes de alerta al servidor de alertas/informes. El sensor Snort se implementa como un servicio de contenedor virtual en el router.
Almacén de firmas: aloja los paquetes de firmas de Cisco que se actualizan periódicamente. Estos paquetes de firmas se descargan en los sensores de Snort de forma periódica o a petición. Los paquetes de firmas validadas se publican en Cisco.com. Según la configuración, los paquetes de firma se pueden descargar de Cisco.com o de un servidor local.
El router accede a los siguientes dominios en el proceso de descarga del paquete de firma desde cisco.com:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Los paquetes de firma se deben descargar manualmente desde Cisco.com al servidor local mediante las credenciales Cisco.com antes de que el sensor de Snort pueda recuperarlos.
Servidor de alertas/informes: recibe eventos de alerta del sensor de Snort. Los eventos de alerta generados por el sensor de Snort se pueden enviar al syslog del IOS o a un servidor syslog externo, o bien al syslog del IOS y al servidor syslog externo. No se incluyen servidores de registro externos con la solución Snort IPS.
Gestión: gestiona la solución Snort IPS. La administración se configura mediante la CLI de IOS. No se puede acceder directamente a Snort Sensor y toda la configuración solo se puede realizar mediante la CLI de IOS.
Los siguientes son los requisitos de licencia para el motor de buceo UTD:
a) Paquete de firma de comunidad: el conjunto de reglas del paquete de firma de comunidad ofrece una cobertura limitada contra las amenazas.
b) Paquete de firma basado en suscriptor: El conjunto de reglas del paquete de firma basado en suscriptor ofrece la mejor protección contra amenazas. Incluye cobertura previa a las vulnerabilidades y también proporciona el acceso más rápido a las firmas actualizadas en respuesta a un incidente de seguridad o al descubrimiento proactivo de una nueva amenaza. Esta suscripción es totalmente compatible con Cisco y el paquete se actualizará constantemente en Cisco.com.
El paquete de firma de suscriptor de Snort de UTD se puede descargar de software.cisco.com y la información de firma de snort se puede encontrar en snort.org.
Además, puede utilizar la siguiente herramienta snort.org Rule Documentation Search para buscar ID de firmas IPS de snort específicas.
Las siguientes son las plataformas compatibles con el motor de buceo UTD:
Las siguientes limitaciones se aplican al motor de buceo UTD:
Las siguientes restricciones se aplican al motor de buceo UTD:
Cuando habilita la licencia de refuerzo en los ISR de Cisco serie 4000, no puede configurar el contenedor de servicios virtuales para Snort IPS.
Incompatible con la función de cookie SYN del firewall basado en zonas.
No se admite la traducción de direcciones de red 64 (NAT64).
SnortSnmpPlugin es necesario para el sondeo SNMP en Snort de código abierto. Snort IPS no admite funciones de sondeo SNMP ni MIB, ya que el complemento SnortSNMP no está instalado en UTD.
A continuación, se muestran los enlaces de Cisco para descargar los archivos de imagen del UTD Snort IPS Engine Software que se utilizarán para instalar el motor UTD Snort en el router de Cisco. Además de eso, encontrará los archivos UTD Snort Subscriber Signature Package para descargar las firmas UTD snort IPS, dependiendo de la versión del motor UTD snort que se esté ejecutando.
Nota: Prerrequisitos a tener en cuenta para antes de instalar el motor de buceo UTD, Si es un ISR físico debe estar ejecutando IOS-XE versión 3.16.1 o superior. Si se trata de una CSR, debe estar ejecutando la versión 16.3.1 o posterior y, si se trata de un ISRv (ENCS), debe estar ejecutando la versión 16.8.1 o posterior. Para Catalyst 8300 (versión inicial 17.3.2 y posterior), 8200 (versión inicial 17.4.1 y posterior) y para 8000V (versión inicial 17.4.1 y posterior).
Nota: Si el usuario descarga el UTD Snort Subscriber Signature Package manualmente desde la página de software de descarga, el usuario debe asegurarse de que el paquete tiene la misma versión que la versión del motor de Snort. Por ejemplo, si la versión del motor Snort es 2982, el usuario debería descargar la misma versión del paquete de firma. Si no coincide la versión, se rechazará la actualización del paquete de firmas y se producirá un error.
Nota: Cuando se actualice el paquete de firmas, se reiniciará el motor y se interrumpirá el tráfico o se omitirá la inspección durante un breve período, en función de la configuración de fallo-apertura/fallo-cierre del plano de datos.
Paso 1. Configure las interfaces de VirtualPortGroup para el motor de snort UTD, y configure dos grupos de puertos:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Nota: Asegúrese de configurar el NAT y el ruteo requeridos para el VirtualPortgroup0, para que el motor UTD snort pueda alcanzar el servidor syslog externo así como el cisco.com para tomar los archivos de actualización de firmas.
Paso 2. Habilite el entorno IOx en el modo de configuración global.
Router(config)#iox
Paso 3. A continuación, active el servicio virtual y configure las IP de invitado; para ello, configure el alojamiento de aplicaciones con la configuración vnic.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Paso 4 (opcional). Configuración del perfil de recursos.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Nota: El servicio virtual UTD snort engine admite tres perfiles de recursos: Baja, Media y Alta. Estos perfiles indican los recursos de memoria y CPU necesarios para ejecutar el servicio virtual. Puede configurar uno de estos perfiles de recursos. La configuración del perfil de recursos es opcional. Si no configura un perfil, el servicio virtual se activa con su perfil de recursos predeterminado. Consulte Perfil de recursos del servicio virtual de Cisco para ISR4K y CSR1000v para obtener más detalles sobre el perfil de recursos.
Nota: Esta opción no está disponible para la serie ISR1K.
Paso 5. Copie el archivo de software del motor UTD Snort IPS en la memoria flash del router y, a continuación, instale el alojamiento de aplicaciones mediante el archivo UTD.tar de la siguiente manera.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Nota: La versión del motor UTD se especifica en el nombre del archivo UTD, asegúrese de que la versión del motor UTD que se va a instalar sea compatible con la versión IOS-XE que se ejecuta en el router de Cisco
Los siguientes registros del sistema deben aparecer para indicar que el servicio UTD se ha instalado correctamente.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Nota: Con 'show app-hosting list', el estado debe mostrarse como 'Deployed'
Paso 6. Inicie el servicio de alojamiento de aplicaciones.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Nota: Después de iniciar el servicio de alojamiento de aplicaciones, el estado de alojamiento de aplicaciones debe ser 'En ejecución'. Utilice 'show app-hosting list' o 'show app-hosting detail' para ver más detalles.
Los siguientes mensajes de syslog deben aparecer indicando que el servicio UTD se ha instalado correctamente.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Después de una instalación correcta, el plano de servicio se debe configurar para el motor de buceo UTD. El motor de buceo UTD se puede configurar como sistema de prevención de intrusiones (IPS) o como sistema de detección de intrusiones (IDS) para la inspección del tráfico.
Advertencia: Confirme que la función de licencia 'securityk9' está activada en el router para continuar con la configuración del plano de servicio UTD.
Paso 1. Configuración del motor estándar de Unified Threat Defence (UTD) (plano de servicio)
Router#configure terminal
Router(config)#utd engine standard
Paso 2. Habilite el registro del motor de buceo UTD en un servidor remoto y en el syslog IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Nota: UTD Snort IPS supervisa el tráfico e informa de los eventos a un servidor de registro externo o al syslog del IOS. La habilitación del registro en el syslog del IOS puede afectar el rendimiento debido al volumen potencial de mensajes de registro. Las herramientas de supervisión externas de terceros, compatibles con los registros de Snort, se pueden utilizar para la recopilación y el análisis de registros.
Paso 3. Activar inspección de amenazas para el motor Snort.
Router(config-utd-eng-std)#threat-inspection
Paso 4. Configure la detección de amenazas (IDS) o el sistema de prevención de intrusiones (IPS) como el modo operativo del motor de snort.
Router(config-utd-engstd-insp)#threat [protection,detection]
Nota: Utilice la palabra clave 'protection' para IPS y 'detection' para el modo IDS. El modo predeterminado es "detección"
Paso 5. Configure la Política de Seguridad para el motor de snort.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Nota: La política predeterminada es 'balanceada', en función de la política elegida, el motor de snort activará o desactivará las firmas IPS para la protección del motor de snort.
Paso 6 (opcional). Active la configuración de lista de permitidos de UTD (lista blanca).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Paso 7 (opcional). Configure los ID de firma de snort IPS que se incluirán en la lista blanca.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Nota: Los ID de firma se pueden copiar de las alertas que se deben suprimir. Puede configurar varios ID de firma. Repita este paso para cada ID de firma que deba agregarse a la lista blanca.
Nota: Una vez configurada la ID de firma de lista permitida (lista blanca), el motor de buceo UTD permitirá que el flujo pase a través del dispositivo sin ninguna alerta ni pérdida.
Nota: El identificador de generador (GID) identifica el subsistema que evalúa una regla de intrusión y genera eventos. Las reglas de intrusión de texto estándar tienen un identificador de generador de 1 y las reglas de intrusión de objeto compartido tienen un identificador de generador de 3. También hay varios conjuntos de reglas para varios preprocesadores. La siguiente Tabla 1. IDs del generador explica los GIDs.
Paso 8 (opcional). Habilitar lista de permitidos en configuración de inspección de amenazas.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Nota: Después de configurar el ID de firma de la lista blanca, el motor de snort permitirá que el flujo pase a través del dispositivo sin ninguna alerta ni caídas
Paso 9. Configure el intervalo de actualización de firmas para descargar firmas Snort automáticamente.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Nota: El primer número define la hora en formato de 24 horas y el segundo número indica minutos.
Advertencia: Las actualizaciones de firmas de UTD generan una breve interrupción del servicio en el momento de la actualización.
Paso 10. Configure los parámetros del servidor de actualización de firmas del motor de buceo UTD.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Nota: Utilice la palabra clave 'cisco' para señalar al servidor de Cisco para las actualizaciones de firmas o utilice la palabra clave 'url' para definir una ruta http/https personalizada para el servidor de actualizaciones. Para el servidor de Cisco, debe proporcionar sus credenciales de nombre de usuario y contraseña de Cisco.
Nota: Asegúrese de que un servidor DNS esté configurado para descargar firmas de snort IPS del servidor Cisco. El contenedor de Snort realiza una búsqueda de nombre de dominio (en los servidores DNS configurados en el router) para resolver la ubicación de las actualizaciones automáticas de firmas de Cisco.com o en el servidor local, si la dirección URL no se especifica como dirección IP.
Nota: La dirección IP de administración del módulo UTD asignada a la interfaz VirtualPortGroup0 debe incluirse en la configuración de NAT del router para permitir que el módulo obtenga acceso a Internet y llegue al servidor de Cisco para descargar los paquetes de firma de snort.
Paso 11. Habilite el nivel de registro del motor de buceo UTD y el registro de las estadísticas de alerta de inspección de amenazas:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Nota: A partir de la versión 16.8 de Cisco IOS XE Fuji, puede obtener detalles resumidos de las alertas de inspección de amenazas cuando ejecute el siguiente comando 'show utd engine standard logging threat-inspection statisticsdetail'. Solo cuando el registro de las estadísticas de alertas de inspección de amenazas está habilitado para el motor de buceo UTD.
Paso 12. Habilite el servicio utd.
Router#configure terminal
Router(config)#utd
Paso 13 (opcional). Redireccione el tráfico de datos desde la interfaz de VirtualPortGroup al servicio UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Nota: Si la redirección no está configurada, se detecta automáticamente.
Paso 14. Habilite el motor UTD IPS para que inspeccione el tráfico de todas las interfaces de capa 3 del router.
Router(config-utd)#all-interfaces
Paso 15. Habilite el estándar del motor.
Router(config-utd)#engine standard
Los siguientes mensajes de syslog deben ser vistos indicando que el motor de buceo UTD fue habilitado correctamente:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Paso 16 (opcional). Defina la acción para el motor de buceo UTD durante un fallo (plano de datos UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Nota: La opción "fail close" descarta todo el tráfico del router cuando falla el motor UTD y la opción "fail open" permite que el tráfico del router siga fluyendo sin inspección IPS/IDS durante los fallos UTD. La opción predeterminada es 'fallo al abrir'.
Paso 17. Guarde la configuración del router.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
El motor de buceo UTD tiene capacidades de análisis de puertos. Un análisis de puertos es una forma de reconocimiento de red que a menudo utilizan los atacantes como preludio de un ataque. En un análisis de puertos, un atacante envía paquetes diseñados para sondear protocolos y servicios de red en un host de destino. Al examinar los paquetes enviados en respuesta por un host, el atacante puede determinar qué puertos están abiertos en el host y, directamente o por inferencia, qué protocolos de aplicación se están ejecutando en estos puertos.
Por sí solo, un análisis de puerto no es evidencia de un ataque. Los usuarios legítimos de la red pueden emplear técnicas de exploración de puertos similares que utilizan los atacantes.
El inspector de port_scan detecta cuatro tipos de portscan y supervisa los intentos de conexión en los protocolos TCP, UDP, ICMP e IP. Al detectar patrones de actividad, el inspector de port_scan le ayuda a determinar qué análisis de puertos pueden ser maliciosos.
Los análisis de puertos se dividen generalmente en cuatro tipos en función del número de hosts de destino, el número de hosts de análisis y el número de puertos que se analizan.
La Tabla 3. a continuación muestra las reglas del inspector de exploración de puertos.
El inspector de port_scan proporciona tres niveles de sensibilidad de exploración predeterminados para el motor de buceo UTD:
Paso 1. Configuración del motor estándar de Unified Threat Defence (UTD) (plano de servicio)
Router#configure terminal
Router(config)#utd engine standard
Paso 2. Habilitar inspección de amenazas para el motor de buceo UTD.
Router(config-utd-eng-std)#threat-inspection
Paso 3. A continuación, habilite port_scan.
Router(config-utd-engstd-insp)#port-scan
Paso 4. Defina el nivel sensible de port_scan; las opciones disponibles son alta, media o baja.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Paso 5. Una vez que port_scan esté habilitado y configurado con un nivel sensible para el motor de snort UTD, utilice el comando 'show utd engine standard config' para verificar la configuración de port_scan.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Ejecute el comando 'show app-hosting detail' para confirmar el estado del motor de snort de UTD, la versión de software en ejecución, la utilización de RAM, CPU y disco, las estadísticas de red y la configuración de DNS en su lugar.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Utilice el comando 'show utd engine standard version' para confirmar la versión de compatibilidad del motor de buceo UTD, contra la versión del router IOS-XE en ejecución.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Opción 1. Ejecute el comando 'show utd engine standard status' para confirmar el estado del motor de buceo UTD, el estado en 'Verde', el estado en 'Verde' y el estado general del sistema en'Verde', para indicar que el motor de buceo UTD está operativo.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Nota: Cuando el motor de buceo UTD está sobresuscrito, el estado del canal de defensa contra amenazas cambia entre verde y rojo. El plano de datos UTD descarta todos los paquetes adicionales si se configura el cierre por fallo o reenvía los paquetes no inspeccionados si no se configura el cierre por fallo (valor predeterminado). Cuando el plano de servicio UTD se recupera de una sobresuscripción, responde al plano de datos UTD con el estado verde.
Opción 2. Ejecute el comando 'show platform software utd global' para obtener un breve resumen del estado de funcionamiento del motor de buceo UTD.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Opción 1. Ejecute el comando 'show utd engine standard config' para mostrar los detalles de la configuración del motor UTD snort, el modo de operación, el modo de política, la configuración de actualización de firmas, la configuración de registro, la lista blanca y el estado de escaneo de puertos.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Opción 2. Ejecute el comando 'show running-config | b engine' para mostrar la configuración de funcionamiento del motor UTD snort.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Ejecute el comando 'show utd engine standard threat-inspection signature update status' para verificar el estado de actualización de la firma del snort IPS.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Ejecute el comando 'utd threat-inspection signature update' para ejecutar una actualización manual de firmas de snort IPS mediante la configuración de servidor existente aplicada al motor de snort UTD para las descargas de firmas.
Router#utd threat-inspection signature update
3. Ejecute el comando 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' para forzar una actualización manual de la firma de snort IPS con los parámetros del servidor especificados.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Utilice los siguientes comandos show para monitorear el tráfico procesado por el motor de buceo UTD y para verificar las estadísticas relacionadas con la inspección de tráfico.
Opción 1. De la siguiente salida 'show utd engine standard statistics', los contadores 'received' y 'analyzed' se incrementan cuando el motor de buceo UTD procesa el tráfico:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Opción 2. A partir de la siguiente salida 'show platform hardware qfp active feature utd stats', los contadores 'decaps' y 'Divert' aumentan cuando el tráfico se redirige del router al motor de snort UTD para la inspección del tráfico y los contadores 'encaps' y 'Reinject' aumentan cuando el tráfico se redirige del motor de snort UTD al router:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Opción 3. De la siguiente salida 'show utd engine standard statistics internal', los contadores 'received' y 'analyzed' se incrementan cuando el tráfico se redirige del router al motor UTD snort para la inspección de tráfico. Además, este resultado mostrará más detalles y estadísticas sobre el tráfico inspeccionado por el motor de buceo UTD:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Utilice los siguientes comandos show para supervisar las firmas IPS de snort activadas, los eventos IPS/IDS generados y las direcciones IP de origen y destino involucradas.
Opción 1. Utilice el comando 'show utd engine standard logging events [threat-inspection]' para buscar eventos IPS/IDS:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Opción 2. Utilice el comando 'show utd engine standard logging statistics threat-inspection' para buscar las principales firmas de snort IPS activadas en las últimas 24 horas y cuántas veces se ha activado cada firma:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Opción 3. Utilice el comando 'show utd engine standard logging statistics threat-inspection detail' para buscar las principales firmas de snort IPS activadas en las últimas 24 horas, cuántas veces se ha activado cada firma y las direcciones IP de origen y destino que activaron la firma:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Opción 4. El motor de buceo UTD monitorea el tráfico e informa los eventos a un servidor de registro externo o al syslog del IOS. La habilitación del registro en el syslog del IOS puede afectar el rendimiento debido al volumen potencial de mensajes de registro. Las herramientas de supervisión externas de terceros, compatibles con los registros de Snort, se pueden utilizar para la recopilación y el análisis de registros.
Siempre que el motor de buceo UTD genera un evento IPS/IDS, el router muestra un mensaje de syslog como el siguiente:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Nota: Los registros del motor UTD snort se mostrarán en la CLI IOSd del router, justo cuando el registro syslog de registro está habilitado en la configuración utd engine standard para el motor UTD snort.
Cuando el motor UTD snort está configurado para enviar registros a un servidor syslog externo, debería ver los registros del motor UTD snort en su servidor syslog remoto de la siguiente manera:
Utilice los siguientes comandos para mostrar las firmas de snort IPS activo, descartado y en alerta para el motor de snort UTD, en función de la configuración de políticas utilizada (Equilibrado, Conectividad o Seguridad).
Opción 1. Proceda como se indica a continuación para mostrar la lista de firmas de snort IPS activas para la política de seguridad.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Opción 2. Proceda de la siguiente manera para mostrar la lista de firmas de snort IPS activas para la política de conectividad.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Opción 3. Proceda como se indica a continuación para mostrar la lista de firmas de snort IPS activas para la política equilibrada.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Nota: Para mostrar las firmas de Snort IPS activas para la directiva Equilibrada, Conectividad o Seguridad, el motor de Snort UTD debe estar ejecutando el modo de directiva correspondiente que desee ver.
1. Asegúrese de que el router de servicios integrados (ISR) de Cisco ejecuta XE 16.10.1a y versiones posteriores (para el método IOx).
2. Asegúrese de que el router de servicios integrados (ISR) de Cisco tiene licencia con la función SecurityLink9 activada.
3. Compruebe que el modelo de hardware de ISR cumple con el perfil de recursos mínimo.
4. El motor de buceo UTD no es compatible con la cookie SYN de firewall basada en zona y la traducción de direcciones de red 64 (NAT64)
5. Confirme que el servicio UTD snort engine se ha iniciado después de la instalación.
6. Durante la descarga manual del paquete Signature, asegúrese de que el paquete tenga la misma versión que la versión del motor Snort. La actualización del paquete de firmas puede fallar si hay una discordancia de versión.
7. En caso de problemas de rendimiento, utilice 'show app-hosting resource' y 'show app-hosting utilization appid ''UTD-NAME' para verificar la CPU UTD, la memoria y el espacio de almacenamiento.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
Advertencia: Póngase en contacto con Cisco TAC si confirma que el motor UTD Snort está experimentando un uso elevado de la CPU, la memoria o el disco.
Para solucionar problemas, utilice los comandos debug que se enumeran a continuación para recopilar más detalles del motor de buceo UTD.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Advertencia: La ejecución de comandos de depuración durante las horas de producción puede aumentar significativamente la utilización de la CPU, la memoria o el disco en el motor UTD Snort o en el router, lo que puede afectar al tráfico y a la estabilidad del sistema. Utilice los comandos debug con moderación, preferiblemente durante una ventana de mantenimiento, y desactívelos inmediatamente después de recopilar los datos requeridos. Si se observa un uso de recursos o impacto en el servicio elevado, detenga la depuración y póngase en contacto con el TAC de Cisco.
Puede encontrar documentación adicional relacionada con la implementación de UTD Snort IPS aquí:
Guía de configuración de seguridad de Cisco Snort IPS
Perfil de recursos del servicio virtual de Cisco para ISR4K y CSR1000v
Snort IPS en routers: configuración paso a paso
Guía de Cisco - Resolución de problemas de Snort IPS
Guía de referencia de Snort Port-Scan Inspector
Página web del sistema de prevención de intrusiones (IPS) de código abierto Snort
Instalar imagen virtual de seguridad UTD en routers cEdge
CSCwf57595 ISR4K Snort IPS no está implementado porque el hardware no tiene suficientes recursos de plataforma
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
17-Sep-2025
|
Versión inicial |
1.0 |
11-Jul-2023
|
Versión inicial |