Déployer UTD Snort IPS sur les routeurs à services intégrés Cisco 1000, 4000, CSR et ISRv

Introduction

Ce document décrit comment déployer le moteur UTD Snort IPS Engine sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSRs et ISRv à l'aide de la méthode IOx.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Routeurs à services intégrés Cisco ISR1K, ISR4K, CSR et ISRv avec au moins 8 Go de DRAM
• Connaissances de base sur les commandes IOS-XE
• Connaissances de base UTD Snort IPS
• Un abonnement IPS Snort de signature pour 1 an ou 3 ans est requis
• IOS-XE 16.10.1a et versions ultérieures

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ISR1K, ISR4K, CSR et série ISRv exécutant la version 17.9.3a
• UTD moteur de snort version 17.9.3a
• Licence SecurityKit9 pour ISR1K, ISR4K, CSR et série ISRv

La méthode VMAN est maintenant déconseillée.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

La fonctionnalité Unified Threat Defense (UTD) Snort IPS active le système de prévention des intrusions (IPS) ou le système de détection des intrusions (IDS) pour les filiales sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSR et ISRv. Cette fonctionnalité utilise l'outil Open Source Snort pour activer les fonctionnalités IPS ou IDS.

Snort est un système de prévention des intrusions open source qui effectue une analyse du trafic en temps réel et génère des alertes lorsque des menaces sont détectées sur des réseaux IP. Il peut également effectuer des analyses de protocole, des recherches de contenu ou des recherches en cours, et détecter une variété d'attaques et de sondes, telles que les dépassements de mémoire tampon, les analyses furtives de port, etc. Le moteur UTD Snort fonctionne en tant que service de conteneur virtuel sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSRs et ISRv.

L'UTD Snort IPS offre des fonctionnalités IPS ou IDS pour les routeurs à services intégrés Cisco ISR1K, ISR4K, CSR et ISRv. 

• L'UTD surveille le trafic réseau et l'analyse par rapport à un ensemble de règles défini.
• L'UTD effectue une classification d'attachement.
• L'UTD appelle des actions par rapport aux règles correspondantes.

En fonction des besoins du réseau. L'IPS UTD Snort peut être activé en tant qu'IPS ou IDS :

• En mode IDS : Le moteur de détection UTD inspecte le trafic et signale les alertes, mais ne prend aucune mesure pour empêcher les attaques.
• En mode IPS : Le moteur de détection UTD inspecte le trafic et signale les alertes comme le fait le système IDS, mais des mesures sont prises pour empêcher les attaques.

L'UTD Snort IPS fonctionne en tant que service sur les routeurs ISR1K, ISR4K, CSRs et ISRv. Les conteneurs de services utilisent la technologie de virtualisation pour fournir un environnement d'hébergement sur les périphériques Cisco pour les applications. L'inspection du trafic Snort est activée sur une base par interface ou globalement sur toutes les interfaces prises en charge.

Solution IPS UTD Snort Engine

La solution IPS UTD Snort Engine se compose des entités suivantes :

• Capteur Snort : surveille le trafic pour détecter les anomalies en fonction des stratégies de sécurité configurées (signatures, statistiques, analyse de protocole, etc.) et envoie des messages d'alerte au serveur Alert/Reporting. Le capteur Snort est déployé en tant que service de conteneur virtuel sur le routeur.

• Signature store : héberge les packages de signatures Cisco régulièrement mis à jour. Ces packages de signatures sont téléchargés sur les capteurs Snort périodiquement ou à la demande. Les packages de signatures validés sont publiés sur Cisco.com. En fonction de la configuration, les packages de signatures peuvent être téléchargés à partir de Cisco.com ou d'un serveur local.

  Le routeur accède aux domaines suivants lors du téléchargement du package de signatures à partir de cisco.com :

  • api.cisco.com

  • apx.cisco.com

  • cloudsso.cisco.com

  • cloudsso-test.cisco.com

  • cloudsso-test3.cisco.com

  • cloudsso-test4.cisco.com

  • cloudsso-test5.cisco.com

  • cloudsso-test6.cisco.com

  • cloudsso.cisco.com

  • download-ssc.cisco.com

  • dl.cisco.com

  • resolver1.opendns.com

  • resolver2.opendns.com

  Les packages de signatures doivent être téléchargés manuellement depuis Cisco.com vers le serveur local à l'aide des informations d'identification Cisco.com avant que le capteur Snort puisse les récupérer. 

• Alert/Reporting server : reçoit les événements d'alerte du capteur Snort. Les événements d'alerte générés par le capteur Snort peuvent être envoyés au syslog IOS ou à un serveur syslog externe, ou à la fois au syslog IOS et au serveur syslog externe. Aucun serveur de journalisation externe n'est fourni avec la solution Snort IPS.

• Management : gère la solution Snort IPS. La gestion est configurée à l’aide de l’ILC IOS. Snort Sensor n'est pas accessible directement et toute la configuration peut uniquement être effectuée à l'aide de l'interface de ligne de commande IOS.

Exigences de licence

Les conditions de licence suivantes sont requises pour le moteur UTD Snort :

• La licence Security K9 est requise sur les routeurs ISR1K, ISR4K, CSRs et ISRv. En plus de cela, un abonnement signature 1 an ou 3 ans est également requis, il existe deux types d'abonnement :

a) Package de signatures communautaires : l'ensemble de règles du package de signatures communautaires offre une couverture limitée contre les menaces.

b) Package de signatures basé sur l'abonné : l'ensemble de règles du package de signatures basé sur l'abonné offre la meilleure protection contre les menaces.  Il inclut une couverture anticipée des exploits et fournit également l'accès le plus rapide aux signatures mises à jour en réponse à un incident de sécurité ou à la découverte proactive d'une nouvelle menace. Cet abonnement est entièrement pris en charge par Cisco et le package sera constamment mis à jour sur Cisco.com.

Le package de signature de l'abonné UTD Snort peut être téléchargé à l'adresse software.cisco.com et les informations de signature de l'abonné Snort sont disponibles sur snort.org.

En outre, vous pouvez utiliser l'outil de recherche de documentation de règles snort.org pour rechercher des ID de signature IPS de sniffage spécifiques.

• La licence DNA-Essentials est requise sur les routeurs de périphérie Catalyst 8000 mentionnés dans la section Plates-formes prises en charge afin de pouvoir utiliser IPS/Snort.

Plates-formes prises en charge 

Voici les plates-formes prises en charge pour le moteur UTD Snort :

• ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv et ISR 1K (X PID tels que 1111X, 1121X, 1161X, etc. qui prennent en charge la DRAM de 8 Go uniquement, à partir de la version 17.2.1r)

• Catalyst 8500L, 8300, 8200, 8000V.

Limites

Les limitations suivantes s'appliquent au moteur UTD Snort :

• Seuls les paquets tcp, udp et icmp sont renvoyés vers le moteur UTD Snort pour inspection

• Le trafic ne transite que par le boîtier et est dirigé vers le moteur UTD Snort pour inspection

Restrictions

Les restrictions suivantes s'appliquent au moteur UTD Snort :

• Lorsque vous activez la licence boost sur les routeurs à services intégrés de la gamme Cisco 4000, vous ne pouvez pas configurer le conteneur de services virtuels pour Snort IPS.

• Incompatible avec la fonction de cookie SYN du pare-feu basé sur les zones.

• La traduction d'adresses réseau 64 (NAT64) n'est pas prise en charge.

• SnortSnmpPlugin est requis pour l'interrogation SNMP dans Open Source Snort. Snort IPS ne prend pas en charge les fonctions d'interrogation SNMP ou les MIB, car le plug-in SnortSnmp n'est pas installé sur UTD.

• Le syslog IOS est limité en débit et, par conséquent, toutes les alertes générées par Snort peuvent ne pas être visibles via le syslog IOS. Cependant, vous pouvez afficher tous les messages Syslog si vous les exportez vers un serveur Syslog externe.

Liens de téléchargement UTD Snort Engine IPS

Vous trouverez ci-dessous les liens Cisco permettant de télécharger les fichiers d'image du logiciel UTD Snort IPS Engine à utiliser pour installer le moteur UTD Snort Engine sur votre routeur Cisco. En outre, vous trouverez les fichiers UTD Snort Subscriber Signature Package pour télécharger les signatures UTD Snort IPS, en fonction de la version du moteur UTD Snort Engine en cours d'exécution.

• ISR1K - https://software.cisco.com/download/home/286315006/type

• ISR4K - https://software.cisco.com/download/home/284389362/type

• CSR - https://software.cisco.com/download/home/284364978/type

• ISRv -https://software.cisco.com/download/home/286308693/type

• Catalyst 8500L - https://software.cisco.com/download/home/286324574/type

• Catalyst 8300 - https://software.cisco.com/download/home/286324476/type

• Catalyst 8200 - https://software.cisco.com/download/home/286324472/type

• Catalyst 8000V - https://software.cisco.com/download/home/286327102/type

Remarque : Conditions préalables à prendre en considération pour avant d'installer le moteur UTD Snort, S'il s'agit d'un ISR physique, il doit exécuter IOS-XE version 3.16.1 ou supérieure. S'il s'agit d'un CSR, il doit exécuter la version 16.3.1 ou supérieure et s'il s'agit d'un ISRv (ENCS), il doit s'agir de la version 16.8.1 ou supérieure. Pour Catalyst 8300 (à partir de la version 17.3.2), 8200 (à partir de la version 17.4.1) et 8000V (à partir de la version 17.4.1).

Remarque : Si l'utilisateur télécharge le package de signature de l'abonné UTD Snort manuellement à partir de la page de téléchargement du logiciel, alors l'utilisateur doit s'assurer que le package a la même version que la version du moteur Snort. Par exemple, si la version du moteur Snort est 2982, l'utilisateur doit télécharger la même version du package de signature. En cas de non-concordance de version, la mise à jour du package de signatures est rejetée et échoue.

Remarque : Lorsque le package de signatures est mis à jour, le moteur redémarre et le trafic est interrompu ou l'inspection de contournement pendant une courte période, selon la configuration fail-open/fail-close de leur plan de données.

Diagramme du réseau

Configurer

Installation du moteur UTD Snort

Étape 1. Configuration des interfaces VirtualPortGroup pour le moteur de détection UTD, configuration de deux groupes de ports :

• VirtualPortGroup0 pour le trafic de gestion : Ce VirtualPortGroup sera utilisé pour générer des journaux vers le collecteur de journaux, ainsi que pour extraire des mises à jour de signatures à partir de Cisco.com.

• VirtualPortGroup1 pour le trafic de données : Ce VirtualPortGroup sera utilisé pour envoyer et recevoir des paquets marqués pour inspection qui arrivent sur le plan de données pour inspection IPS.

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Remarque : Assurez-vous de configurer la NAT et le routage requis pour VirtualPortgroup0, pour que le moteur de détection UTD puisse atteindre le serveur syslog externe ainsi que le répertoire cisco.com pour récupérer les fichiers de mise à jour des signatures.

Étape 2.  Activez l'environnement IOx en mode de configuration globale.

Router(config)#iox

Étape 3. Activez ensuite le service virtuel et configurez les adresses IP des invités. Pour cela, configurez l'hébergement d'applications avec la configuration vnic.

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Étape 4 (facultatif). Configurer le profil de ressources.

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

Remarque : Le service virtuel UTD Snort Engine prend en charge trois profils de ressources : Faible, Moyenne et Élevée. Ces profils indiquent les ressources processeur et mémoire requises pour exécuter le service virtuel. Vous pouvez configurer l'un de ces profils de ressources. La configuration du profil de ressources est facultative. Si vous ne configurez pas de profil, le service virtuel est activé avec son profil de ressource par défaut. Consultez le profil de ressources des services virtuels Cisco pour ISR4K et CSR1000v pour plus de détails sur le profil de ressources.

Remarque : Cette option n'est pas disponible pour la gamme ISR1K.

Étape 5. Copiez le fichier du logiciel du moteur UTD Snort IPS dans la mémoire flash des routeurs, puis installez l'application d'hébergement à l'aide du fichier UTD.tar comme suit.

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

Remarque : La version du moteur UTD est spécifiée dans le nom de fichier UTD, assurez-vous que la version du moteur UTD à installer est compatible avec la version de l'IOS-XE exécutée sur le routeur Cisco

Les journaux système suivants indiquent que le service UTD a été correctement installé.

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

Remarque : Avec 'show app-hosting list', l'état doit être affiché comme 'Deployed'

Étape 6. Démarrer le service d'hébergement d'applications.

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

Remarque : Après le démarrage du service d'hébergement d'applications, l'état de l'hébergement d'applications doit être 'En cours'. Utilisez 'show app-hosting list' ou 'show app-hosting detail' pour afficher plus de détails.

Les messages syslog suivants doivent s'afficher pour indiquer que le service UTD a été installé correctement.

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

Configurez le moteur de détection UTD comme IPS ou IDS

Une fois l'installation terminée, le plan de service doit être configuré pour le moteur UTD Snort. Le moteur UTD Snort peut être configuré en tant que système de prévention des intrusions (IPS) ou en tant que système de détection des intrusions (IDS) pour l'inspection du trafic.

Avertissement : Vérifiez que la fonction de licence 'securityk9' est activée dans le routeur pour poursuivre la configuration du plan de service UTD.

Étape 1. Configuration du moteur standard Unified Threat Defense (UTD) (plan de service)

Router#configure terminal
Router(config)#utd engine standard

Étape 2. Activez la journalisation du moteur de détection UTD sur un serveur distant et sur le syslog IOSd.

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

Remarque : UTD Snort IPS surveille le trafic et signale les événements à un serveur de journalisation externe ou au syslog IOS. L’activation de la journalisation dans le syslog IOS peut avoir un impact sur les performances en raison du volume potentiel de messages de journalisation. Des outils externes de surveillance tiers, qui prennent en charge les journaux Snort, peuvent être utilisés pour la collecte et l'analyse des journaux.

Étape 3. Activer l'inspection des menaces pour Snort Engine

Router(config-utd-eng-std)#threat-inspection

Étape 4. Configurez le système de détection des menaces (IDS) ou le système de prévention des intrusions (IPS) comme mode de fonctionnement du moteur Snort.

Router(config-utd-engstd-insp)#threat [protection,detection]

Remarque : Utilisez les mots clés 'protection' pour IPS et 'detection' pour le mode IDS. Le mode par défaut est 'detection'

Étape 5. Configuration de la stratégie de sécurité pour le moteur Snort

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Remarque : La stratégie par défaut est 'symétrique', selon la stratégie choisie, le moteur de détection active ou désactive les signatures IPS pour la protection du moteur de détection.

Étape 6 (facultatif). Activez la configuration UTD allowed-list (liste blanche).

Router#configure terminal
Router(config)#utd threat-inspection whitelist

Étape 7 (facultatif). Configurez les ID de signature d'envoi de signal IPS à inclure dans la liste d'autorisation.

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

Remarque : Les ID de signature peuvent être copiés à partir des alertes qui doivent être supprimées. Vous pouvez configurer plusieurs ID de signature. Répétez cette étape pour chaque ID de signature qui doit être ajouté à la liste d'autorisation.

Remarque : Une fois l'ID de signature de liste autorisée configuré (liste blanche), le moteur de détection UTD permet au flux de traverser le périphérique sans aucune alerte ni perte.

Remarque : L'identificateur du générateur (GID) identifie le sous-système qui évalue une règle d'intrusion et génère des événements. Les règles d'intrusion de texte standard ont un ID de générateur de 1 et les règles d'intrusion d'objet partagé ont un ID de générateur de 3. Il existe également plusieurs ensembles de règles pour différents préprocesseurs. Le tableau 1 suivant. ID de générateur explique les GID.

Étape 8 (facultatif). Activer la liste autorisée dans la configuration d'inspection des menaces.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

Remarque : Une fois l'ID de signature de la liste d'autorisation configuré, le moteur Snort permet au flux de traverser le périphérique sans aucune alerte ni perte

Étape 9. Configurez l'intervalle de mise à jour des signatures pour télécharger automatiquement les signatures de sniffage.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

Remarque : Le premier nombre définit l'heure au format 24 heures et le second nombre indique les minutes.

Avertissement : Les mises à jour des signatures UTD entraînent une brève interruption du service au moment de la mise à jour.

Étape 10. Configuration des paramètres du serveur de mise à jour des signatures du moteur de détection UTD

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

Remarque : Utilisez le mot clé 'cisco' pour pointer vers le serveur Cisco pour les mises à jour de signature ou utilisez le mot clé 'url' pour définir un chemin http/https personnalisé pour le serveur de mise à jour. Pour le serveur Cisco, vous devez fournir votre nom d'utilisateur et votre mot de passe Cisco.

Remarque : Assurez-vous qu'un serveur DNS est configuré pour télécharger les signatures d'analyse IPS à partir du serveur Cisco. Le conteneur d'analyse effectue une recherche de nom de domaine (sur le ou les serveurs DNS configurés sur le routeur) pour résoudre l'emplacement des mises à jour automatiques des signatures à partir de Cisco.com ou sur le serveur local, si l'URL n'est pas spécifiée en tant qu'adresse IP.

Remarque : L'adresse IP MGMT du module UTD attribuée à l'interface VirtualPortGroup0 doit être incluse dans la configuration NAT du routeur pour permettre au module d'obtenir un accès Internet afin de joindre le serveur Cisco pour télécharger les packages de signature Snort.

Étape 11. Activez le niveau de journalisation du moteur UTD Snort et la journalisation des statistiques d’alerte d’inspection des menaces :

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Remarque : À partir de la version 16.8 de Cisco IOS XE Fuji, vous pouvez obtenir un résumé des détails des alertes d'inspection de menace en exécutant la commande suivante « show utd engine standard logging threat-inspection statistics detail ». Simplement, lorsque la journalisation des statistiques d'alerte d'inspection de menace est activée pour le moteur UTD Snort.

Étape 12. Activer le service UDT

Router#configure terminal
Router(config)#utd

Étape 13 (facultatif). Rediriger le trafic de données de l'interface VirtualPortGroup vers le service UTD.

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup 

Remarque : Si la redirection n'est pas configurée, elle est automatiquement détectée.

Étape 14 : activation du moteur IPS UTD pour inspecter le trafic provenant de toutes les interfaces de couche 3 sur le routeur

Router(config-utd)#all-interfaces

Étape 15 : activation de la norme de moteur

Router(config-utd)#engine standard

Les messages syslog suivants doivent être affichés pour indiquer que le moteur UTD Snort a été correctement activé :

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

Étape 16 (facultatif). Définir l'action pour le moteur de détection UTD en cas de panne (plan de données UTD)

Router(config-engine-std)#fail open
Router(config-engine-std)#end

Remarque : L'option « fail close » abandonne tout le trafic du routeur lorsque le moteur UTD tombe en panne et l'option « fail open » permet au trafic du routeur de continuer à circuler sans inspection IPS/IDS pendant les pannes UTD. L'option par défaut est « fail open ».

Étape 17. Enregistrez la configuration du routeur.

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

Port-Scan Inspector pour le moteur UTD Snort

Le moteur UTD Snort offre des fonctionnalités Port-Scan. Une analyse de port est une forme de reconnaissance de réseau souvent utilisée par les pirates comme prélude à une attaque. Dans une analyse de port, un pirate envoie des paquets conçus pour rechercher des protocoles et des services réseau sur un hôte ciblé. En examinant les paquets envoyés en réponse par un hôte, le pirate peut déterminer quels ports sont ouverts sur l'hôte et, soit directement, soit par inférence, quels protocoles d'application sont exécutés sur ces ports.

En soi, une analyse de port n'est pas la preuve d'une attaque. Les utilisateurs autorisés de votre réseau peuvent utiliser des techniques d'analyse de port similaires à celles utilisées par les pirates.

L'inspecteur port_scan détecte quatre types de portscan et surveille les tentatives de connexion sur les protocoles TCP, UDP, ICMP et IP. En détectant des modèles d'activité, l'inspecteur port_scan vous aide à déterminer les analyses de port qui peuvent être malveillantes.

Les analyses de ports sont généralement divisées en quatre types en fonction du nombre d'hôtes ciblés, du nombre d'hôtes d'analyse et du nombre de ports analysés.

Règles de Port Scan Inspector

Le tableau 3 ci-dessous présente les règles de l'inspecteur de balayage des ports.

Niveaux sensibles d'analyse des ports

L'inspecteur port_scan fournit trois niveaux par défaut sensibles à l'analyse pour le moteur de détection UTD :

• Port_scan élevé
• Port_scan faible
• Port_scan moyen

Configuration de Port-Scan Inspector pour UTD Snort Engine

Étape 1. Configuration du moteur standard Unified Threat Defense (UTD) (plan de service)

Router#configure terminal
Router(config)#utd engine standard

Étape 2. Activer l'inspection des menaces pour le moteur UTD snort.

Router(config-utd-eng-std)#threat-inspection

Étape 3. Activez ensuite port_scan.

Router(config-utd-engstd-insp)#port-scan 

Étape 4. Définissez le niveau de sensibilité port_scan, les options disponibles sont high, medium ou low.

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

Étape 5. Une fois que le port_scan est activé et configuré avec un niveau sensible pour le moteur UTD Snort, utilisez la commande 'show utd engine standard config' pour vérifier la configuration de port_scan.

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Vérifier

Vérifiez l'état des interfaces et des adresses IP VirtualPortGroup

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

Vérifier la configuration des interfaces VirtualPortGroup

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

Vérifiez la configuration de l'hébergement d'applications

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

Vérifier l'activation iox

Router#show running-config | i iox
iox

Vérifier l'état d'hébergement des applications

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

Vérifiez les détails de l'hébergement d'applications

Émettez la commande « show app-hosting detail » pour confirmer l'état du moteur de détection UTD, la version du logiciel en cours d'exécution, l'utilisation de la mémoire vive, du processeur et du disque, les statistiques du réseau et la configuration DNS en place.

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

Vérifiez la version de compatibilité du moteur de détection UTD par rapport à la version du routeur IOS-XE en cours d'exécution

Utilisez la commande « show utd engine standard version » pour confirmer la version de compatibilité du moteur UTD Snort, par rapport à la version du routeur IOS-XE en cours d'exécution.

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

Vérifier l'état du moteur UTD Snort

Option 1. Exécutez la commande 'show utd engine standard status', pour confirmer l'état du moteur UTD Snort, l'état en 'Green', l'état en 'Green' et l'état global du système en 'Green', pour indiquer que le moteur UTD Snort est opérationnel.

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

Remarque : Lorsque le moteur UTD Snort est surabonné, l'état du canal de défense contre les menaces passe du vert au rouge. Le plan de données UTD abandonne tous les autres paquets si fail-close est configuré ou transfère les paquets non inspectés si fail-close n'est pas configuré (par défaut). Lorsque le plan de service UTD récupère après une sursouscription, il répond au plan de données UTD avec l'état vert.

Option 2. Émettez la commande 'show platform software utd global', pour obtenir un bref résumé de l'état de fonctionnement du moteur UTD Snort. 

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

Vérifier la configuration du moteur UTD Snort

Option 1. Exécutez la commande 'show utd engine standard config' pour afficher les détails de la configuration du moteur UTD Snort, le mode de fonctionnement, le mode de stratégie, la configuration de la mise à jour des signatures, la configuration de la journalisation, la liste blanche et l'état de l'analyse des ports.  

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

Option 2. Exécutez la commande ? show running-config? | b engine' pour afficher la configuration en cours du moteur UTD Snort Engine.

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

Vérifier l'état de mise à jour de la signature IPS du moteur UTD Snort

1. Exécutez la commande « show utd engine standard threat-inspection signature update status » pour vérifier l'état de mise à jour de la signature Snort IPS.

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. Émettez la commande 'utd threat-inspection signature update', pour exécuter une mise à jour manuelle de la signature de détection IPS en utilisant la configuration de serveur existante appliquée au moteur de détection UTD pour les téléchargements de signatures.

Router#utd threat-inspection signature update

3. Émettez la commande 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force', pour forcer une mise à jour manuelle de la signature Snort IPS avec les paramètres de serveur spécifiés.

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

Comment vérifier si le moteur UTD snort inspecte le trafic

Utilisez les commandes show suivantes pour surveiller le trafic traité par le moteur UTD Snort et pour vérifier les statistiques relatives à l'inspection du trafic. 

Option 1. À partir de la sortie ci-dessous de 'show utd engine standard statistics', les compteurs 'received' et 'analysis' s'incrémentent, lorsque le trafic est traité par le moteur UTD Snort :

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

Option 2. À partir de la sortie ci-dessous « show platform hardware qfp active feature utd stats », les compteurs 'decaps' et 'Divert' s'incrémentent lorsque le trafic est redirigé du routeur vers le moteur UTD Snort pour l'inspection du trafic et les compteurs 'Encapaps' et 'Reinject' s'incrémentent lorsque le trafic est redirigé du moteur UTD Snort vers le routeur :

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

Option 3. À partir de la sortie ci-dessous de 'show utd engine standard statistics internal', les compteurs 'received' et 'analysis' s'incrémentent lorsque le trafic est redirigé du routeur vers le moteur UTD Snort pour inspection du trafic. En outre, cette sortie affichera plus de détails et de statistiques sur le trafic inspecté par le moteur UTD Snort :

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

Comment confirmer si le moteur de détection UTD a déclenché une signature de détection IPS 

Utilisez les commandes show suivantes pour surveiller les signatures IPS de renfort déclenchées, les événements IPS/IDS générés et les adresses IP source et de destination impliquées. 

Option 1. Utilisez la commande « show utd engine standard logging events [threat-inspection] » pour rechercher les événements IPS/IDS :

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

Option 2. Utilisez la commande 'show utd engine standard logging statistics threat-inspection', pour rechercher les principales signatures IPS Snort déclenchées au cours des dernières 24 heures et combien de fois chaque signature a été déclenchée :

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

Option 3. Utilisez la commande « show utd engine standard logging statistics threat-inspection detail », pour rechercher les principales signatures IPS Snort déclenchées au cours des dernières 24 heures, le nombre de fois que chaque signature a été déclenchée et les adresses IP source et de destination qui ont déclenché la signature : 

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1      
 

Option 4. Le moteur de détection UTD surveille le trafic et signale les événements à un serveur de journal externe ou au syslog IOS. L’activation de la journalisation dans le syslog IOS peut avoir un impact sur les performances en raison du volume potentiel de messages de journalisation. Des outils externes de surveillance tiers, qui prennent en charge les journaux Snort, peuvent être utilisés pour la collecte et l'analyse des journaux.

Chaque fois que le moteur de détection UTD génère un événement IPS/IDS, le routeur affiche un message syslog comme suit :

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

Remarque : Les journaux du moteur UTD Snort s'affichent dans l'interface de ligne de commande IOSd du routeur, juste lorsque le journal syslog de journalisation est activé dans la configuration standard du moteur UTD pour le moteur UTD Snort.

Lorsque le moteur UTD Snort est configuré pour envoyer les journaux à un serveur Syslog externe, vous devriez voir les journaux du moteur UTD Snort dans votre serveur Syslog distant comme suit :

Comment afficher les signatures d'envoi d'IPS actives

Utilisez les commandes suivantes pour afficher les signatures de détection IPS Active, Drop et Alert pour le moteur de détection UTD, selon la configuration de stratégie utilisée (Équilibré, Connectivité ou Sécurité). 

Option 1. Procédez comme suit pour afficher la liste des signatures d'envoi d'un paquet IPS actif pour la stratégie de sécurité. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

Option 2. Procédez comme suit pour afficher la liste des signatures d'envoi de paquets IPS actif pour la stratégie de connectivité. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

Option 3. Procédez comme suit pour afficher la liste des signatures d'envoi d'IPS actif pour la stratégie équilibrée. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

Remarque : Pour afficher les signatures IPS Snort actives pour la stratégie Équilibré, Connectivité ou Sécurité, le moteur UTD Snort doit exécuter le mode de stratégie correspondant que vous souhaitez afficher.

Dépannage

1. Assurez-vous que le routeur à services intégrés Cisco (ISR) exécute XE 16.10.1a et versions ultérieures (méthode IOx).

2. Assurez-vous que le routeur à services intégrés Cisco (ISR) est sous licence avec la fonction SecurityKit9 activée.

3. Vérifiez que le modèle matériel du routeur de service intégré est conforme au profil de ressources minimum.

4. Le moteur de détection UTD n'est pas compatible avec le cookie SYN du pare-feu basé sur les zones et avec la traduction d'adresses réseau 64 (NAT64)

5. Confirmez que le service du moteur UTD Snort a démarré après l'installation.

6. Lors du téléchargement manuel du package Signature, assurez-vous que la version du package est identique à celle du moteur Snort. La mise à jour du package de signatures peut échouer en cas de non-concordance de version.

7. En cas de problèmes de performances, utilisez les 'show app-hosting resource' et 'show app-hosting utilisation appid''UTD-NAME' pour vérifier l'espace UTD CPU, Memory and Storage.

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

Avertissement : Contactez le TAC Cisco, si vous confirmez que le moteur UTD Snort utilise beaucoup de CPU, de mémoire ou de disque.

Débogage

À des fins de dépannage, utilisez les commandes de débogage répertoriées ci-dessous pour obtenir des détails supplémentaires sur le moteur UTD Snort.

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

Avertissement : L'exécution de commandes debug pendant les heures de production peut augmenter considérablement l'utilisation du processeur, de la mémoire ou du disque sur le moteur UTD Snort ou le routeur, ce qui peut avoir un impact sur le trafic et la stabilité du système. Utilisez les commandes debug avec parcimonie, de préférence pendant une fenêtre de maintenance, et désactivez-les immédiatement après avoir collecté les données requises. Si une utilisation élevée des ressources ou un impact sur les services est observé, arrêtez le débogage et contactez le TAC Cisco.

Informations connexes

Vous trouverez de la documentation supplémentaire relative au déploiement UTD Snort IPS ici :

Guide de configuration de la sécurité Cisco Snort IPS

Profil de ressources du service virtuel Cisco pour ISR4K et CSR1000v

Snort IPS sur les routeurs - Configuration pas à pas

Guide Cisco - Dépannage de Snort IPS

Guide de référence de Snort Port-Scan Inspector

Page Web Snort Open Source Intrusion Prevention System (IPS)

Installer l'image virtuelle de sécurité UTD sur les routeurs cEdge

CSCwf57595 ISR4K Snort IPS n'est pas déployé car le matériel ne dispose pas de suffisamment de ressources de plate-forme