Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment déployer le moteur UTD Snort IPS Engine sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSRs et ISRv à l'aide de la méthode IOx.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
La méthode VMAN est maintenant déconseillée.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
La fonctionnalité Unified Threat Defense (UTD) Snort IPS active le système de prévention des intrusions (IPS) ou le système de détection des intrusions (IDS) pour les filiales sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSR et ISRv. Cette fonctionnalité utilise l'outil Open Source Snort pour activer les fonctionnalités IPS ou IDS.
Snort est un système de prévention des intrusions open source qui effectue une analyse du trafic en temps réel et génère des alertes lorsque des menaces sont détectées sur des réseaux IP. Il peut également effectuer des analyses de protocole, des recherches de contenu ou des recherches en cours, et détecter une variété d'attaques et de sondes, telles que les dépassements de mémoire tampon, les analyses furtives de port, etc. Le moteur UTD Snort fonctionne en tant que service de conteneur virtuel sur les routeurs à services intégrés Cisco ISR1K, ISR4K, CSRs et ISRv.
L'UTD Snort IPS offre des fonctionnalités IPS ou IDS pour les routeurs à services intégrés Cisco ISR1K, ISR4K, CSR et ISRv.
En fonction des besoins du réseau. L'IPS UTD Snort peut être activé en tant qu'IPS ou IDS :
L'UTD Snort IPS fonctionne en tant que service sur les routeurs ISR1K, ISR4K, CSRs et ISRv. Les conteneurs de services utilisent la technologie de virtualisation pour fournir un environnement d'hébergement sur les périphériques Cisco pour les applications. L'inspection du trafic Snort est activée sur une base par interface ou globalement sur toutes les interfaces prises en charge.
La solution IPS UTD Snort Engine se compose des entités suivantes :
Capteur Snort : surveille le trafic pour détecter les anomalies en fonction des stratégies de sécurité configurées (signatures, statistiques, analyse de protocole, etc.) et envoie des messages d'alerte au serveur Alert/Reporting. Le capteur Snort est déployé en tant que service de conteneur virtuel sur le routeur.
Signature store : héberge les packages de signatures Cisco régulièrement mis à jour. Ces packages de signatures sont téléchargés sur les capteurs Snort périodiquement ou à la demande. Les packages de signatures validés sont publiés sur Cisco.com. En fonction de la configuration, les packages de signatures peuvent être téléchargés à partir de Cisco.com ou d'un serveur local.
Le routeur accède aux domaines suivants lors du téléchargement du package de signatures à partir de cisco.com :
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Les packages de signatures doivent être téléchargés manuellement depuis Cisco.com vers le serveur local à l'aide des informations d'identification Cisco.com avant que le capteur Snort puisse les récupérer.
Alert/Reporting server : reçoit les événements d'alerte du capteur Snort. Les événements d'alerte générés par le capteur Snort peuvent être envoyés au syslog IOS ou à un serveur syslog externe, ou à la fois au syslog IOS et au serveur syslog externe. Aucun serveur de journalisation externe n'est fourni avec la solution Snort IPS.
Management : gère la solution Snort IPS. La gestion est configurée à l’aide de l’ILC IOS. Snort Sensor n'est pas accessible directement et toute la configuration peut uniquement être effectuée à l'aide de l'interface de ligne de commande IOS.
Les conditions de licence suivantes sont requises pour le moteur UTD Snort :
a) Package de signatures communautaires : l'ensemble de règles du package de signatures communautaires offre une couverture limitée contre les menaces.
b) Package de signatures basé sur l'abonné : l'ensemble de règles du package de signatures basé sur l'abonné offre la meilleure protection contre les menaces. Il inclut une couverture anticipée des exploits et fournit également l'accès le plus rapide aux signatures mises à jour en réponse à un incident de sécurité ou à la découverte proactive d'une nouvelle menace. Cet abonnement est entièrement pris en charge par Cisco et le package sera constamment mis à jour sur Cisco.com.
Le package de signature de l'abonné UTD Snort peut être téléchargé à l'adresse software.cisco.com et les informations de signature de l'abonné Snort sont disponibles sur snort.org.
En outre, vous pouvez utiliser l'outil de recherche de documentation de règles snort.org pour rechercher des ID de signature IPS de sniffage spécifiques.
Voici les plates-formes prises en charge pour le moteur UTD Snort :
Les limitations suivantes s'appliquent au moteur UTD Snort :
Les restrictions suivantes s'appliquent au moteur UTD Snort :
Lorsque vous activez la licence boost sur les routeurs à services intégrés de la gamme Cisco 4000, vous ne pouvez pas configurer le conteneur de services virtuels pour Snort IPS.
Incompatible avec la fonction de cookie SYN du pare-feu basé sur les zones.
La traduction d'adresses réseau 64 (NAT64) n'est pas prise en charge.
SnortSnmpPlugin est requis pour l'interrogation SNMP dans Open Source Snort. Snort IPS ne prend pas en charge les fonctions d'interrogation SNMP ou les MIB, car le plug-in SnortSnmp n'est pas installé sur UTD.
Vous trouverez ci-dessous les liens Cisco permettant de télécharger les fichiers d'image du logiciel UTD Snort IPS Engine à utiliser pour installer le moteur UTD Snort Engine sur votre routeur Cisco. En outre, vous trouverez les fichiers UTD Snort Subscriber Signature Package pour télécharger les signatures UTD Snort IPS, en fonction de la version du moteur UTD Snort Engine en cours d'exécution.
Remarque : Conditions préalables à prendre en considération pour avant d'installer le moteur UTD Snort, S'il s'agit d'un ISR physique, il doit exécuter IOS-XE version 3.16.1 ou supérieure. S'il s'agit d'un CSR, il doit exécuter la version 16.3.1 ou supérieure et s'il s'agit d'un ISRv (ENCS), il doit s'agir de la version 16.8.1 ou supérieure. Pour Catalyst 8300 (à partir de la version 17.3.2), 8200 (à partir de la version 17.4.1) et 8000V (à partir de la version 17.4.1).
Remarque : Si l'utilisateur télécharge le package de signature de l'abonné UTD Snort manuellement à partir de la page de téléchargement du logiciel, alors l'utilisateur doit s'assurer que le package a la même version que la version du moteur Snort. Par exemple, si la version du moteur Snort est 2982, l'utilisateur doit télécharger la même version du package de signature. En cas de non-concordance de version, la mise à jour du package de signatures est rejetée et échoue.
Remarque : Lorsque le package de signatures est mis à jour, le moteur redémarre et le trafic est interrompu ou l'inspection de contournement pendant une courte période, selon la configuration fail-open/fail-close de leur plan de données.
Étape 1. Configuration des interfaces VirtualPortGroup pour le moteur de détection UTD, configuration de deux groupes de ports :
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Remarque : Assurez-vous de configurer la NAT et le routage requis pour VirtualPortgroup0, pour que le moteur de détection UTD puisse atteindre le serveur syslog externe ainsi que le répertoire cisco.com pour récupérer les fichiers de mise à jour des signatures.
Étape 2. Activez l'environnement IOx en mode de configuration globale.
Router(config)#iox
Étape 3. Activez ensuite le service virtuel et configurez les adresses IP des invités. Pour cela, configurez l'hébergement d'applications avec la configuration vnic.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Étape 4 (facultatif). Configurer le profil de ressources.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Remarque : Le service virtuel UTD Snort Engine prend en charge trois profils de ressources : Faible, Moyenne et Élevée. Ces profils indiquent les ressources processeur et mémoire requises pour exécuter le service virtuel. Vous pouvez configurer l'un de ces profils de ressources. La configuration du profil de ressources est facultative. Si vous ne configurez pas de profil, le service virtuel est activé avec son profil de ressource par défaut. Consultez le profil de ressources des services virtuels Cisco pour ISR4K et CSR1000v pour plus de détails sur le profil de ressources.
Remarque : Cette option n'est pas disponible pour la gamme ISR1K.
Étape 5. Copiez le fichier du logiciel du moteur UTD Snort IPS dans la mémoire flash des routeurs, puis installez l'application d'hébergement à l'aide du fichier UTD.tar comme suit.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Remarque : La version du moteur UTD est spécifiée dans le nom de fichier UTD, assurez-vous que la version du moteur UTD à installer est compatible avec la version de l'IOS-XE exécutée sur le routeur Cisco
Les journaux système suivants indiquent que le service UTD a été correctement installé.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Remarque : Avec 'show app-hosting list', l'état doit être affiché comme 'Deployed'
Étape 6. Démarrer le service d'hébergement d'applications.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Remarque : Après le démarrage du service d'hébergement d'applications, l'état de l'hébergement d'applications doit être 'En cours'. Utilisez 'show app-hosting list' ou 'show app-hosting detail' pour afficher plus de détails.
Les messages syslog suivants doivent s'afficher pour indiquer que le service UTD a été installé correctement.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Une fois l'installation terminée, le plan de service doit être configuré pour le moteur UTD Snort. Le moteur UTD Snort peut être configuré en tant que système de prévention des intrusions (IPS) ou en tant que système de détection des intrusions (IDS) pour l'inspection du trafic.
Avertissement : Vérifiez que la fonction de licence 'securityk9' est activée dans le routeur pour poursuivre la configuration du plan de service UTD.
Étape 1. Configuration du moteur standard Unified Threat Defense (UTD) (plan de service)
Router#configure terminal
Router(config)#utd engine standard
Étape 2. Activez la journalisation du moteur de détection UTD sur un serveur distant et sur le syslog IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Remarque : UTD Snort IPS surveille le trafic et signale les événements à un serveur de journalisation externe ou au syslog IOS. L’activation de la journalisation dans le syslog IOS peut avoir un impact sur les performances en raison du volume potentiel de messages de journalisation. Des outils externes de surveillance tiers, qui prennent en charge les journaux Snort, peuvent être utilisés pour la collecte et l'analyse des journaux.
Étape 3. Activer l'inspection des menaces pour Snort Engine
Router(config-utd-eng-std)#threat-inspection
Étape 4. Configurez le système de détection des menaces (IDS) ou le système de prévention des intrusions (IPS) comme mode de fonctionnement du moteur Snort.
Router(config-utd-engstd-insp)#threat [protection,detection]
Remarque : Utilisez les mots clés 'protection' pour IPS et 'detection' pour le mode IDS. Le mode par défaut est 'detection'
Étape 5. Configuration de la stratégie de sécurité pour le moteur Snort
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Remarque : La stratégie par défaut est 'symétrique', selon la stratégie choisie, le moteur de détection active ou désactive les signatures IPS pour la protection du moteur de détection.
Étape 6 (facultatif). Activez la configuration UTD allowed-list (liste blanche).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Étape 7 (facultatif). Configurez les ID de signature d'envoi de signal IPS à inclure dans la liste d'autorisation.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Remarque : Les ID de signature peuvent être copiés à partir des alertes qui doivent être supprimées. Vous pouvez configurer plusieurs ID de signature. Répétez cette étape pour chaque ID de signature qui doit être ajouté à la liste d'autorisation.
Remarque : Une fois l'ID de signature de liste autorisée configuré (liste blanche), le moteur de détection UTD permet au flux de traverser le périphérique sans aucune alerte ni perte.
Remarque : L'identificateur du générateur (GID) identifie le sous-système qui évalue une règle d'intrusion et génère des événements. Les règles d'intrusion de texte standard ont un ID de générateur de 1 et les règles d'intrusion d'objet partagé ont un ID de générateur de 3. Il existe également plusieurs ensembles de règles pour différents préprocesseurs. Le tableau 1 suivant. ID de générateur explique les GID.
Étape 8 (facultatif). Activer la liste autorisée dans la configuration d'inspection des menaces.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Remarque : Une fois l'ID de signature de la liste d'autorisation configuré, le moteur Snort permet au flux de traverser le périphérique sans aucune alerte ni perte
Étape 9. Configurez l'intervalle de mise à jour des signatures pour télécharger automatiquement les signatures de sniffage.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Remarque : Le premier nombre définit l'heure au format 24 heures et le second nombre indique les minutes.
Avertissement : Les mises à jour des signatures UTD entraînent une brève interruption du service au moment de la mise à jour.
Étape 10. Configuration des paramètres du serveur de mise à jour des signatures du moteur de détection UTD
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Remarque : Utilisez le mot clé 'cisco' pour pointer vers le serveur Cisco pour les mises à jour de signature ou utilisez le mot clé 'url' pour définir un chemin http/https personnalisé pour le serveur de mise à jour. Pour le serveur Cisco, vous devez fournir votre nom d'utilisateur et votre mot de passe Cisco.
Remarque : Assurez-vous qu'un serveur DNS est configuré pour télécharger les signatures d'analyse IPS à partir du serveur Cisco. Le conteneur d'analyse effectue une recherche de nom de domaine (sur le ou les serveurs DNS configurés sur le routeur) pour résoudre l'emplacement des mises à jour automatiques des signatures à partir de Cisco.com ou sur le serveur local, si l'URL n'est pas spécifiée en tant qu'adresse IP.
Remarque : L'adresse IP MGMT du module UTD attribuée à l'interface VirtualPortGroup0 doit être incluse dans la configuration NAT du routeur pour permettre au module d'obtenir un accès Internet afin de joindre le serveur Cisco pour télécharger les packages de signature Snort.
Étape 11. Activez le niveau de journalisation du moteur UTD Snort et la journalisation des statistiques d’alerte d’inspection des menaces :
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Remarque : À partir de la version 16.8 de Cisco IOS XE Fuji, vous pouvez obtenir un résumé des détails des alertes d'inspection de menace en exécutant la commande suivante « show utd engine standard logging threat-inspection statistics detail ». Simplement, lorsque la journalisation des statistiques d'alerte d'inspection de menace est activée pour le moteur UTD Snort.
Étape 12. Activer le service UDT
Router#configure terminal
Router(config)#utd
Étape 13 (facultatif). Rediriger le trafic de données de l'interface VirtualPortGroup vers le service UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Remarque : Si la redirection n'est pas configurée, elle est automatiquement détectée.
Étape 14 : activation du moteur IPS UTD pour inspecter le trafic provenant de toutes les interfaces de couche 3 sur le routeur
Router(config-utd)#all-interfaces
Étape 15 : activation de la norme de moteur
Router(config-utd)#engine standard
Les messages syslog suivants doivent être affichés pour indiquer que le moteur UTD Snort a été correctement activé :
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Étape 16 (facultatif). Définir l'action pour le moteur de détection UTD en cas de panne (plan de données UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Remarque : L'option « fail close » abandonne tout le trafic du routeur lorsque le moteur UTD tombe en panne et l'option « fail open » permet au trafic du routeur de continuer à circuler sans inspection IPS/IDS pendant les pannes UTD. L'option par défaut est « fail open ».
Étape 17. Enregistrez la configuration du routeur.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
Le moteur UTD Snort offre des fonctionnalités Port-Scan. Une analyse de port est une forme de reconnaissance de réseau souvent utilisée par les pirates comme prélude à une attaque. Dans une analyse de port, un pirate envoie des paquets conçus pour rechercher des protocoles et des services réseau sur un hôte ciblé. En examinant les paquets envoyés en réponse par un hôte, le pirate peut déterminer quels ports sont ouverts sur l'hôte et, soit directement, soit par inférence, quels protocoles d'application sont exécutés sur ces ports.
En soi, une analyse de port n'est pas la preuve d'une attaque. Les utilisateurs autorisés de votre réseau peuvent utiliser des techniques d'analyse de port similaires à celles utilisées par les pirates.
L'inspecteur port_scan détecte quatre types de portscan et surveille les tentatives de connexion sur les protocoles TCP, UDP, ICMP et IP. En détectant des modèles d'activité, l'inspecteur port_scan vous aide à déterminer les analyses de port qui peuvent être malveillantes.
Les analyses de ports sont généralement divisées en quatre types en fonction du nombre d'hôtes ciblés, du nombre d'hôtes d'analyse et du nombre de ports analysés.
Le tableau 3 ci-dessous présente les règles de l'inspecteur de balayage des ports.
L'inspecteur port_scan fournit trois niveaux par défaut sensibles à l'analyse pour le moteur de détection UTD :
Étape 1. Configuration du moteur standard Unified Threat Defense (UTD) (plan de service)
Router#configure terminal
Router(config)#utd engine standard
Étape 2. Activer l'inspection des menaces pour le moteur UTD snort.
Router(config-utd-eng-std)#threat-inspection
Étape 3. Activez ensuite port_scan.
Router(config-utd-engstd-insp)#port-scan
Étape 4. Définissez le niveau de sensibilité port_scan, les options disponibles sont high, medium ou low.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Étape 5. Une fois que le port_scan est activé et configuré avec un niveau sensible pour le moteur UTD Snort, utilisez la commande 'show utd engine standard config' pour vérifier la configuration de port_scan.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Émettez la commande « show app-hosting detail » pour confirmer l'état du moteur de détection UTD, la version du logiciel en cours d'exécution, l'utilisation de la mémoire vive, du processeur et du disque, les statistiques du réseau et la configuration DNS en place.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Utilisez la commande « show utd engine standard version » pour confirmer la version de compatibilité du moteur UTD Snort, par rapport à la version du routeur IOS-XE en cours d'exécution.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Option 1. Exécutez la commande 'show utd engine standard status', pour confirmer l'état du moteur UTD Snort, l'état en 'Green', l'état en 'Green' et l'état global du système en 'Green', pour indiquer que le moteur UTD Snort est opérationnel.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Remarque : Lorsque le moteur UTD Snort est surabonné, l'état du canal de défense contre les menaces passe du vert au rouge. Le plan de données UTD abandonne tous les autres paquets si fail-close est configuré ou transfère les paquets non inspectés si fail-close n'est pas configuré (par défaut). Lorsque le plan de service UTD récupère après une sursouscription, il répond au plan de données UTD avec l'état vert.
Option 2. Émettez la commande 'show platform software utd global', pour obtenir un bref résumé de l'état de fonctionnement du moteur UTD Snort.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Option 1. Exécutez la commande 'show utd engine standard config' pour afficher les détails de la configuration du moteur UTD Snort, le mode de fonctionnement, le mode de stratégie, la configuration de la mise à jour des signatures, la configuration de la journalisation, la liste blanche et l'état de l'analyse des ports.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Option 2. Exécutez la commande ? show running-config? | b engine' pour afficher la configuration en cours du moteur UTD Snort Engine.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Exécutez la commande « show utd engine standard threat-inspection signature update status » pour vérifier l'état de mise à jour de la signature Snort IPS.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Émettez la commande 'utd threat-inspection signature update', pour exécuter une mise à jour manuelle de la signature de détection IPS en utilisant la configuration de serveur existante appliquée au moteur de détection UTD pour les téléchargements de signatures.
Router#utd threat-inspection signature update
3. Émettez la commande 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force', pour forcer une mise à jour manuelle de la signature Snort IPS avec les paramètres de serveur spécifiés.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Utilisez les commandes show suivantes pour surveiller le trafic traité par le moteur UTD Snort et pour vérifier les statistiques relatives à l'inspection du trafic.
Option 1. À partir de la sortie ci-dessous de 'show utd engine standard statistics', les compteurs 'received' et 'analysis' s'incrémentent, lorsque le trafic est traité par le moteur UTD Snort :
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Option 2. À partir de la sortie ci-dessous « show platform hardware qfp active feature utd stats », les compteurs 'decaps' et 'Divert' s'incrémentent lorsque le trafic est redirigé du routeur vers le moteur UTD Snort pour l'inspection du trafic et les compteurs 'Encapaps' et 'Reinject' s'incrémentent lorsque le trafic est redirigé du moteur UTD Snort vers le routeur :
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Option 3. À partir de la sortie ci-dessous de 'show utd engine standard statistics internal', les compteurs 'received' et 'analysis' s'incrémentent lorsque le trafic est redirigé du routeur vers le moteur UTD Snort pour inspection du trafic. En outre, cette sortie affichera plus de détails et de statistiques sur le trafic inspecté par le moteur UTD Snort :
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Utilisez les commandes show suivantes pour surveiller les signatures IPS de renfort déclenchées, les événements IPS/IDS générés et les adresses IP source et de destination impliquées.
Option 1. Utilisez la commande « show utd engine standard logging events [threat-inspection] » pour rechercher les événements IPS/IDS :
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Option 2. Utilisez la commande 'show utd engine standard logging statistics threat-inspection', pour rechercher les principales signatures IPS Snort déclenchées au cours des dernières 24 heures et combien de fois chaque signature a été déclenchée :
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Option 3. Utilisez la commande « show utd engine standard logging statistics threat-inspection detail », pour rechercher les principales signatures IPS Snort déclenchées au cours des dernières 24 heures, le nombre de fois que chaque signature a été déclenchée et les adresses IP source et de destination qui ont déclenché la signature :
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Option 4. Le moteur de détection UTD surveille le trafic et signale les événements à un serveur de journal externe ou au syslog IOS. L’activation de la journalisation dans le syslog IOS peut avoir un impact sur les performances en raison du volume potentiel de messages de journalisation. Des outils externes de surveillance tiers, qui prennent en charge les journaux Snort, peuvent être utilisés pour la collecte et l'analyse des journaux.
Chaque fois que le moteur de détection UTD génère un événement IPS/IDS, le routeur affiche un message syslog comme suit :
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Remarque : Les journaux du moteur UTD Snort s'affichent dans l'interface de ligne de commande IOSd du routeur, juste lorsque le journal syslog de journalisation est activé dans la configuration standard du moteur UTD pour le moteur UTD Snort.
Lorsque le moteur UTD Snort est configuré pour envoyer les journaux à un serveur Syslog externe, vous devriez voir les journaux du moteur UTD Snort dans votre serveur Syslog distant comme suit :
Utilisez les commandes suivantes pour afficher les signatures de détection IPS Active, Drop et Alert pour le moteur de détection UTD, selon la configuration de stratégie utilisée (Équilibré, Connectivité ou Sécurité).
Option 1. Procédez comme suit pour afficher la liste des signatures d'envoi d'un paquet IPS actif pour la stratégie de sécurité.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Option 2. Procédez comme suit pour afficher la liste des signatures d'envoi de paquets IPS actif pour la stratégie de connectivité.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Option 3. Procédez comme suit pour afficher la liste des signatures d'envoi d'IPS actif pour la stratégie équilibrée.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Remarque : Pour afficher les signatures IPS Snort actives pour la stratégie Équilibré, Connectivité ou Sécurité, le moteur UTD Snort doit exécuter le mode de stratégie correspondant que vous souhaitez afficher.
1. Assurez-vous que le routeur à services intégrés Cisco (ISR) exécute XE 16.10.1a et versions ultérieures (méthode IOx).
2. Assurez-vous que le routeur à services intégrés Cisco (ISR) est sous licence avec la fonction SecurityKit9 activée.
3. Vérifiez que le modèle matériel du routeur de service intégré est conforme au profil de ressources minimum.
4. Le moteur de détection UTD n'est pas compatible avec le cookie SYN du pare-feu basé sur les zones et avec la traduction d'adresses réseau 64 (NAT64)
5. Confirmez que le service du moteur UTD Snort a démarré après l'installation.
6. Lors du téléchargement manuel du package Signature, assurez-vous que la version du package est identique à celle du moteur Snort. La mise à jour du package de signatures peut échouer en cas de non-concordance de version.
7. En cas de problèmes de performances, utilisez les 'show app-hosting resource' et 'show app-hosting utilisation appid''UTD-NAME' pour vérifier l'espace UTD CPU, Memory and Storage.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
Avertissement : Contactez le TAC Cisco, si vous confirmez que le moteur UTD Snort utilise beaucoup de CPU, de mémoire ou de disque.
À des fins de dépannage, utilisez les commandes de débogage répertoriées ci-dessous pour obtenir des détails supplémentaires sur le moteur UTD Snort.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Avertissement : L'exécution de commandes debug pendant les heures de production peut augmenter considérablement l'utilisation du processeur, de la mémoire ou du disque sur le moteur UTD Snort ou le routeur, ce qui peut avoir un impact sur le trafic et la stabilité du système. Utilisez les commandes debug avec parcimonie, de préférence pendant une fenêtre de maintenance, et désactivez-les immédiatement après avoir collecté les données requises. Si une utilisation élevée des ressources ou un impact sur les services est observé, arrêtez le débogage et contactez le TAC Cisco.
Vous trouverez de la documentation supplémentaire relative au déploiement UTD Snort IPS ici :
Guide de configuration de la sécurité Cisco Snort IPS
Profil de ressources du service virtuel Cisco pour ISR4K et CSR1000v
Snort IPS sur les routeurs - Configuration pas à pas
Guide Cisco - Dépannage de Snort IPS
Guide de référence de Snort Port-Scan Inspector
Page Web Snort Open Source Intrusion Prevention System (IPS)
Installer l'image virtuelle de sécurité UTD sur les routeurs cEdge
CSCwf57595 ISR4K Snort IPS n'est pas déployé car le matériel ne dispose pas de suffisamment de ressources de plate-forme
Révision | Date de publication | Commentaires |
---|---|---|
3.0 |
17-Sep-2025
|
Première publication |
1.0 |
11-Jul-2023
|
Première publication |