Este documento explica el procedimiento utilizado para configurar un sensor de Cisco Secure Intrusion Detection System (IDS) en Cisco Secure Policy Manager (CSPM). Este documento asume que instaló la versión 2.3.I de CSPM en el equipo. La versión "I" permite la administración de los dispositivos IDS (Sensores de aplicación, routers del IOS® de Cisco o de IDS Blades) en un switch Catalyst® 6000 de Cisco. Este documento también asume que los parámetros de la oficina de correos IDS están correctamente definidos. Éstos incluyen HOSTID, ORGID, HOSTNAME y ORGNAME. Tenga en cuenta que para que el host CSPM se comunique con un Sensor, ORGID y ORGNAME deben coincidir con lo que está definido en el Sensor.
No hay requisitos específicos para este documento.
La información en este documento se basa en CSPM 2.3.I y posteriores.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Estas secciones explican el proceso utilizado para configurar un sensor IDS en CSPM.
Inicie CSPM e inicie sesión. Aparece un plantilla en blanco (primer inicio) que le permite definir la red.
Estas tres definiciones se requieren en la topología CSPM para IDS.
Defina la red en la que se encuentra la interfaz de control del Sensor y la red en la que se encuentra el host CSPM. Si se encuentran en la misma subred, sólo es necesario definir una red. Primero defina la red.
Defina el host CSPM en su red. Sin la definición del host CSPM, no es posible administrar el Sensor.
Defina el sensor en su red.
Complete estos pasos:
Haga clic con el botón derecho en el icono de Internet en la topología y seleccione New (Nueva) > Network to create a new network (Red para crear una nueva red).
En el lado derecho del panel de la red, agregue el nombre de la red nueva, la dirección de la red y la máscara que se utilizará.
Haga clic en el botón IP Address (Dirección IP) e ingrese la dirección IP que su red utiliza para conectarse a Internet.
Normalmente es la puerta de enlace predeterminada para la red.
Nota: Cuando gestiona sensores, la dirección de la puerta de enlace no tiene que ser necesariamente correcta, ya que no se envía al sensor esta información de la puerta de enlace predeterminada. Ya debería estar definido en el Sensor.
Click OK. La red se agrega al mapa de topología sin errores.
Utilice este procedimiento para agregar el host CSPM.
En la topología de red, haga clic con el botón derecho en la red que acaba de agregar y seleccione New > Host.
CSPM muestra una pantalla similar a esta. De lo contrario, la red que acaba de definir no es la red en la que se ubica su host CSPM. Vuelva a verificar la dirección IP en su host de CSPM.
Haga clic en Yes (Sí) para instalar el host CSPM dentro de la topología.
Verifique que la información en la pantalla General para el host CSPM sea correcta.
Haga clic en OK (Aceptar) en la pantalla General del host CSPM.
Utilice este procedimiento para agregar el dispositivo Sensor.
Haga clic con el botón derecho del ratón en la red en la que reside el sensor y seleccione Asistentes > Agregar sensor.
Nota: Si el host CSPM y la interfaz de control de su Sensor no están en la misma red, defina la red en la que reside su Sensor.
Ingresar los parámetros correctos de oficina de correos para el sensor.
Haga clic en Check here (Verifique aquí) para verificar la casilla de dirección de Sensor.
Nota: Si es la primera vez que configura este sensor, no desea capturar la configuración del sensor. Si ha configurado previamente este Sensor en otra parte ya sea a través de un director UNIX u otro host CSPM y ha realizado cambios en la configuración de las firmas Sensors, entonces desea capturar la configuración del Sensor.
Haga clic en Next (Siguiente) para definir las versiones de firma de Sensor. También puede ejecutar el comando nrvers para verificar esto en el Sensor.
Nota: Si CSPM no tiene la versión de sensor correcta que está ejecutando en su sensor, actualice las firmas en su host CSPM. Consulte la descarga del software (sólo clientes registrados) para obtener actualizaciones.
Haga clic en el botón Next para continuar.
Haga clic en Finalizar para completar la instalación del Sensor en la topología.
Del menú principal de CSPM, seleccione File (Archivo) > Save and Update (Guardar y actualizar) para recopilar la información ingresada en la topología en CSPM. Recuerde que este paso es necesario para iniciar el protocolo postoffice en el host CSPM.
Compruebe que todo funciona iniciando sesión en el Sensor como usuario de netrangr.
Ejecute el comando nrconns.
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >
Nota: Si el sensor y el host CSPM no se comunican, aparecerá en su lugar un resultado similar al siguiente:
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr
Si este es el caso, obtenga un rastro del rastreador para ver si ambos lados están enviando paquetes UDP 45000. UDP 45000 el lo que usan los dispositivo IDS para comunicarse entre sí. Para probar esto en el Sensor, su raíz y (dependiendo del Sensor que tenga) ejecute snoop -d iprb1 port 45000 (para un sensor IDS 4210) y snoop -d iprb0 port 45000 (para cualquier otro modelo de Sensor).
Utilice <control-c> para salir de una sesión de snoop.
Esta salida aparece si no hay comunicaciones entre el Sensor y el CSPM:
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
En el resultado anterior, el Sensor envía paquetes UDP 45000, pero no recibe ninguno. Una configuración correcta produce un resultado similar al siguiente:
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
En el resultado anterior, el tráfico UDP 45000 va en ambas direcciones.
Si los paquetes UDP 45000 fluyen en ambas direcciones y la salida de nrconns en el Sensor aún dice que no hay conexión establecida, los parámetros de postoffice en el Sensor y el host CSPM no coinciden.
Para verificar manualmente los parámetros de la oficina de correos en el host CSPM:
Utilice el Explorador de Windows para desplazarse hasta el lugar donde se ha instalado CSPM en el equipo NT.
Edite los archivos de organizador, ruta y organización con Write o Wordpad (no utilice Notepad porque el formato estará dañado).
Asegúrese de que estos archivos tengan el aspecto adecuado para su instalación. Si alguno de los valores no es correcto, edítelos y reinicie el equipo NT con estos pasos:
Haga clic en el icono CSPM en la topología de red.
Haga clic en la ficha Policy Distribution (Distribución de políticas) para introducir los parámetros de su oficina postal.
Guarde y actualice los cambios.
Reiniciar la computadora NT.
Una vez guardada la configuración en CSPM, configure el sensor. Para hacer esto, primero configure el Sensor para escribir las alarmas que ve en su propio registro. A continuación, configure el sensor como "sniff" en la interfaz correcta.
Utilice este procedimiento para escribir alarmas en el registro.
Haga clic en el cuadro Generate audit event log files para indicarle al Sensor que envíe alertas a los registros locales.
También envía alarmas al cuadro CSPM de forma predeterminada después de enviar una configuración hacia abajo.
Para continuar, haga clic en OK (Aceptar).
Utilice este procedimiento para configurar el sensor en "Sniff".
Seleccione el sensor en su topología de CSPM y haga clic en la ficha Sensing (Detección).
Definir el Dispositivo de Captura de Paquetes:
iprb0: para un sensor IDS 4210
spwr0 - para cualquier otro modelo de sensor
Para continuar, haga clic en OK (Aceptar).
Haga clic en el icono Update (actualizar) de la barra de menú CSPM para actualizar el CSPM con la información.
Nota: Si todo va bien, aparece una pantalla similar a esta. Observe que no hay errores en rojo. Normalmente, las advertencias amarillas están bien.
Seleccione el sensor en la topología de red y haga clic en la ficha Command (Comando) para enviarle la configuración actualizada al sensor.
Haga clic en el botón Aprobar ahora para enviar la configuración al sensor.
El panel Estado muestra el mensaje "Cargar <#> completado". Esto indica un proceso de transferencia válido y completo. El sensor se ha actualizado y ahora debe ejecutarse normalmente.
Si el Sensor no funciona normalmente, vaya al Sensor y verifique la salida del comando nrconns para asegurarse de que la conexión entre el host CSPM y el Sensor esté establecida.
Una vez realizado esto, puede buscar las alarmas que el sensor envía al host CSPM en el visor de eventos. Para ver el visor de eventos, en el menú principal de CSPM seleccione Tools > View Sensor Events > Database.
Haga clic en OK (Aceptar) para ver la ventana de base de datos de eventos. La pantalla variará en función de las alarmas que reciba.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Jan-2006 |
Versión inicial |