Este documento explica la función de Analysis Engine y cómo crear, editar y eliminar sensores virtuales en Cisco Secure Intrusion Prevention System (IPS) con Cisco IPS Manager Express (IME). También explica cómo asignar interfaces a un sensor virtual.
Nota: AIM-IPS y NME-IPS no admiten la virtualización.
No hay requisitos previos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Dispositivo IPS de la serie Cisco 4200 que ejecuta la versión de software 6.0 y posterior
Cisco IPS Manager Express (IME) versión 6.1.1 y posteriores
Nota: Mientras que IME se puede utilizar para monitorear los dispositivos de sensor que ejecutan Cisco IPS 5.0 y posteriores, algunas de las nuevas funciones y funcionalidades suministradas en IME sólo se soportan en los sensores que ejecutan Cisco IPS 6.1 o posterior.
Nota: Cisco Secure Intrusion Prevention System (IPS) 5.x sólo admite el sensor virtual predeterminado frente a 0. Los sensores virtuales que no sean los predeterminados frente a los0 se soportan en IPS 6.x y versiones posteriores.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con estos sensores:
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
AIP-SSM
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Analysis Engine realiza análisis de paquetes y detección de alertas. Supervisa el tráfico que fluye a través de interfaces especificadas. Se crean sensores virtuales en Analysis Engine. Cada sensor virtual tiene un nombre único con una lista de interfaces, pares de interfaces en línea, pares de VLAN en línea y grupos de VLAN asociados a él. Para evitar problemas de pedidos de definición, no se permite ningún conflicto o superposición en las asignaciones. Usted asigna interfaces, pares de interfaces en línea, pares de VLAN en línea y grupos de VLAN a un sensor virtual específico para que no se procese ningún paquete por más de un sensor virtual. Cada sensor virtual también está asociado a una definición de firma específica, reglas de acción de eventos y configuración de detección de anomalías. Los paquetes de interfaces, pares de interfaces en línea, pares de VLAN en línea y grupos de VLAN que no están asignados a ningún sensor virtual se eliminan en función de la configuración de omisión en línea.
El sensor puede recibir entradas de datos de uno o varios flujos de datos supervisados. Estos flujos de datos supervisados pueden ser puertos de interfaz físicos o puertos de interfaz virtual. Por ejemplo, un único sensor puede supervisar el tráfico desde delante del firewall, desde detrás del firewall o desde delante y detrás del firewall de forma simultánea. Y un solo sensor puede supervisar uno o más flujos de datos. En esta situación, se aplica una única política o configuración de sensor a todos los flujos de datos supervisados. Un sensor virtual es una colección de datos definida por un conjunto de políticas de configuración. El sensor virtual se aplica a un conjunto de paquetes según lo definido por el componente de la interfaz. Un sensor virtual puede supervisar varios segmentos y puede aplicar una política o configuración diferente para cada sensor virtual dentro de un único sensor físico. Puede configurar una política diferente por segmento supervisado en análisis. También puede aplicar la misma instancia de política, por ejemplo, sig0, rules0 o ad0, a diferentes sensores virtuales. Puede asignar interfaces, pares de interfaz en línea, pares de VLAN en línea y grupos de VLAN a un sensor virtual.
Nota: Cisco Secure Intrusion Prevention System (IPS) no admite más de cuatro sensores virtuales. El sensor virtual predeterminado es vs0. No puede eliminar el sensor virtual predeterminado. La lista de interfaces, el modo operativo de detección de anomalías, el modo de seguimiento de sesión TCP en línea y la descripción del sensor virtual son las únicas funciones de configuración que puede cambiar para el sensor virtual predeterminado. No puede cambiar la definición de firma, las reglas de acción de evento o las políticas de detección de anomalías.
La virtualización presenta estas ventajas:
Puede aplicar diferentes configuraciones a diferentes conjuntos de tráfico.
Puede supervisar dos redes con espacios IP superpuestos con un sensor.
Puede supervisar tanto dentro como fuera de un firewall o dispositivo NAT.
La virtualización tiene estas restricciones:
Debe asignar ambos lados del tráfico asimétrico al mismo sensor virtual.
El uso de la captura de VACL o SPAN (supervisión promiscua) es inconsistente con respecto al etiquetado de VLAN, que causa problemas con los grupos de VLAN.
Cuando utiliza Cisco IOS Software, un puerto de captura VACL o un destino SPAN no siempre recibe paquetes etiquetados aunque esté configurado para el trunking.
Cuando utiliza la MSFC, el fast path switching de las rutas aprendidas cambia el comportamiento de las capturas de VACL y SPAN.
La conservación persistente es limitada.
La virtualización tiene estos requisitos de captura de tráfico:
El sensor virtual debe recibir tráfico que tenga encabezados 802.1q, distintos del tráfico en la VLAN nativa del puerto de captura.
El sensor debe ver ambas direcciones del tráfico en el mismo grupo VLAN en el mismo sensor virtual para cualquier sensor dado.
En esta sección, se muestra la información necesaria para agregar, editar y eliminar sensores virtuales.
Ejecute el comando virtual-sensor name en el submodo service analysis engine para crear un sensor virtual. Se asignan políticas (detección de anomalías, reglas de acción de eventos y definición de firma) al sensor virtual. A continuación, se asignan interfaces (promiscuos pares de interfaces en línea, pares de VLAN en línea y grupos de VLAN) al sensor virtual. Debe configurar los pares de interfaz en línea y los pares VLAN antes de poder asignarlos a un sensor virtual. Estas opciones se aplican:
detección de anomalías: parámetros de detección de anomalías.
anomalía-detección-nombre: nombre de la política de detección de anomalías
modo de funcionamiento: modo de detección de anomalías (inactivo, aprender, detectar)
descripción: descripción del sensor virtual
event-action-rules: nombre de la política de reglas de acción de evento
inline-TCP-evasion-protection-mode: permite elegir el tipo de modo Normalizer que necesita para la inspección del tráfico:
asimétrico: solo puede ver una dirección del flujo de tráfico bidireccional. La protección de modo asimétrico relaja la protección contra evasión en la capa TCP.
Nota: El modo asimétrico permite al sensor sincronizar el estado con el flujo y mantener la inspección de los motores que no requieren ambas direcciones. El modo asimétrico reduce la seguridad porque la protección completa requiere que se vean ambos lados del tráfico.
estricto: si se pierde un paquete por cualquier motivo, no se procesan todos los paquetes después del paquete perdido. La estricta protección contra la evasión proporciona la aplicación completa del seguimiento de estado y secuencia TCP.
Nota: Cualquier paquete fuera de servicio o paquetes perdidos puede producir los disparos de las firmas del motor Normalizer 1300 o 1330, que intentan corregir la situación, pero pueden dar lugar a conexiones denegadas.
inline-TCP-session-Tracking-mode: método avanzado que permite identificar una sesión TCP duplicada en el tráfico en línea. El valor predeterminado es el sensor virtual, que es casi siempre la mejor opción.
sensor virtual: todos los paquetes con la misma clave de sesión (AaBb) dentro de un sensor virtual pertenecen a la misma sesión.
interface-and-vlan: todos los paquetes con la misma clave de sesión (AaBb) en la misma VLAN (o par de VLAN en línea) y en la misma interfaz pertenecen a la misma sesión. Los paquetes con la misma clave pero en diferentes VLAN o interfaces son seguidos independientemente.
vlan-only: todos los paquetes con la misma clave de sesión (AaBb) en la misma VLAN (o par de VLAN en línea) independientemente de la interfaz pertenecen a la misma sesión. Los paquetes con la misma clave pero en diferentes VLAN se monitorean de forma independiente.
definición de firma: nombre de la política de definición de firma
interfaces lógicas: nombre de las interfaces lógicas (pares de interfaces en línea)
interfaces físicas: nombre de las interfaces físicas (pares de VLAN promiscuas, en línea y grupos de VLAN)
subinterface-number: el número de subinterfaz física. Si el tipo de subinterfaz es none, el valor de 0 indica que la interfaz completa está asignada en modo promiscuo.
no: elimina una entrada o selección
Para agregar un sensor virtual, complete estos pasos:
Inicie sesión en la CLI con una cuenta con privilegios de administrador.
Ingrese al modo de análisis de servicio.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
Agregue un sensor virtual.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
Agregue una descripción para este sensor virtual.
sensor(config-ana-vir)# description virtual sensor 2
Asigne una política de detección de anomalías y un modo operativo a este sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn
Asigne una política de reglas de acción de evento a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1
Asigne una política de definición de firma a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig1
Asigne el modo de seguimiento de sesión TCP en línea.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
El valor predeterminado es el modo de sensor virtual, que es casi siempre la mejor opción para elegir.
Asigne el modo de protección contra evasión TCP en línea.
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
El valor predeterminado es el modo estricto, que es casi siempre la mejor opción para elegir.
Muestra la lista de interfaces disponibles.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
Asigne las interfaces de modo promiscuo que desea agregar a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
Repita este paso para todas las interfaces promiscuas que desee asignar a este sensor virtual.
Asigne los pares de interfaces en línea que desea agregar a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Ya debe haber emparejado las interfaces.
Asigne las subinterfaces de los pares o grupos de VLAN en línea que desea agregar a este sensor virtual como se muestra a continuación:
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Ya debe haber subdividido cualquier interfaz en pares o grupos de VLAN.
Verifique los parámetros del sensor virtual.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
Salga del modo del motor de análisis.
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Presione Enter para aplicar los cambios o ingrese no para descartarlos.
Esto completa el proceso para agregar un sensor virtual al Sistema seguro de prevención de intrusiones (IPS) de Cisco. Complete el mismo procedimiento para agregar más sensores virtuales.
Nota: Cisco Secure Intrusion Prevention System (IPS) no admite más de cuatro sensores virtuales. El sensor virtual predeterminado es vs0.
Complete estos pasos para configurar un sensor virtual en Cisco Secure Intrusion Prevention System (IPS) con Cisco IPS Manager Express:
Elija Configuration > SFO-Sensor> Policies> IPS Policies. A continuación, haga clic en Agregar sensor virtual como se muestra en la captura de pantalla.
Asigne un nombre al sensor virtual (frente a 2 en este ejemplo) y agregue una descripción al sensor virtual en el espacio proporcionado. También asigne las interfaces de modo promiscuo que desea agregar a este sensor virtual. Aquí se elige Gigabit Ethernet 0/2. Ahora proporcione los detalles en las secciones definición de firma, Regla de acción de evento, Detección de anomalías y Opciones avanzadas, como se muestra en la captura de pantalla.
En Opciones avanzadas, proporcione los detalles sobre el Modo de seguimiento de sesiones TCP y el Modo de normalización. Aquí el modo de seguimiento de sesión TCP es sensor virtual y el modo normalizador es el modo protección estricta contra la evasión.
Click OK.
El sensor virtual recién agregado frente a 2 se muestra en la lista de sensores virtuales. Haga clic en Aplicar para que la nueva configuración del sensor virtual se envíe al Sistema de prevención de intrusiones (IPS) seguro de Cisco.
Esto completa la configuración para agregar un sensor virtual.
Estos parámetros de un sensor virtual se pueden editar:
Política de definición de firma
Política de reglas de acción de evento
Política de detección de anomalías
Modo operativo de detección de anomalías
Modo de seguimiento de sesión TCP en línea
Descripción
Interfaces asignadas
Para editar un sensor virtual, complete estos pasos:
Inicie sesión en la CLI con una cuenta con privilegios de administrador.
Ingrese al modo de análisis de servicio.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
Edite el sensor virtual, frente a 1.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
Edite la descripción de este sensor virtual.
sensor(config-ana-vir)# description virtual sensor A
Cambie la política de detección de anomalías y el modo operativo asignado a este sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn
Cambie la política de reglas de acción de evento asignada a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0
Cambie la política de definición de firma asignada a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig0
Cambie el modo de seguimiento de sesión TCP en línea.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
El valor predeterminado es el modo de sensor virtual, que es casi siempre la mejor opción para elegir.
Muestra la lista de interfaces disponibles.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
Cambie las interfaces de modo promiscuo asignadas a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
Cambie los pares de interfaz en línea asignados a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Ya debe haber emparejado las interfaces.
Cambie la subinterfaz con los pares o grupos de VLAN en línea asignados a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Ya debe haber subdividido cualquier interfaz en pares o grupos de VLAN.
Verifique la configuración del sensor virtual editada.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
Salga del modo del motor de análisis.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Presione Enter para aplicar los cambios o ingrese no para descartarlos.
Complete estos pasos para editar un sensor virtual en Cisco Secure Intrusion Prevention System (IPS) con Cisco IPS Manager Express:
Elija Configuration > SFO-Sensor> Policies> IPS Policies.
Elija el sensor virtual que desea editar y, a continuación, haga clic en Editar como se muestra en la captura de pantalla. En este ejemplo vs2 es el sensor virtual que se editará.
En la ventana Editar sensor virtual, realice cambios en los parámetros para el sensor virtual presentes en las secciones definición de firma, regla de acción de evento, detección de anomalías y las opciones avanzadas. Haga clic en Aceptar y luego en Aplicar.
Esto completa el proceso para editar un sensor virtual.
Para eliminar un sensor virtual, complete estos pasos:
Para eliminar un sensor virtual, ejecute el comando no virtual-sensor.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2
Verifique el sensor virtual eliminado.
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#
Sólo el sensor virtual predeterminado, vs0, está presente.
Salga del modo del motor de análisis.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Complete estos pasos para eliminar un sensor virtual en Cisco Secure Intrusion Prevention System (IPS) con Cisco IPS Manager Express:
Elija Configuration > SFO-Sensor> Policies> IPS Policies.
Elija el sensor virtual que desea eliminar y, a continuación, haga clic en Eliminar, como se muestra en la captura de pantalla. En este ejemplo vs2 es el sensor virtual que se va a eliminar.
Esto completa el proceso para eliminar un sensor virtual. Se elimina el sensor virtual frente a 2.
Cuando se intenta acceder al IPS a través del IME, IPS Manager Express no se inicia y se recibe este mensaje de error:
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
Para resolver esto, recargue el PC de estación de trabajo IME.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
22-Dec-2009 |
Versión inicial |