Preguntas frecuentes sobre IDS 4.0/AIP-SSM/IPS 5.0 y posteriores

Introducción

Este documento responde a las preguntas más frecuentes (FAQ) relacionadas con Cisco Secure Intrusion Detection System (IDS) 4.0, Advanced Inspection and Prevention Security Services Module (AIP SSM) y Cisco Intrusion Prevention System (IPS) 5.0 y posteriores.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

IDS 4.0

P. He instalado IDS MC y SecMon en un nuevo servidor y ahora quiero importar todas las configuraciones (usuario, dispositivo, etc.) del servidor antiguo al nuevo. ¿Cómo hago esto?

A. La forma más sencilla de hacerlo es activar su nuevo servidor VMS y luego descubrir los sensores con este nuevo cuadro.

Nota: Cuando agregue el sensor, no lo agregue manualmente. Marque la casilla Detectar configuración.

Una vez que se detecta el Sensor, importe en SecMon. Todas las configuraciones se guardan en el sensor. La configuración de firma, los filtros, etc. deben aparecer después de generar el nuevo servidor. Asegúrese de actualizar IDS MC a las firmas más recientes.

P. IDS-4215 recibe el idsPackageMgr: mensaje de error de argumento inválido mientras intenta actualizar la partición de recuperación IDS. ¿Qué tengo que hacer para resolver este problema?

A. Esta es una cuestión de fabricación. Algunos clientes recibieron IDS-4215s con una imagen base incorrecta (4.0). Complete los siguientes pasos.

1. Descargue la imagen de la partición de recuperación ( sólo clientes registrados) .
2. Aplique la actualización de la imagen de la partición de recuperación a través de la CLI:

   sensor#configure terminal 
   sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/
       IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg
   

3. Una vez que se aplica la imagen de partición de recuperación, el 4215 se restaura a una base normal que ejecuta 4.1(1) 4215 base.

   sensor(config)#recover application-partition
   

P. Cuando actualizo de paquetes de nivel de sig de 2 dígitos a 3 dígitos, como S100 o posterior, por ejemplo, 4.1(4)S99 a 4.1(4)S100, la funcionalidad de actualización automática falla. ¿Cómo resuelvo este problema?

Nota: Los clientes de Cisco VMS y CLI no experimentan este problema.

La causa del problema es la lógica de ordenación que se utiliza cuando se analiza el nombre de archivo. Es una ordenación alfanumérica cuando debe ser numérica. La solución alternativa es utilizar CLI (o VMS) para actualizar a paquetes de nivel de firma de 3 dígitos, como S100 o posteriores. Una vez que se haya completado, la actualización automática comenzará a funcionar de nuevo. Consulte Cisco bug ID CSCef0799 ( sólo clientes registrados) para obtener más información.

P. ¿Qué hace el "error de manipulación del token de autenticación"? mensaje de error significa?

A. Para resolver este problema, utilice la contraseña predeterminada (cisco) dos veces y, a continuación, cambie la contraseña del modo de configuración. El IDS requiere que se introduzca dos veces la contraseña predeterminada.

Por ejemplo:

login:cisco 
Password:cisco
Enter current password:cisco
Enter new password: *** 
Re-enter new password: *** 

P. ¿Cómo elimino el IDSM del switch?

A. El módulo sólo debe eliminarse después de inhabilitar la alimentación. Complete estos pasos:

1. Desde la CLI del sensor, ejecute el comando reset powerdown.
2. Una vez que el sensor finaliza el cierre, desde la CLI del switch, ejecute el comando no power enable module (module_number) para Cisco IOS o el comando set module power down (module_number) para CatOS.
3. Pulse el botón de apagado del blade.
4. Apague físicamente el chasis. Cuando la luz de estado muestra un color verde más largo, puede quitar el módulo de forma segura.

IPS 5.0 y posterior

P. He evitado la configuración, pero estoy confundido sobre cómo configurar el bloqueo en las firmas. ¿Cuál es la diferencia entre el host de bloqueo y la conexión de bloqueo?

A. El host de bloqueo bloquea todos los paquetes de esa dirección de origen. La conexión de bloqueo sólo bloquea la única conexión en función de la IP/puerto de origen y de destino. El PIX funciona de una manera ligeramente diferente. Para los rechazos automáticos, el sensor envía la IP de origen, la IP de destino, el puerto de origen y el puerto de destino. El PIX bloquea todos los paquetes que se originan desde esa dirección IP. El PIX utiliza la información adicional para quitar esa conexión de sus tablas de conexión. Si la conexión no se ha quitado de la tabla de conexión, es teóricamente posible que, si se elimina el valor shun poco después de aplicarlo, la conexión original no se haya agotado aún. Esto permite al atacante continuar con el ataque en la conexión original. La eliminación de la conexión de la tabla garantiza que la conexión original no se pueda utilizar para continuar con el ataque después de que se elimine el rechazo. El Sensor no puede rechazar una sola conexión en el PIX porque el PIX no soporta el uso del comando shun para evitar una sola conexión. El comando shun PIX siempre omite la dirección de origen independientemente de si se proporciona o no la información de conexión adicional.

P. ¿Qué hace el "Error: No se pudieron reiniciar los servicios de red. Se ha producido un error fatal. El nodo DEBE reiniciarse para activar la alarma". mensaje de error significa?

A. Este error significa que la gateway predeterminada es incorrecta o un mensaje de error genérico que significa que la IP, la máscara de red o la gateway predeterminada son incorrectas. La parte Fatal del mensaje significa que después de la primera falla, se aplicó la configuración anterior y también falló. El Sensor ejecuta los comandos ifconfig y route y uno o ambos de ellos fallan.

P. La actualización automática falla con la respuesta de error "mainApp[343] Cid/E errSystemError http:500". . ¿Qué significa este mensaje de error?

A. Este problema puede ser la función de actualización automática, que no funciona, porque está configurada para descargarse en una hora par. Intente establecer la actualización automática en una hora aleatoria; incluso un pequeño desplazamiento de ocho o minutos de noche puede solucionar este problema.

En general, el problema se resuelve y el Error: Respuesta de error http: Se ve un mensaje de error 500 si cambia el tiempo de recuperación a un límite no por hora.

Nota: IPS falla la actualización automática de firmas y devuelve este mensaje de error:

Excepción de AutoUpdate: Error en la conexión HTTP [1.110] name=errSystemError

Verifique estos elementos para resolver este problema:

• Compruebe si un firewall impide que el sensor llegue a Cisco.com.

• Verifique si el ruteo se convierte en un problema.

• Verifique si NATing está configurado correctamente en el dispositivo de gateway para el dispositivo de flujo descendente.

• Verifique si las credenciales del usuario son correctas.

• Cambie la hora de inicio de la actualización a horas impares.

P. ¿Qué hace el "Error: execUpgradeSoftware : AnalysisEngine está actualmente ocupado y no se puede procesar esta actualización. Espere varios minutos antes de intentar la actualización de nuevo.". mensaje de error significa?

A. Para resolver este problema, intente recargar el sensor o volver a instalar la imagen del sensor.

P. ¿Cómo resuelvo el mensaje de error Advertencia de id/d: se requiere DNS o proxy HTTP para la inspección de correlación global y el filtrado de reputación, pero no se definen servidores DNS o proxy.Agregue un servidor proxy HTTP o un servidor DNS en la configuración del servicio 'host'?

A. Complete estas tareas para resolver este problema:

• Desactive la correlación global.

• Agregue la configuración proxy/DNS.

P. Cómo resuelvo estos errores que IPS recibe para problemas de estado de correlación global: "23 ene2010 15:50:39.831 38.001 collaborationApp[655] rep/E Una actualización de correlación global falló: No se pudo abrir una conexión TLS al servidor HTTP en X.X.82.127:443 : Falló la conexión TLS" y "collaborationApp[459] rep/E Una actualización de correlación global falló: Error al descargar ibrs/1.1/drop/default/1296529950 : ¿El URI no contiene una dirección ip válida"?

A. IPS no puede acceder a Internet debido a un problema de puerto, por ejemplo, un firewall en una ruta que no tiene los puertos adecuados abiertos para el acceso a Internet o puede ser un problema de NAT.

Para que la correlación global funcione completamente, el sensor primero se pone en contacto a través de https update-manifiests.ironport.com para autenticar al usuario y luego una conexión HTTP para descargar las actualizaciones GC. Los archivos que descarga el sensor desde HTTP (updates.ironport.com) son los datos de reputación que utiliza la correlación global. Los https update-manifiests.ironport.com siempre deben resolver la dirección X.X.82.127, pero la dirección IP http updates.ironport.com puede cambiar, lo que depende de la Internet a la que acceda. Por lo tanto, debe verificar la dirección IP. Si el filtrado de URL está activado, agregue una excepción para la IP de la interfaz de administración IPS en el filtro de URL, de modo que IPS pueda conectarse a Internet.

Este error ocurre cuando hay corrupción en una actualización GC anterior:

CollaborationApp[459] rep/E Error al actualizar la correlación global: Error al descargar ibrs/1.1/drop/default/1296529950 : El URI no contiene una dirección IP válida

Normalmente, este problema se puede corregir apagando el servicio GC y luego volviéndolo a encender. En IDM, elija Configuration > Policies > Global Correlation > Inspection/Reputation, establezca Global Correlation Inspection (and Reputation Filtering si On) a Off, aplique los cambios, espere 10 minutos, active las funciones y supervise.

P. La actualización de correlación global falló: OpenConnection: Se Detectó IpAddrException badAddrString. No se puede utilizar el proxy HTTP de correlación global y la configuración DNS. Verifique la conexión e inténtelo de nuevo. se recibe el mensaje de error en la categoría "Error de actualización de reputación". ¿Cómo resuelvo este problema?

A. Verifique estos elementos:

• Debe tener una licencia IPS válida para permitir el funcionamiento de las funciones de correlación global.

• Debe tener un servidor proxy HTTP o un servidor DNS configurado para permitir que funcionen las funciones de correlación global.

• Debido a que las actualizaciones de correlación global se producen a través de la interfaz de administración del sensor, los firewalls deben permitir el tráfico tcp 443/80 y udp 53.

• Asegúrese de que el sensor es compatible con las funciones de correlación global. Si no lo desea, desactive la función de colaboración global de IDM:

  • Vaya a Configuration > Policies > Global Correlation > Inspection/Reputation, y establezca Global Correlation Inspection (and Reputation Filtering if On) en Off.

P. ¿Cómo resuelvo el "Error en una actualización de correlación global: OpenConnection: ¿Se detectó el error IpAddrException badAddrString" que IPS recibe para el problema de estado de correlación global?

A. Si utiliza la correlación global (GC), asegúrese de que la resolución de nombres funcione, por ejemplo, DNS es accesible. Compruebe también si hay un puerto 53 bloqueado por el firewall. De lo contrario, puede desactivar la función GC si desea eliminar este mensaje.

P. ¿Cómo resuelvo el mensaje de error Exception al inicializar la conexión con MySQL que recibo cuando inicio IME desde el navegador?

A. Este problema suele ocurrir cuando el cliente intenta ejecutar IME en sistemas operativos no compatibles, como Windows 7.

P. ¿Cómo resuelvo el "Título": IDM en el proveedor 88-nsmc-c1: Categoría de Cisco Systems, Inc.: Los recursos JAR de error de inicio del archivo en el archivo JNLP no están firmados por el mismo certificado". o "Error al conectar con el sensor, ¿no se pudo crear el error x.x.x.x:443 al salir de idm" que recibe IDM, que ocurre durante el inicio de la aplicación?

A. Borre la memoria caché del navegador para resolver este problema.

P. ¿Se puede configurar el modo asimétrico en IPS si utiliza la GUI?

A. En la versión 6.0, el modo asimétrico en IPS que se puede configurar sólo mediante CLI y no disponible en la GUI. Pero, en la versión 6.1, esta función también está disponible en la GUI.

P. ¿Cómo resuelvo el problema de latencia con el sensor IPS?

A. Para resolver este problema, habilite el procesamiento del modo asimétrico para permitir que el sensor sincronice el estado con el flujo y mantenga la inspección para aquellos motores que no requieren ambas direcciones. Utilice esta configuración:

IPS_Sensor#configure terminal
IPS_Sensor(config)#service analysis-engine
IPS_Sensor(config-ana)#virtual-sensor vs0
IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric

El problema de latencia ocurre cuando la acción de negación en línea y el paquete de denegación están habilitados para cada firma en VS0. La habilitación de todas las firmas dará como resultado la latencia, ya que IPS inspecciona cada paquete que pasa. Es bueno habilitar solamente la firma específica requerida según el flujo de tráfico de red para resolver el problema de latencia.

P. ¿AIP-SSM ayuda a bloquear Skype?

A. El PIX/ASA no puede bloquear el tráfico skype. Skype tiene la capacidad de negociar puertos dinámicos y utilizar el tráfico cifrado. Con el tráfico cifrado, es prácticamente imposible detectarlo, ya que no hay patrones que buscar.

Finalmente, podría utilizar un Cisco IPS (Intrusion Prevention System)/AIP-SSM. Tiene algunas firmas que pueden detectar un cliente Skype de Windows que se conecta al servidor Skype para sincronizar su versión. Esto suele hacerse cuando el cliente inicia la conexión. Cuando el sensor recoge la conexión Skype inicial, puede encontrar a la persona que utiliza el servicio y bloquear todas las conexiones iniciadas desde su dirección IP.

P. ¿Por qué la interfaz de detección inestable o pasa frecuentemente al estado inactivo en IPS?

A. Durante una actualización y reconfiguración de firma, sensorApp se detiene para procesar los paquetes mientras procesa las nuevas firmas en la actualización. El controlador de red detecta que sensorApp se ha detenido y extrae cualquier paquete nuevo del búfer. Por lo tanto, el controlador de red hace cosas diferentes, lo que depende de la configuración y del modelo de sensor:

Promiscuous Interface: Atrae el link hacia abajo en las interfaces y hace que el link vuelva a activarse una vez que sensorApp comience a monitorear nuevamente.

Interfaz en línea o Par de VLAN en línea: depende de la configuración de omisión:

• Omitir Auto: el controlador mantiene el link activo y comienza a pasar los paquetes sin análisis. Luego vuelve a enviar los paquetes a través de sensorApp una vez que sensorApp comienza a monitorear de nuevo.

• Omitir desactivado: el controlador desactiva el link en las interfaces, que es el mismo que en el modo promiscuo, y las devuelve cuando sensorApp comienza a monitorear nuevamente.

Por lo tanto, si la aplicación del sensor no extrae los paquetes del buffer, lo que posiblemente ocurre porque no hay una interfaz configurada para procesar los paquetes, entonces el controlador puede poner la interfaz en un estado inactivo.

Estos registros se ven cuando la interfaz de detección falla:

28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline
    databypass has started.
28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass
    has stopped.
28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass
    has started.
28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass 
    has stopped.

P. ¿El sensor IDS o del sistema de prevención de intrusiones (IPS) mantiene un historial de contraseñas?

A. No, el sensor no mantiene un historial de contraseñas. Las contraseñas no se pueden ver en ningún momento.

P. ¿El sensor IDS o del sistema de prevención de intrusiones (IPS) admite el servidor syslog para enviar registros?

A. No.

P. ¿Cuál es el límite máximo de almacenamiento de eventos en IPS?

A. El evento local del sensor almacena sólo 30 MB y comienza a sobrescribirse una vez que se alcanza el límite de 30 MB. Este límite no se puede configurar.

P. ¿Cómo escribo una firma para detectar el archivo foto[a-z]\.zip en cualquier correo electrónico entrante o saliente?

A. Utilice STRING.TCP para escribir una firma que detecte el archivo adjunto. Busque algo similar a esto:

Engine STRING.TCP 
Enabled True 
Severity informational 
AlarmThrottle Summarize 
CapturePacket False 
Direction ToService 
MinHits 1 
Protocol =TCP 
RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo]
             [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] 
ResetAfterIdle 15 
ServicePorts 25 
StorageKey =STREAM

P. ¿Cómo configura el tiempo de espera del cliente FTP?

A. Ejecute estos comandos:

configure terminal
service host
networkParams
ftpTimeout 300 <timeout is in seconds>

P. ¿Cómo se convierten la hora de inicio y la hora de finalización en el estado iplog a un formato legible?

A. Este resultado es una representación decimal del tiempo actual desde UNIX epoc. Utilice una calculadora epoc UNIX como la ubicada en el sitio de la calculadora de fecha/hora UNIX. Introduzca los primeros 10 dígitos porque esta calculadora es granular a sólo segundos y el IDS almacena nanosegundos. Esto significa que los últimos nueve dígitos se eliminan. Desde la hora de inicio en esta salida, 1084798479 = lunes 17 de mayo 12:54:39 2004 (GMT) es lo que recibe.

Desde la CLI, ingrese iplog-status para recibir este resultado:

"
Log ID:             138343946
IP Address:         xxx.xxx.xxx.xxx
Group:              0
Status:             completed
Start Time:         1084798479512524000
End Time:           1084798510136582000
Bytes Captured:     2833
Packets Captured:   14
"

P. La "excepción IOException cuando intente obtener el certificado: java.security.cert.CertificateExpiredException". el mensaje de error aparece. ¿Cómo se puede resolver esto?

A. Para resolver este mensaje de error, inicie sesión en AIP-SSM y ejecute el comando tls generate-key en el modo EXEC privilegiado como se muestra en este ejemplo:

sensor#tls generate-key

Nota: Esta resolución de usar el comando tls generate-key también resuelve el problema de que AIP-SSM no pueda conectarse al IME.

P. La "excepción de IOE: Conexión rechazada:conexión. El servidor IME no responde. Compruebe si se está ejecutando" aparece un mensaje de error mientras agrego IPS en IME. ¿Cómo se puede resolver este problema?

A. Para resolver este mensaje de error, elija Control Panel > Admin Tools > Services y reinicie los servicios IME.

P. El mensaje de error No se pudo verificar config username/password[IOEXception - connect timed out] se recibe cuando añado un sensor IPS al IME. ¿Cómo se puede resolver este problema?

A. Esto indica una comunicación defectuosa entre el IME y el sensor IPS. Asegúrese de que no haya ningún software que bloquee el SDEE.

P. La "Respuesta de error del servidor IME: Error desconocido (verifique el archivo de registro en el directorio de registro de la instalación)" . el mensaje de error aparece. ¿Cómo se puede resolver este problema?

A. Para resolver este mensaje de error, verifique que se utilice la dirección IP correcta cuando agrega IPS en IME y también verifique cualquier firewall de software que se esté ejecutando en el equipo IME, que pueda bloquear la conexión.

P. ¿Puede el sensor IDS o del sistema de prevención de intrusiones (IPS) enviar alertas por correo electrónico?

A. El sensor IDS no tiene la capacidad de enviar alertas por correo electrónico por sí solo. El monitor de seguridad cuando se utiliza con IDS puede enviar notificaciones por correo electrónico cuando el sensor activa una regla de evento.

Consulte Configurar notificaciones de correo electrónico para obtener más información sobre cómo configurar las notificaciones de correo electrónico con el Monitor de seguridad.

Cisco IPS Manager Express (IME) se puede configurar para enviar el mensaje de notificación por correo electrónico (alertas) cuando los sensores Cisco IPS activan las reglas de eventos. Consulte IPS 6.X y versiones posteriores: Enviar notificaciones por correo electrónico mediante el ejemplo de configuración de IME para obtener más información.

P. El Error: No se puede comunicar con mainApp (getVersion). Póngase en contacto con el administrador del sistema. aparece el mensaje de error cuando intento conectarme a mi sensor. ¿Cómo se puede resolver este problema?

A. Reinicie el sensor para resolver este problema.

P. La advertencia: ADVERTENCIA: No hay suficientes recursos disponibles para combinar todos los registros personalizados activos actualmente. Algunas alertas no se activarán. Considere retirar las firmas hasta que este mensaje ya no ocurra. el mensaje de error aparece sintonizando la firma en mi sensor. ¿Cómo se puede resolver este problema?

A. Se deben retirar las firmas que no se están utilizando para resolver este problema y también se debe reducir el número de firmas de clientes con los anexos. Además, no se recomienda el uso de metacaracteres * y+ en los anexos.

P. ¿Por qué se producen problemas de latencia en los sensores del sistema de prevención de intrusiones (IPS) de Cisco? ¿Cómo se puede resolver este problema?

A. El problema de latencia puede ocurrir debido al ruteo asimétrico. Intente inhabilitar la firma 1330 para resolver este problema.

P. ¿Es posible desactivar SSHv1 y dejar solo el SSHv2 habilitado en los sensores del sistema de prevención de intrusiones (IPS) de Cisco?

A. En este momento no es posible inhabilitar SSHv1 y dejar solamente SSHv2 habilitado. Tanto SSHv1 como SSHv2 están habilitados juntos y no se pueden inhabilitar individualmente.

P. El error: Se ha producido un error en el sensor durante la actualización, mensaje del sensor = La actualización requiere 115000 KB en /usr/cids/idsRoot/var; sólo hay 110443 KB disponibles. aparece cuando actualizo el sensor a la versión 4.1(5). ¿Cómo se puede resolver este problema?

A. Este mensaje de error ocurre debido a la memoria insuficiente en el sensor.

Complete estas tareas para resolver este problema:

1. Inicie sesión en la cuenta de servicio y conviértase en root
2. Quite los directorios siguientes como se muestra a continuación:

   # rm -rf /usr/cids/idsRoot/var/updates/files/S69
   # rm -rf /usr/cids/idsRoot/var/updates/files/common
   # rm /usr/cids/idsRoot/var/virtualSensor/*
   # rm /usr/cids/idsRoot/var/.tmp/*

3. Ahora intente actualizar el sensor. Consulte Cisco bug ID CSCsb81288 ( sólo clientes registrados) para obtener más información.

P. Recibo el mensaje de error mainApp[396] plane/E Error - accept() call devuelto -1 en el log en ASA. ¿Cómo se puede resolver este error?

A. El mensaje de error mainApp[396] cplane/E Error - accept() call return -1 indica que el servidor Web no puede leer el archivo, y accept() program failed, que produce descriptores de archivo cuando existen conexiones TLS. Pero este archivo no es necesario para un comportamiento normal. Es inofensivo.

P. ¿Cómo resuelvo la excepción de conexión tls/W errTransport WebSession::sessionTask TLS: ¿mensaje de error de entrada en contacto incompleto?

A. Este mensaje de error indica que el certificado ya no es válido en el módulo. Complete estos pasos para resolver el problema:

1. Regenere el certificado desde la CLI:

   1. Inicie sesión en la línea de comandos del sensor.

   2. Ejecute el comando tls generate y presione enter. Observe las huellas digitales que se muestran.

2. Introduzca el nuevo certificado en IME:

   1. Abra IME y localice el nombre del sensor en la lista de la página de inicio.

   2. Haga clic con el botón derecho del ratón en el sensor y haga clic en Editar.

   3. Cuando llegue a la pantalla Edit Device (Editar dispositivo), haga clic en OK (Aceptar). Omita cualquier advertencia sobre no poder recuperar el tiempo del sensor.

   4. Se le solicitará el nuevo certificado de seguridad (el que acaba de generar). Compruebe si las huellas dactilares coinciden y haga clic en Yes.

   5. Después de varios segundos, el sensor debe mostrar "Conectado" de nuevo en el estado del evento.

P. Cuando intento iniciar sesión en IPS, recibo este mensaje de error: errSystemError-ct-sensorAPP.450 no responde, clientpeline falló. ¿Cómo puedo resolver este error?

A. Para resolver este error, utilice el comando reset para reiniciar el IPS.

P. La hora en AIP-SSM difiere de la hora en Cisco Adaptive Security Appliance (ASA). ¿Cómo se puede resolver este problema?

A. Para resolver este problema, utilice el servidor NTP para sincronizar la hora en el Cisco Adaptive Security Appliance (ASA) y AIP-SSM.

Consulte Configuración de NTP en los sensores IPS para obtener más información.

P. ¿Cómo puedo aplicar varios sensores virtuales en AIP-SSM?

A. Los sensores virtuales en AIP-SSM no se pueden aplicar por interfaz porque el AIP-SSM sólo tiene una interfaz. Al crear varios sensores virtuales, debe asignar esta interfaz a sólo un sensor virtual. No es necesario designar una interfaz para los otros sensores virtuales.

Después de crear sensores virtuales, debe asignarlos a un contexto de seguridad en Adaptive Security Appliance (ASA) mediante el comando asignar-ips. Puede asignar muchos contextos de seguridad a muchos sensores virtuales. Consulte la sección Asignación de Sensores Virtuales a Contextos Adaptive Security Appliance de Configuración de AIP-SSM para obtener más información.

P. ¿Cuál es el número máximo de sensores virtuales admitidos por AIP-SSM?

A. Se puede admitir un número máximo de cuatro sensores virtuales.

P. Si utilizo SSH o IDM para iniciar sesión en IPS, ¿es posible configurar el IPS 4240/IDSM/IDSM2 para validar usuarios administrativos contra un servidor RADIUS/TACACS+?

A. No es posible con un servidor TACACS+ pero RADIUS es compatible con la versión IPS 7.0.(4)E4. Consulte las secciones Información Nueva y Cambiada y Restricciones y Limitaciones de las Notas de la Versión para Cisco Intrusion Prevention System 7.0(4)E4 para obtener más información. Además, consulte IPS 7.X: User Login Authentication usando ACS 5.X como Ejemplo de Configuración del Servidor Radius para una configuración de ejemplo.

P. ¿Cuál es el impacto de la licencia caducada en la funcionalidad IPS?

A. El único impacto que tiene una licencia caducada en el sensor es que detiene las actualizaciones de firmas.

P. ¿Las actualizaciones de firmas IPS tienen un impacto en los servicios o la conectividad de red?

A. No. Las actualizaciones de firmas IPS no tienen un impacto en los servicios ni en la conectividad de red.

P. ¿Cuál es la URL exacta que necesito introducir para que el módulo IPS se actualice automáticamente con las firmas más recientes?

A. El enlace necesario para permitir que el módulo IPS se actualice automáticamente con la firma más reciente es: https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl.

Debe utilizar su ID de usuario y contraseña de Cisco para completar la actualización del módulo IPS.

Nota: En la serie 6.x de código, las actualizaciones automáticas de Cisco.com no se soportan. Debe descargar manualmente los archivos de firma y aplicarlos al sensor. Hay una función de actualización automática en el código 6.x; sin embargo, esto sólo es posible desde un servidor de archivos local en el que los archivos de firma también se deben descargar manualmente.

P. ¿El sensor IPS es vulnerable a la vulnerabilidad de secuestro de sesión de reenvío de puertos X11 ?

A. No. No es vulnerable por estas razones:

• El sensor no tiene bibliotecas X11. Por lo tanto, no hay sesiones para secuestrar.

• El reenvío de puertos X11 no está habilitado en la configuración SSH.

• IPv6 no se compila en el kernel del sensor. Esto es necesario para explotar la vulnerabilidad.

P. ¿Por qué AIP-SSM no muestra ningún registro cuando ASA muestra muchos registros de advertencia y de ataque?

A. Esto ocurre porque cuando el ASA bloquea algo, no se pasa al IPS para una inspección duplicada. Por lo tanto, no puede ver registros duplicados en ASA e IPS.

P. Después de que un usuario implemente el conjunto de firmas S518, aparece el mensaje de error "invalidValue:Editng string-xl-tcp sig XXXX NO tiene ningún efecto en esta versión". ¿Por qué?

A. Este es el mensaje de error completo:

evError: eventId=1284051856322985135 vendor=Cisco severity=warning
  originator:
    hostId: vbintestids03
    appName: sensorApp
    appInstanceId: 700
  time: offset=-240 timeZone=GMT-05:00 1286305251136551000
errorMessage: name=errWarning invalidValue:Editing string-xl-tcp 
sig 21619 has NO effect

Este problema surge porque el motor string-xl-tcp o string-tcp-xl no se soporta en el hardware. Para obtener más detalles, consulte las Notas de la Versión de IPS Engine E4.

P. Cuando actualizo firmas automáticamente en un ASA-SSM-10 con la función de actualización automática, recibo este mensaje de error: No se ha encontrado ningún paquete de actualización automática instalable en server status=true. ¿Cómo puedo resolver este problema?

A. Este resultado muestra el mensaje de error completo:

autoUpgradeServerCheck:   
    uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl  
    packageFileName:   
    result: No installable auto update package found on server  status=true

Este error se ha generado y las firmas no se actualizan automáticamente porque la definición de firma se actualiza después de S479 requiere el motor E4. Para resolver esto, necesita actualizar manualmente el Sensor a 7.0(2)E4.

Nota: El sensor no puede actualizarse automáticamente a E4 porque requiere 7.0(2) y un reinicio del sensor.

P. La función de actualización automática en el módulo IPS 5.0 para NIDS no funciona. ¿Cómo puedo resolver este problema?

A. Este resultado muestra el mensaje de error completo:

autoUpgradeServerCheck:   
    uri: ftp://hfcu-inet01@192.168.1.12//ips-update/  
    packageFileName:   
    result: No installable auto update package found on server  status=true

Este problema ocurre debido a un estilo de listado de directorio incorrecto con el servidor FTP. Para resolver esto, cambie a listados de directorios estilo UNIX de los listados de directorios de estilo MS-DOS existentes.

Para modificar la configuración del listado de directorio, seleccione Inicio > Archivos de programa > Herramientas administrativas para abrir el Administrador de servicios de Internet. A continuación, vaya a la ficha Directorio principal y cambie el estilo de listado de directorios de MS-DOS a UNIX.

P. IPS-4255 recibe el mensaje de error SensorApp failed in TcpRootNode::caducarNow() durante una actualización. ¿Cómo resuelvo este problema?

A. Este problema se debe al fallo del motor de análisis y se aborda en Cisco bug ID CSCtb39179 ( sólo clientes registrados) . Actualice el sensor a la versión 7.0(4)E4 para solucionar este problema.

P. Cuando intento realizar una actualización de licencia después de adquirir una nueva licencia, el dispositivo informa de este error: "Error al actualizar la licencia en el sensor". "errExpiredLicense: la nueva fecha de vencimiento de la licencia es anterior a la fecha de vencimiento de la licencia actual". ¿Cómo puedo resolver este problema?

A. Este problema ocurre cuando el archivo de licencia recibido no es válido. Para obtener un archivo de licencia válido, inicie sesión en Cisco.com como usuario registrado y descargue el archivo de licencia correspondiente. Una vez que obtenga el archivo de licencia válido, instálelo en el sensor.

Si instala el nuevo archivo de licencia y sigue recibiendo un error, puede que haya un problema con el archivo de licencia no válido existente. Para resolver este problema, complete estos pasos para eliminar el archivo de licencia no válido existente:

1. Inicie sesión en la cuenta de servicio escribiendo su nombre de usuario de cuenta de servicio.

   Si no tiene una cuenta de servicio, abra la línea de comandos IPS, ingrese al modo de configuración e ingrese este comando

   nombre de usuario nombre privilegio servicio contraseña contraseña

   ciscoasa# session 1
   Opening command session with slot 1.
   
   Connected to slot 1. Escape character sequence is 'CTRL-^X'.
   login:
   Password:
   
   IPS#
   IPS#conf t
   IPS(config)# username name privilege service password password
   

2. Una vez que inicie sesión en su cuenta de servicio, ingrese el comando su para ir a root (usando la misma contraseña que la cuenta de servicio).

3. Elimine los archivos del directorio /usr/cids/idsRoot/shared/.

   Nota: No elimine el archivo host.conf.

   1. Ingrese el comando cd /usr/cids/idsRoot/shared/ para ir al directorio compartido.

   2. Ingrese el comando ls para ver los archivos en el directorio.

   3. Ingrese el comando rm file_name para quitar los archivos.

      Nota: No elimine el archivo host.conf.

4. Ingrese el comando /etc/init.d/cids restart para reiniciar el sensor.

5. Instale la nueva licencia.

Se ha producido un error de funcionamiento de Cisco para abordar este comportamiento. Para obtener más información, consulte CSCtg76339 ( sólo clientes registrados) .

P. ¿Qué hace el mensaje de error?: IpLog 1712041197 finalizado temprano debido a la falta de identificadores de archivo. name=mensaje de error ErrLimitExceeded significa? ¿Cómo resuelvo este problema?

A. Este error es causado por una cantidad excesiva de paquetes en el registro IP. Inhabilite la función de registro IP para resolver este problema. El registro de IP está diseñado sólo para la resolución de problemas; Cisco recomienda que no lo active para todas las firmas.

P. Recibo este error cuando actualizo el sensor de s550 a s551: No se puede analizar la configuración actual para el componente "SignatureDefinition" y la instancia "sig0". ¿Cómo puedo resolver este problema?

A. La modificación de la firma 23899.0 causa este problema. Consulte Cisco bug ID CSCtn84552 ( sólo clientes registrados) para obtener más información.

P. Recibo este error en el sensor: Error: autoUpdate seleccionó correctamente un paquete del servicio de localizador de cisco.com; sin embargo, falló la descarga del paquete: No se pudo recibir la respuesta HTTP. ¿Cómo puedo resolver este problema?

A. Compruebe si hay filtrado de URL, filtrado de contenido o un servidor proxy presente que impida que se produzca la actualización automática. Asegúrese de que autoUpdate no esté bloqueado y también verifique que las credenciales de usuario proporcionadas sean correctas.

P. Recibo este mensaje de error XML en el sensor IPS que se ejecuta con la versión 6.2(3)E4: mensaje de error: El software IPS intentó escribir datos XML no válidos para (token). Los caracteres XML no válidos se reemplazaron por '*'. ¿Cómo puedo resolver este problema?

A. Este comportamiento ha sido abordado por el ID de bug de Cisco CSCsq50873 ( sólo clientes registrados) . Este es un problema superficial y no crea ningún sobrecarga operativa excepto la excesiva cantidad de registros que se reciben. Una solución temporal es quitar la configuración relacionada con NTP en el sensor. Para una solución permanente, actualice a una versión en la que se corrija este error.

P. ¿Por qué la estación de trabajo IME realiza conexiones constantes a los servidores administrados a pesar de que el cliente esté cerrado?

A. IME funciona como dos servicios de Windows y el cliente GUI. Cuando el cliente se cierra, los dos servicios de Windows (Cisco IPS Manager Express y MySQL-IME) continúan ejecutando y recopilando eventos de los sensores administrados y almacenándolos en la base de datos local de MySQL; esto permite que se produzcan informes históricos.

El cliente IME debe abrir una sola suscripción SDEE al sensor administrado y reutilizar esta suscripción para la actividad de recuperación de eventos posterior. La conectividad constante de la estación de trabajo IME a los sensores administrados es el comportamiento esperado.

P. ¿Se puede utilizar el módulo AIP-SSM como destino SPAN?

A. No. El módulo AIP-SSM no se puede utilizar como destino SPAN ya que se utiliza solamente para monitorear el tráfico que fluye a través de la interfaz ASA.

P. ¿Por qué se observa un uso elevado de la CPU después de actualizar el IPS al motor E3?

A. Con las actualizaciones del motor E3, el IPS utiliza un algoritmo diferente para gestionar su tiempo de inactividad y dedica más tiempo al sondeo de los paquetes para reducir la latencia. Esta verificación aumentada causa un aumento correspondiente en el uso de la CPU. La manera correcta de medir la CPU en E3 no es por el uso de la CPU, sino por el porcentaje de carga de paquetes que muestra el uso correcto de la CPU.

P. ¿Por qué el LED de estado de estado se vuelve rojo intermitentemente en mi dispositivo IPS?

A. Esto podría ocurrir debido a un certificado incorrecto en la estación de administración remota, que ejecuta software como CS-MARS, CSM, IEV, VMS-IDS/IPSMC, etc. Para resolver este problema, complete estos pasos:

1. Aplique el certificado TLS del sensor en la estación de administración remota.

2. Configure un servidor DNS válido.

P. ¿Cómo se puede evitar que el IPS retrase el tráfico HTTP mientras atraviesa sus interfaces?

A. La configuración del sensor para que funcione en modo asimétrico resolverá el problema. Para colocar el sensor en la protección del modo asimétrico, complete estos pasos:

1. Vaya a Configuración > Políticas > Políticas IPS.

2. Haga doble clic en sensor virtual.

3. Vaya a opciones avanzadas.

4. En modo normalize, seleccione Asymmetric mode protection.

5. Click OK.

6. Reinicie la unidad para que los cambios surtan efecto.

Información Relacionada

• Página de soporte de Cisco Secure Intrusion Prevention System
• Solución de problemas de AIP-SSM
• Avisos de campo de productos de seguridad (incluida CiscoSecure Intrusion Detection)
• Soporte Técnico y Documentación - Cisco Systems