El sistema de prevención de intrusiones (IPS) 5.1 contiene más de 1000 firmas predeterminadas integradas. No puede cambiar el nombre ni eliminar firmas de la lista de firmas integradas, pero puede retirar firmas para quitarlas del motor de detección. Puede activar más tarde las firmas retiradas. Sin embargo, este proceso requiere que los motores de detección reconstruyan su configuración, lo que lleva tiempo y podría retrasar el procesamiento del tráfico. Puede ajustar las firmas integradas cuando ajuste varios parámetros de firma. Las firmas integradas que se han modificado se denominan firmas ajustadas.
Este documento ilustra los pasos que se deben utilizar para ajustar la firma mediante el Administrador de dispositivos IPS (IDM). IDM es una aplicación Java basada en Web que le permite configurar y administrar el sensor. El servidor web para IDM reside en el sensor. Puede acceder a él a través de Internet Explorer, Netscape o los exploradores web de Mozilla.
Nota: Puede crear firmas, que se denominan firmas personalizadas. Los ID de firma personalizados comienzan en 60000. Puede configurarlos para varias cosas, como la coincidencia de cadenas en conexiones UDP, el seguimiento de inundaciones de red y los análisis. Cada firma se crea utilizando un motor de firma diseñado específicamente para el tipo de tráfico que se monitorea.
No hay requisitos específicos para este documento.
La información de este documento se basa en Cisco Intrusion Prevention System Device Manager 5.x.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Para configurar un Sensor para monitorear el tráfico de red para una firma determinada, debe habilitar la firma. De forma predeterminada, las firmas más importantes se activan cuando se instala la actualización de la firma. Cuando se detecta un ataque que coincide con una firma activada, el sensor genera una alerta, que se almacena en el almacén de eventos del sensor. Los clientes basados en la Web pueden recuperar las alertas, así como otros eventos, del almacén de eventos. De forma predeterminada, el Sensor registra todas las alertas informativas o superiores.
Algunas firmas tienen subfirmas. Es decir, la firma se divide en subcategorías. Cuando configura una subfirma, los cambios realizados en los parámetros de una subfirma se aplican sólo a esa subfirma. Por ejemplo, si edita la subfirma 1 de la firma 3050 y cambia la gravedad, el cambio de gravedad se aplica solamente a la subfirma 1 y no a 3050 2, 3050 3 y 3050 4.
Un icono + indica que hay más opciones disponibles para este parámetro. Haga clic en el icono + para expandir la sección y ver los parámetros restantes.
Un icono verde indica que el parámetro utiliza actualmente el valor predeterminado. Haga clic en el icono verde para cambiarlo a rojo, que activa el campo de parámetro para que pueda editar el valor.
Complete estos pasos para ajustar las firmas:
Inicie sesión en IDM utilizando una cuenta con privilegios de administrador o operador.
Elija Configuration > Signature Definition > Signature Configuration.
Aparece el panel Configuración de firma.
Para localizar una firma, elija una opción de ordenación de la lista Seleccionar por.
Por ejemplo, si busca una firma UDP Flood, elija L2/L3/L4 Protocol y luego UDP Floods.
El panel Configuración de firma actualiza y muestra sólo las firmas que coinciden con los criterios de ordenación.
Para ajustar una firma existente, seleccione la firma y complete estos pasos:
Haga clic en Editar para abrir el cuadro de diálogo Editar firma.
Revise los valores de los parámetros y cambie el valor de cualquier parámetro que desee ajustar.
Nota: Para elegir más de una acción de evento, mantenga presionada la tecla Ctrl.
En Status , elija Yes para habilitar la firma.
Nota: La firma debe estar habilitada para que el Sensor detecte activamente el ataque especificado por la firma.
En Status (Estado), especifique si esta firma se retira. Haga clic en No para activar la firma. Esto coloca la firma en el motor.
Nota: Se debe activar una firma para que el sensor detecte activamente el ataque especificado por la firma.
Nota: Haga clic en Cancelar para deshacer los cambios y cerrar el cuadro de diálogo Editar firma.
Click OK.
La firma editada aparece ahora en la lista con el tipo configurado en Tuned (Ajustado).
Nota: Si desea deshacer los cambios, haga clic en Restablecer.
Haga clic en Aplicar para aplicar los cambios y guardar la configuración revisada.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
07-Apr-2007 |
Versión inicial |