Implemente UTD Snort IPS en los routers de servicios integrados de Cisco serie 1000, 4000, CSR e ISRv

Introducción

Este documento describe cómo implementar el motor UTD Snort IPS en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSRs e ISRv mediante el método IOx.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv con al menos 8 GB de DRAM
• Conocimiento básico de comandos de IOS-XE
• Conocimiento básico de UTD Snort IPS
• Se requiere una suscripción a la firma IPS snort por 1 año o 3 años
• IOS-XE 16.10.1a y superior

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• ISR1K, ISR4K, CSR e ISRv series que ejecutan la versión 17.9.3a
• UTD snort engine versión 17.9.3a
• Licencia de SecurityIK9 para ISR1K, ISR4K, CSRs e ISRv series

El método VMAN está ahora obsoleto.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La función Snort IPS de Unified Threat Defence (UTD) habilita el sistema de prevención de intrusiones (IPS) o el sistema de detección de intrusiones (IDS) para sucursales en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv. Esta función utiliza el Snort de código abierto para activar las funciones de IPS o IDS.

Snort es un IPS de código abierto que realiza análisis de tráfico en tiempo real y genera alertas cuando se detectan amenazas en redes IP. También puede realizar análisis de protocolos, investigaciones de contenido o marchas, y detectar una variedad de ataques y sondeos, como desbordamientos de búfer, análisis de puertos sigilosos, etc. El motor UTD Snort se ejecuta como un servicio de contenedor virtual en los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv.

UTD Snort IPS proporciona funciones IPS o IDS para los routers de servicios integrados de Cisco serie ISR1K, ISR4K, CSR e ISRv. 

• El UTD supervisa el tráfico de red y lo analiza en función de un conjunto de reglas definido.
• El UTD realiza la clasificación de adición.
• El UTD invoca acciones contra reglas coincidentes.

En función de los requisitos de red. El UTD Snort IPS se puede activar como IPS o IDS:

• En modo IDS: El motor de buceo UTD inspecciona el tráfico e informa de las alertas, pero no realiza ninguna acción para evitar ataques.
• En modo IPS: El motor de buceo UTD inspecciona el tráfico e informa de las alertas tal como lo hace IDS, pero se toman medidas para evitar ataques.

El UTD Snort IPS se ejecuta como servicio en los routers de las series ISR1K, ISR4K, CSR e ISRv. Los contenedores de servicios utilizan tecnología de virtualización para proporcionar un entorno de alojamiento en dispositivos de Cisco para aplicaciones. La inspección del tráfico de Snort se habilita por interfaz o globalmente en todas las interfaces admitidas.

Solución UTD Snort Engine IPS

La solución IPS de motor de buceo UTD consta de las siguientes entidades:

• Sensor de Snort: supervisa el tráfico para detectar anomalías en función de las políticas de seguridad configuradas (que incluyen firmas, estadísticas, análisis de protocolos, etc.) y envía mensajes de alerta al servidor de alertas/informes. El sensor Snort se implementa como un servicio de contenedor virtual en el router.

• Almacén de firmas: aloja los paquetes de firmas de Cisco que se actualizan periódicamente. Estos paquetes de firmas se descargan en los sensores de Snort de forma periódica o a petición. Los paquetes de firmas validadas se publican en Cisco.com. Según la configuración, los paquetes de firma se pueden descargar de Cisco.com o de un servidor local.

  El router accede a los siguientes dominios en el proceso de descarga del paquete de firma desde cisco.com:

  • api.cisco.com

  • apx.cisco.com

  • cloudsso.cisco.com

  • cloudsso-test.cisco.com

  • cloudsso-test3.cisco.com

  • cloudsso-test4.cisco.com

  • cloudsso-test5.cisco.com

  • cloudsso-test6.cisco.com

  • cloudsso.cisco.com

  • download-ssc.cisco.com

  • dl.cisco.com

  • resolver1.opendns.com

  • resolver2.opendns.com

  Los paquetes de firma se deben descargar manualmente desde Cisco.com al servidor local mediante las credenciales Cisco.com antes de que el sensor de Snort pueda recuperarlos. 

• Servidor de alertas/informes: recibe eventos de alerta del sensor de Snort. Los eventos de alerta generados por el sensor de Snort se pueden enviar al syslog del IOS o a un servidor syslog externo, o bien al syslog del IOS y al servidor syslog externo. No se incluyen servidores de registro externos con la solución Snort IPS.

• Gestión: gestiona la solución Snort IPS. La administración se configura mediante la CLI de IOS. No se puede acceder directamente a Snort Sensor y toda la configuración solo se puede realizar mediante la CLI de IOS.

Requisitos de Licencia

Los siguientes son los requisitos de licencia para el motor de buceo UTD:

• Se requiere la licencia Security K9 en los routers ISR1K, ISR4K, CSR e ISRv. Además de eso, también se requiere una suscripción de firma de 1 año o 3 años, hay dos tipos de suscripciones:

a) Paquete de firma de comunidad: el conjunto de reglas del paquete de firma de comunidad ofrece una cobertura limitada contra las amenazas.

b) Paquete de firma basado en suscriptor: El conjunto de reglas del paquete de firma basado en suscriptor ofrece la mejor protección contra amenazas.  Incluye cobertura previa a las vulnerabilidades y también proporciona el acceso más rápido a las firmas actualizadas en respuesta a un incidente de seguridad o al descubrimiento proactivo de una nueva amenaza. Esta suscripción es totalmente compatible con Cisco y el paquete se actualizará constantemente en Cisco.com.

El paquete de firma de suscriptor de Snort de UTD se puede descargar de software.cisco.com y la información de firma de snort se puede encontrar en snort.org.

Además, puede utilizar la siguiente herramienta snort.org Rule Documentation Search para buscar ID de firmas IPS de snort específicas.

• Se requiere la licencia DNA-Essentials en los routers periféricos Catalyst 8000 mencionados en la sección Plataformas admitidas para poder utilizar IPS/Snort.

Plataformas Soportadas 

Las siguientes son las plataformas compatibles con el motor de buceo UTD:

• ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv e ISR 1K (X PID como 1111X, 1121X, 1161X, etc. que solo admiten 8 GB de DRAM, a partir de la versión 17.2.1r)

• Catalyst 8500L, 8300, 8200 y 8000V.

Limitaciones

Las siguientes limitaciones se aplican al motor de buceo UTD:

• Sólo los paquetes tcp, udp e icmp se desviarán al motor de buceo UTD para su inspección

• Solo a través de la caja el tráfico será desviado al motor de buceo UTD para su inspección

Restricciones

Las siguientes restricciones se aplican al motor de buceo UTD:

• Cuando habilita la licencia de refuerzo en los ISR de Cisco serie 4000, no puede configurar el contenedor de servicios virtuales para Snort IPS.

• Incompatible con la función de cookie SYN del firewall basado en zonas.

• No se admite la traducción de direcciones de red 64 (NAT64).

• SnortSnmpPlugin es necesario para el sondeo SNMP en Snort de código abierto. Snort IPS no admite funciones de sondeo SNMP ni MIB, ya que el complemento SnortSNMP no está instalado en UTD.

• El syslog del IOS tiene una velocidad limitada y, como resultado, es posible que todas las alertas generadas por Snort no sean visibles a través del Syslog del IOS. Sin embargo, puede ver todos los mensajes de Syslog si los exporta a un servidor syslog externo.

Enlaces de descarga de IPS de UTD Snort Engine

A continuación, se muestran los enlaces de Cisco para descargar los archivos de imagen del UTD Snort IPS Engine Software que se utilizarán para instalar el motor UTD Snort en el router de Cisco. Además de eso, encontrará los archivos UTD Snort Subscriber Signature Package para descargar las firmas UTD snort IPS, dependiendo de la versión del motor UTD snort que se esté ejecutando.

• ISR1K: https://software.cisco.com/download/home/286315006/type

• ISR4K -https://software.cisco.com/download/home/284389362/type

• CSR -https://software.cisco.com/download/home/284364978/type

• ISRv -https://software.cisco.com/download/home/286308693/type

• Catalyst 8500L -https://software.cisco.com/download/home/286324574/type

• Catalyst 8300 -https://software.cisco.com/download/home/286324476/type

• Catalyst 8200 -https://software.cisco.com/download/home/286324472/type

• Catalyst 8000V -https://software.cisco.com/download/home/286327102/type

Nota: Prerrequisitos a tener en cuenta para antes de instalar el motor de buceo UTD, Si es un ISR físico debe estar ejecutando IOS-XE versión 3.16.1 o superior. Si se trata de una CSR, debe estar ejecutando la versión 16.3.1 o posterior y, si se trata de un ISRv (ENCS), debe estar ejecutando la versión 16.8.1 o posterior. Para Catalyst 8300 (versión inicial 17.3.2 y posterior), 8200 (versión inicial 17.4.1 y posterior) y para 8000V (versión inicial 17.4.1 y posterior).

Nota: Si el usuario descarga el UTD Snort Subscriber Signature Package manualmente desde la página de software de descarga, el usuario debe asegurarse de que el paquete tiene la misma versión que la versión del motor de Snort. Por ejemplo, si la versión del motor Snort es 2982, el usuario debería descargar la misma versión del paquete de firma. Si no coincide la versión, se rechazará la actualización del paquete de firmas y se producirá un error.

Nota: Cuando se actualice el paquete de firmas, se reiniciará el motor y se interrumpirá el tráfico o se omitirá la inspección durante un breve período, en función de la configuración de fallo-apertura/fallo-cierre del plano de datos.

Diagrama de la red

Configurar

Instalación del motor UTD Snort

Paso 1. Configure las interfaces de VirtualPortGroup para el motor de snort UTD, y configure dos grupos de puertos:

• VirtualPortGroup0 para el tráfico de administración: Este VirtualPortGroup se utilizará para crear registros en el recopilador de registros, así como para obtener actualizaciones de firmas de Cisco.com.

• VirtualPortGroup1 para tráfico de datos: Este VirtualPortGroup se utilizará para enviar y recibir paquetes marcados para inspección que llegan al plano de datos para inspección IPS.

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Nota: Asegúrese de configurar el NAT y el ruteo requeridos para el VirtualPortgroup0, para que el motor UTD snort pueda alcanzar el servidor syslog externo así como el cisco.com para tomar los archivos de actualización de firmas.

Paso 2.  Habilite el entorno IOx en el modo de configuración global.

Router(config)#iox

Paso 3. A continuación, active el servicio virtual y configure las IP de invitado; para ello, configure el alojamiento de aplicaciones con la configuración vnic.

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Paso 4 (opcional). Configuración del perfil de recursos.

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

Nota: El servicio virtual UTD snort engine admite tres perfiles de recursos: Baja, Media y Alta. Estos perfiles indican los recursos de memoria y CPU necesarios para ejecutar el servicio virtual. Puede configurar uno de estos perfiles de recursos. La configuración del perfil de recursos es opcional. Si no configura un perfil, el servicio virtual se activa con su perfil de recursos predeterminado. Consulte Perfil de recursos del servicio virtual de Cisco para ISR4K y CSR1000v para obtener más detalles sobre el perfil de recursos.

Nota: Esta opción no está disponible para la serie ISR1K.

Paso 5. Copie el archivo de software del motor UTD Snort IPS en la memoria flash del router y, a continuación, instale el alojamiento de aplicaciones mediante el archivo UTD.tar de la siguiente manera.

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

Nota: La versión del motor UTD se especifica en el nombre del archivo UTD, asegúrese de que la versión del motor UTD que se va a instalar sea compatible con la versión IOS-XE que se ejecuta en el router de Cisco

Los siguientes registros del sistema deben aparecer para indicar que el servicio UTD se ha instalado correctamente.

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

Nota: Con 'show app-hosting list', el estado debe mostrarse como 'Deployed'

Paso 6. Inicie el servicio de alojamiento de aplicaciones.

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

Nota: Después de iniciar el servicio de alojamiento de aplicaciones, el estado de alojamiento de aplicaciones debe ser 'En ejecución'. Utilice 'show app-hosting list' o 'show app-hosting detail' para ver más detalles.

Los siguientes mensajes de syslog deben aparecer indicando que el servicio UTD se ha instalado correctamente.

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

Configuración de UTD Snort Engine como IPS o IDS

Después de una instalación correcta, el plano de servicio se debe configurar para el motor de buceo UTD. El motor de buceo UTD se puede configurar como sistema de prevención de intrusiones (IPS) o como sistema de detección de intrusiones (IDS) para la inspección del tráfico.

Advertencia: Confirme que la función de licencia 'securityk9' está activada en el router para continuar con la configuración del plano de servicio UTD.

Paso 1. Configuración del motor estándar de Unified Threat Defence (UTD) (plano de servicio)

Router#configure terminal
Router(config)#utd engine standard

Paso 2. Habilite el registro del motor de buceo UTD en un servidor remoto y en el syslog IOSd.

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

Nota: UTD Snort IPS supervisa el tráfico e informa de los eventos a un servidor de registro externo o al syslog del IOS. La habilitación del registro en el syslog del IOS puede afectar el rendimiento debido al volumen potencial de mensajes de registro. Las herramientas de supervisión externas de terceros, compatibles con los registros de Snort, se pueden utilizar para la recopilación y el análisis de registros.

Paso 3. Activar inspección de amenazas para el motor Snort.

Router(config-utd-eng-std)#threat-inspection

Paso 4. Configure la detección de amenazas (IDS) o el sistema de prevención de intrusiones (IPS) como el modo operativo del motor de snort.

Router(config-utd-engstd-insp)#threat [protection,detection]

Nota: Utilice la palabra clave 'protection' para IPS y 'detection' para el modo IDS. El modo predeterminado es "detección"

Paso 5. Configure la Política de Seguridad para el motor de snort.

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Nota: La política predeterminada es 'balanceada', en función de la política elegida, el motor de snort activará o desactivará las firmas IPS para la protección del motor de snort.

Paso 6 (opcional). Active la configuración de lista de permitidos de UTD (lista blanca).

Router#configure terminal
Router(config)#utd threat-inspection whitelist

Paso 7 (opcional). Configure los ID de firma de snort IPS que se incluirán en la lista blanca.

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

Nota: Los ID de firma se pueden copiar de las alertas que se deben suprimir. Puede configurar varios ID de firma. Repita este paso para cada ID de firma que deba agregarse a la lista blanca.

Nota: Una vez configurada la ID de firma de lista permitida (lista blanca), el motor de buceo UTD permitirá que el flujo pase a través del dispositivo sin ninguna alerta ni pérdida.

Nota: El identificador de generador (GID) identifica el subsistema que evalúa una regla de intrusión y genera eventos. Las reglas de intrusión de texto estándar tienen un identificador de generador de 1 y las reglas de intrusión de objeto compartido tienen un identificador de generador de 3. También hay varios conjuntos de reglas para varios preprocesadores. La siguiente Tabla 1. IDs del generador explica los GIDs.

Paso 8 (opcional). Habilitar lista de permitidos en configuración de inspección de amenazas.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

Nota: Después de configurar el ID de firma de la lista blanca, el motor de snort permitirá que el flujo pase a través del dispositivo sin ninguna alerta ni caídas

Paso 9. Configure el intervalo de actualización de firmas para descargar firmas Snort automáticamente.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

Nota: El primer número define la hora en formato de 24 horas y el segundo número indica minutos.

Advertencia: Las actualizaciones de firmas de UTD generan una breve interrupción del servicio en el momento de la actualización.

Paso 10. Configure los parámetros del servidor de actualización de firmas del motor de buceo UTD.

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

Nota: Utilice la palabra clave 'cisco' para señalar al servidor de Cisco para las actualizaciones de firmas o utilice la palabra clave 'url' para definir una ruta http/https personalizada para el servidor de actualizaciones. Para el servidor de Cisco, debe proporcionar sus credenciales de nombre de usuario y contraseña de Cisco.

Nota: Asegúrese de que un servidor DNS esté configurado para descargar firmas de snort IPS del servidor Cisco. El contenedor de Snort realiza una búsqueda de nombre de dominio (en los servidores DNS configurados en el router) para resolver la ubicación de las actualizaciones automáticas de firmas de Cisco.com o en el servidor local, si la dirección URL no se especifica como dirección IP.

Nota: La dirección IP de administración del módulo UTD asignada a la interfaz VirtualPortGroup0 debe incluirse en la configuración de NAT del router para permitir que el módulo obtenga acceso a Internet y llegue al servidor de Cisco para descargar los paquetes de firma de snort.

Paso 11. Habilite el nivel de registro del motor de buceo UTD y el registro de las estadísticas de alerta de inspección de amenazas:

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Nota: A partir de la versión 16.8 de Cisco IOS XE Fuji, puede obtener detalles resumidos de las alertas de inspección de amenazas cuando ejecute el siguiente comando 'show utd engine standard logging threat-inspection statisticsdetail'. Solo cuando el registro de las estadísticas de alertas de inspección de amenazas está habilitado para el motor de buceo UTD.

Paso 12. Habilite el servicio utd.

Router#configure terminal
Router(config)#utd

Paso 13 (opcional). Redireccione el tráfico de datos desde la interfaz de VirtualPortGroup al servicio UTD.

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup 

Nota: Si la redirección no está configurada, se detecta automáticamente.

Paso 14. Habilite el motor UTD IPS para que inspeccione el tráfico de todas las interfaces de capa 3 del router.

Router(config-utd)#all-interfaces

Paso 15. Habilite el estándar del motor.

Router(config-utd)#engine standard

Los siguientes mensajes de syslog deben ser vistos indicando que el motor de buceo UTD fue habilitado correctamente:

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

Paso 16 (opcional). Defina la acción para el motor de buceo UTD durante un fallo (plano de datos UTD)

Router(config-engine-std)#fail open
Router(config-engine-std)#end

Nota: La opción "fail close" descarta todo el tráfico del router cuando falla el motor UTD y la opción "fail open" permite que el tráfico del router siga fluyendo sin inspección IPS/IDS durante los fallos UTD. La opción predeterminada es 'fallo al abrir'.

Paso 17. Guarde la configuración del router.

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

Inspector de análisis de puertos para el motor UTD Snort

El motor de buceo UTD tiene capacidades de análisis de puertos. Un análisis de puertos es una forma de reconocimiento de red que a menudo utilizan los atacantes como preludio de un ataque. En un análisis de puertos, un atacante envía paquetes diseñados para sondear protocolos y servicios de red en un host de destino. Al examinar los paquetes enviados en respuesta por un host, el atacante puede determinar qué puertos están abiertos en el host y, directamente o por inferencia, qué protocolos de aplicación se están ejecutando en estos puertos.

Por sí solo, un análisis de puerto no es evidencia de un ataque. Los usuarios legítimos de la red pueden emplear técnicas de exploración de puertos similares que utilizan los atacantes.

El inspector de port_scan detecta cuatro tipos de portscan y supervisa los intentos de conexión en los protocolos TCP, UDP, ICMP e IP. Al detectar patrones de actividad, el inspector de port_scan le ayuda a determinar qué análisis de puertos pueden ser maliciosos.

Los análisis de puertos se dividen generalmente en cuatro tipos en función del número de hosts de destino, el número de hosts de análisis y el número de puertos que se analizan.

Reglas del Inspector de exploración de puertos

La Tabla 3. a continuación muestra las reglas del inspector de exploración de puertos.

Niveles sensibles a exploración de puertos

El inspector de port_scan proporciona tres niveles de sensibilidad de exploración predeterminados para el motor de buceo UTD:

• High port_scan
• Low port_scan
• Port_scan medio

Configuración del Inspector de análisis de puertos para el motor UTD Snort

Paso 1. Configuración del motor estándar de Unified Threat Defence (UTD) (plano de servicio)

Router#configure terminal
Router(config)#utd engine standard

Paso 2. Habilitar inspección de amenazas para el motor de buceo UTD.

Router(config-utd-eng-std)#threat-inspection

Paso 3. A continuación, habilite port_scan.

Router(config-utd-engstd-insp)#port-scan 

Paso 4. Defina el nivel sensible de port_scan; las opciones disponibles son alta, media o baja.

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

Paso 5. Una vez que port_scan esté habilitado y configurado con un nivel sensible para el motor de snort UTD, utilice el comando 'show utd engine standard config' para verificar la configuración de port_scan.

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Verificación

Verifique el estado de las interfaces y direcciones IP de VirtualPortGroup

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

Verifique la configuración de las interfaces de VirtualPortGroup

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

Comprobar la configuración de alojamiento de aplicaciones

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

Compruebe la activación de iox

Router#show running-config | i iox
iox

Comprobar el estado de alojamiento de la aplicación

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

Compruebe los detalles de alojamiento de aplicaciones

Ejecute el comando 'show app-hosting detail' para confirmar el estado del motor de snort de UTD, la versión de software en ejecución, la utilización de RAM, CPU y disco, las estadísticas de red y la configuración de DNS en su lugar.

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

Compruebe la versión de compatibilidad del motor de buceo UTD, comparándola con la versión IOS-XE del router que se está ejecutando

Utilice el comando 'show utd engine standard version' para confirmar la versión de compatibilidad del motor de buceo UTD, contra la versión del router IOS-XE en ejecución.

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

Compruebe el estado del motor de buceo UTD

Opción 1. Ejecute el comando 'show utd engine standard status' para confirmar el estado del motor de buceo UTD, el estado en 'Verde', el estado en 'Verde' y el estado general del sistema en'Verde', para indicar que el motor de buceo UTD está operativo.

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

Nota: Cuando el motor de buceo UTD está sobresuscrito, el estado del canal de defensa contra amenazas cambia entre verde y rojo. El plano de datos UTD descarta todos los paquetes adicionales si se configura el cierre por fallo o reenvía los paquetes no inspeccionados si no se configura el cierre por fallo (valor predeterminado). Cuando el plano de servicio UTD se recupera de una sobresuscripción, responde al plano de datos UTD con el estado verde.

Opción 2. Ejecute el comando 'show platform software utd global' para obtener un breve resumen del estado de funcionamiento del motor de buceo UTD. 

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

Compruebe la configuración del motor de buceo UTD

Opción 1. Ejecute el comando 'show utd engine standard config' para mostrar los detalles de la configuración del motor UTD snort, el modo de operación, el modo de política, la configuración de actualización de firmas, la configuración de registro, la lista blanca y el estado de escaneo de puertos.  

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

Opción 2. Ejecute el comando 'show running-config | b engine' para mostrar la configuración de funcionamiento del motor UTD snort.

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

Compruebe el estado de actualización de la firma de snort IPS del motor de snort UTD

1. Ejecute el comando 'show utd engine standard threat-inspection signature update status' para verificar el estado de actualización de la firma del snort IPS.

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. Ejecute el comando 'utd threat-inspection signature update' para ejecutar una actualización manual de firmas de snort IPS mediante la configuración de servidor existente aplicada al motor de snort UTD para las descargas de firmas.

Router#utd threat-inspection signature update

3. Ejecute el comando 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' para forzar una actualización manual de la firma de snort IPS con los parámetros del servidor especificados.

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

Cómo confirmar si el motor de buceo UTD está inspeccionando el tráfico

Utilice los siguientes comandos show para monitorear el tráfico procesado por el motor de buceo UTD y para verificar las estadísticas relacionadas con la inspección de tráfico. 

Opción 1. De la siguiente salida 'show utd engine standard statistics', los contadores 'received' y 'analyzed' se incrementan cuando el motor de buceo UTD procesa el tráfico:

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

Opción 2. A partir de la siguiente salida 'show platform hardware qfp active feature utd stats', los contadores 'decaps' y 'Divert' aumentan cuando el tráfico se redirige del router al motor de snort UTD para la inspección del tráfico y los contadores 'encaps' y 'Reinject' aumentan cuando el tráfico se redirige del motor de snort UTD al router:

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

Opción 3. De la siguiente salida 'show utd engine standard statistics internal', los contadores 'received' y 'analyzed' se incrementan cuando el tráfico se redirige del router al motor UTD snort para la inspección de tráfico. Además, este resultado mostrará más detalles y estadísticas sobre el tráfico inspeccionado por el motor de buceo UTD:

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

Cómo confirmar si el motor de buceo UTD ha activado una firma de buceo IPS 

Utilice los siguientes comandos show para supervisar las firmas IPS de snort activadas, los eventos IPS/IDS generados y las direcciones IP de origen y destino involucradas. 

Opción 1. Utilice el comando 'show utd engine standard logging events [threat-inspection]' para buscar eventos IPS/IDS:

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

Opción 2. Utilice el comando 'show utd engine standard logging statistics threat-inspection' para buscar las principales firmas de snort IPS activadas en las últimas 24 horas y cuántas veces se ha activado cada firma:

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

Opción 3. Utilice el comando 'show utd engine standard logging statistics threat-inspection detail' para buscar las principales firmas de snort IPS activadas en las últimas 24 horas, cuántas veces se ha activado cada firma y las direcciones IP de origen y destino que activaron la firma: 

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1      
 

Opción 4. El motor de buceo UTD monitorea el tráfico e informa los eventos a un servidor de registro externo o al syslog del IOS. La habilitación del registro en el syslog del IOS puede afectar el rendimiento debido al volumen potencial de mensajes de registro. Las herramientas de supervisión externas de terceros, compatibles con los registros de Snort, se pueden utilizar para la recopilación y el análisis de registros.

Siempre que el motor de buceo UTD genera un evento IPS/IDS, el router muestra un mensaje de syslog como el siguiente:

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

Nota: Los registros del motor UTD snort se mostrarán en la CLI IOSd del router, justo cuando el registro syslog de registro está habilitado en la configuración utd engine standard para el motor UTD snort.

Cuando el motor UTD snort está configurado para enviar registros a un servidor syslog externo, debería ver los registros del motor UTD snort en su servidor syslog remoto de la siguiente manera:

Cómo mostrar las firmas de snort IPS activas

Utilice los siguientes comandos para mostrar las firmas de snort IPS activo, descartado y en alerta para el motor de snort UTD, en función de la configuración de políticas utilizada (Equilibrado, Conectividad o Seguridad). 

Opción 1. Proceda como se indica a continuación para mostrar la lista de firmas de snort IPS activas para la política de seguridad. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

Opción 2. Proceda de la siguiente manera para mostrar la lista de firmas de snort IPS activas para la política de conectividad. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

Opción 3. Proceda como se indica a continuación para mostrar la lista de firmas de snort IPS activas para la política equilibrada. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

Nota: Para mostrar las firmas de Snort IPS activas para la directiva Equilibrada, Conectividad o Seguridad, el motor de Snort UTD debe estar ejecutando el modo de directiva correspondiente que desee ver.

Resolución de problemas

1. Asegúrese de que el router de servicios integrados (ISR) de Cisco ejecuta XE 16.10.1a y versiones posteriores (para el método IOx).

2. Asegúrese de que el router de servicios integrados (ISR) de Cisco tiene licencia con la función SecurityLink9 activada.

3. Compruebe que el modelo de hardware de ISR cumple con el perfil de recursos mínimo.

4. El motor de buceo UTD no es compatible con la cookie SYN de firewall basada en zona y la traducción de direcciones de red 64 (NAT64)

5. Confirme que el servicio UTD snort engine se ha iniciado después de la instalación.

6. Durante la descarga manual del paquete Signature, asegúrese de que el paquete tenga la misma versión que la versión del motor Snort. La actualización del paquete de firmas puede fallar si hay una discordancia de versión.

7. En caso de problemas de rendimiento, utilice 'show app-hosting resource' y 'show app-hosting utilization appid ''UTD-NAME' para verificar la CPU UTD, la memoria y el espacio de almacenamiento.

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

Advertencia: Póngase en contacto con Cisco TAC si confirma que el motor UTD Snort está experimentando un uso elevado de la CPU, la memoria o el disco.

Depuración

Para solucionar problemas, utilice los comandos debug que se enumeran a continuación para recopilar más detalles del motor de buceo UTD.

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

Advertencia: La ejecución de comandos de depuración durante las horas de producción puede aumentar significativamente la utilización de la CPU, la memoria o el disco en el motor UTD Snort o en el router, lo que puede afectar al tráfico y a la estabilidad del sistema. Utilice los comandos debug con moderación, preferiblemente durante una ventana de mantenimiento, y desactívelos inmediatamente después de recopilar los datos requeridos. Si se observa un uso de recursos o impacto en el servicio elevado, detenga la depuración y póngase en contacto con el TAC de Cisco.

Información Relacionada

Puede encontrar documentación adicional relacionada con la implementación de UTD Snort IPS aquí:

Guía de configuración de seguridad de Cisco Snort IPS

Perfil de recursos del servicio virtual de Cisco para ISR4K y CSR1000v

Snort IPS en routers: configuración paso a paso

Guía de Cisco - Resolución de problemas de Snort IPS

Guía de referencia de Snort Port-Scan Inspector

Página web del sistema de prevención de intrusiones (IPS) de código abierto Snort

Instalar imagen virtual de seguridad UTD en routers cEdge

CSCwf57595 ISR4K Snort IPS no está implementado porque el hardware no tiene suficientes recursos de plataforma