Forum aux questions sur Cisco Secure Intrusion Detection System (Versions 3.1 et antérieures)

Options de téléchargement

  • PDF     (227.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (95.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (88.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 juin 2008
ID du document:4163

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document contient des questions fréquemment posées (FAQ) sur le système Cisco Secure Intrusion Detection System (IDS), anciennement connu sous le nom de NetRanger, versions 3.1 et antérieures.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Généralités

Q. Où puis-je trouver des informations supplémentaires sur Cisco Secure IDS ?

A. Reportez-vous à l'ensemble complet de la documentation produit pour plus d'informations sur Cisco Secure IDS.

Q. Comment mettre à jour les signatures pour l'ensemble de mon système IDS (capteur IDS + logiciel de gestion IDS) ?

A. Vous devez mettre à niveau séparément les signatures Sensor et Management Platform. Notez que le logiciel de gestion n'est pas en mesure d'apprendre les signatures du capteur, il doit donc également être mis à jour. Téléchargez le dernier fichier de mise à jour des signatures pour chaque application à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement). Les fichiers readme disponibles au même emplacement contiennent des instructions pour la procédure de mise à niveau.

Q. Où puis-je trouver une liste complète de signatures ?

A. La liste des signatures IDS est disponible sur le site Cisco Secure Encyclopedia (clients enregistrés uniquement).

Q. Quel est le mot de passe par défaut des utilisateurs sur le système de détection d'intrusion (IDS) UNIX et le capteur autonome ?

A. Sur le logiciel UNIX IDS standalone Sensor et IDS Management, le mot de passe par défaut est « attaque » pour les utilisateurs nétrangr et root. Lorsque vous émettez la commande su pour devenir l'utilisateur racine, le mot de passe par défaut est « attaque ». Sur la lame IDSM (Intrusion Detection System Module), le mot de passe par défaut est « attaque » pour les ciscoïdes de nom d'utilisateur.

Q. Comment obtenir qu'une lame IDSM (Intrusion Detection System Module) vide ses configurations ?

A. Vous avez besoin d'un serveur FTP local pour télécharger les configurations.

  1. Entrez cette commande en mode diag sur la lame. 
    report systemstatus site  
           
user  
           dir
  2. Tapez y afin de continuer lorsqu'on vous demande de « Continuer la génération du rapport système ? ».
  3. Tapez le mot de passe FTP de l'utilisateur spécifié lorsque vous y êtes invité. Une fois le processus terminé, vous recevez un message indiquant si le processus a échoué ou si le fichier a été envoyé.

Q. Lorsque j'installe/désinstalle IDS, où se trouvent les fichiers journaux ?

A. Les journaux d'installation/de mise à jour se trouvent aux emplacements suivants :

  • Les journaux d'installation du directeur se trouvent à l'adresse /var/adm/nrInstall.log.

  • Les journaux de mise à jour du Service Pack du capteur se trouvent dans /usr/nr/sp-update/.

  • Les journaux de mise à jour des signatures sont dans /usr/nr/sig-update/.

Q. Quelles signatures sont disponibles sur le PIX pour IDS ?

A. IDS est disponible uniquement pour PIX 6.0 et versions ultérieures. Les signatures sont contenues dans les messages syslog 400000 à 400051, appelés messages de signature Cisco Secure IDS. Reportez-vous à la documentation des messages du journal système PIX pour plus d'informations sur chaque signature.

Q. Puis-je être averti lorsque les mises à jour des signatures sont publiées ?

A. Inscrivez-vous aux notifications de mise à jour active de Cisco IDS afin de recevoir des alertes par e-mail pour les informations sur les produits liés à Cisco Secure IDS.

Q. Quelles applications dois-je utiliser pour gérer mon capteur IDS, et quelle est la différence entre ces applications ?

A. Avant la version 3.1, les options de gestion doivent utiliser Cisco Secure Policy Manager (CSPM) ou UNIX Director. La principale différence entre les deux réside dans le fait que CSPM s'exécute en tant qu'application indépendante sur un serveur Windows, tandis qu'UNIX Director s'exécute sur HP OpenView sur un serveur UNIX Solaris. Avec IDS 3.1, les capteurs peuvent également être gérés via IDS Event Viewer (IEV) installé sur un PC ou via IDS Device Manager, qui fait partie de la version 3.1 Sensor. Le Gestionnaire de périphériques est activé par défaut à l'aide du protocole SSL (Secure Socket Layer) après avoir configuré le capteur.

Q. Où puis-je obtenir le logiciel Software Development Kit (SDK) ?

A. Le logiciel SDK n'est pas disponible au public.

Capteur IDS

Q. Quelle est la différence entre les versions 3.x et 4.x de Sensor ?

A. La version 4.0 offre plusieurs nouvelles fonctionnalités. La nouvelle fonctionnalité la plus visible est une interface de ligne de commande (CLI) similaire à Cisco IOS®.

Q. Comment coder la vitesse d’interface sur le système IDS ?

A. La définition de vitesse/duplex dans le code 3.x et 4.0 n'est pas prise en charge et il y a un bogue contre la demande de fonctionnalité (ID de bogue Cisco CSCdy43054 ( clients enregistrés uniquement) ). La fonctionnalité est disponible dans le code 5.0, qui est maintenant disponible à Configuration des interfaces.

Q. Comment mettre à niveau mon logiciel Sensor de la version 3.0 à la version 3.1 ?

A. Les clients peuvent télécharger le fichier de mise à jour de la version 3.1 à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement).

Q. Comment mettre à niveau mon logiciel Sensor de la version 2.5 à la version 3.0 ?

A. Les clients peuvent télécharger le fichier de mise à jour de la version 3.0 à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement). Installez la mise à jour logicielle de la même manière que les mises à jour du Service Pack et des signatures sont installées dans la version 2.5. La procédure est décrite en détail dans la note de configuration du capteur Cisco IDS version 3.0.

Q. Comment mettre à niveau mon logiciel Sensor de la version 2.2 à la version 3.0 ?

A. Le fichier de mise à niveau 3.0 peut être téléchargé à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement) , mais ce fichier ne peut pas mettre à jour les versions avant la version 2.5. Vous devez utiliser le CD Mise à niveau/Récupération disponible via l'outil Mise à niveau du produit (clients enregistrés uniquement) pour effectuer la mise à niveau de la version 2.2 vers la version 3.0. La référence de ce CD est IDS-SW-U.

Remarque : Vous devez disposer d'un contrat d'assistance valide pour commander le CD de mise à niveau/récupération.

Q. J'ai connecté un clavier et un moniteur à mon capteur, mais il ne démarre pas correctement. Que dois-je faire ?

A. Vérifiez que vous utilisez un clavier et un moniteur pris en charge. Certaines marques et certains modèles ne sont pas compatibles avec Cisco Secure IDS et empêchent le capteur IDS de démarrer correctement. Référez-vous à Échec de démarrage de l'appareil Cisco Secure IDS pour obtenir des détails spécifiques sur la marque.

Q. Dans la section IDS des téléchargements sécurisés de Cisco, je vois deux types de fichiers de mise à jour (Service Pack et signature). Quelle est la différence entre ces fichiers ?

A. Chacun de ces fichiers contient un ensemble spécifique de mises à jour ou d'ajouts logiciels, comme indiqué par les conventions d'attribution de noms expliquées ici.

  • La mise à jour du Service Pack pour le logiciel IDS Sensor Appliance contient des améliorations au logiciel d'application principal IDS Sensor ainsi que des corrections de bogues. Par exemple, un fichier nommé IDSk9-sp-3.0-5-S17.bin inclut des mises à jour de la version 3.0(5) du logiciel plus le numéro de jeu de signatures 17.

  • Le fichier de mise à jour des signatures contient uniquement des mises à jour des signatures (empreintes digitales d'attaque). Par exemple, un fichier nommé IDSk9-sig-3.0-5-S18.bin contient le numéro de jeu de signatures 18 pour le logiciel de capteur 3.0(5).

Les clients peuvent télécharger ces fichiers à partir du site Cisco Secure Downloads (clients enregistrés uniquement).

Q. Comment savoir si un capteur est correctement configuré pour éviter un routeur ?

A. Connectez-vous au capteur en tant qu'utilisateur nétrangr et exécutez cette commande :

nrgetbulk

Vous devez recevoir une réponse similaire à "<adresse_IP> Active », qui indique l'adresse IP du périphérique de mise hors service utilisé pour bloquer les attaques. Ce résultat montre un exemple de syntaxe de commande et de réponse attendue : 

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

Vous pouvez également vous connecter au routeur et exécuter la commande oms pour voir si le capteur est connecté.

Q. Je reçois un message d'erreur indiquant « value not set » lorsque j'exécute la commande nrconns. Comment puis-je résoudre ce problème ?

A. Ce message d'erreur indique des problèmes potentiels avec les fichiers /usr/nr/etc/routes et/ou /usr/nr/etc/hosts de votre capteur. Les...Les fichiers /routes définissent les communications postofficielles entre le capteur et le directeur. Les...Les fichiers /hosts définissent les noms et les adresses IP des capteurs et des directeurs.

Vous pouvez également vous connecter en tant qu'utilisateur root, exécuter la commande sysconfig-capteur et saisir à nouveau les informations de votre infrastructure de communications IDS.

Q. Comment utiliser FTP pour copier des fichiers journaux à partir du capteur pour les stocker ailleurs ?

A. Référez-vous à Copie des fichiers journaux IP à afficher pour plus d'informations sur cette procédure.

Q. Qu'est-il arrivé au démon de configuration dans les versions 2.5 et 3.1 du logiciel Sensor ?

A. Configd est le démon qui traite toutes les commandes sur les deux directeurs UNIX ainsi que les capteurs dans la base de code 2.2.x. Dans la base de code 2.5 et 3.0, cette fonctionnalité a été absorbée dans les autres démons et le démon configuré n'existe plus.

Q. Lorsque je mets à jour les signatures sur le capteur, j'obtiens l'ERREUR : Impossible de déterminer le type de NetRanger à partir du fichier démons. Impossible de mettre à jour." . Que dois-je faire à ce sujet ?

A. Modifiez le fichier /usr/nr/etc/daemons sur le capteur pour vous assurer que nr.packetd figure dans la liste des démons. Ensuite, arrêtez et démarrez les services.

Q. Sur l’IDS 4210, quelle est l’interface de contrôle et quelle est l’interface de reniflage ?

A. L'interface de contrôle en haut est iprb1: et l'interface de reniflage en bas est iprb0:.

Q. Pourquoi ne vois-je qu'une seule interface lorsque j'exécute la commande ifconfig -a sur mon capteur ?

A. La commande ifconfig doit afficher uniquement l'interface de contrôle. L'autre interface (l'interface de reniflage) est toujours utilisée par le capteur, mais les utilisateurs ne sont pas censés la voir. Si vous devez voir cette interface, connectez-vous en tant que root et exécutez la commande ifconfig -a pour déterminer les noms d'interface. Exécutez la commande ifconfig <interface> plumb pour vérifier l’état d’une interface particulière.

Q. Comment coder la vitesse de l'interface sur le capteur ?

A. Le codage matériel de la vitesse d'interface sur le capteur ne doit pas être nécessaire et n'est pas pris en charge par le support technique de Cisco. Si le commutateur est configuré pour l'autonégociation, l'interface négocie la vitesse avec le commutateur auquel il est connecté. Le trafic entre le réseau et le capteur est unidirectionnel (en d'autres termes, le capteur reçoit). Par conséquent, il est généralement approprié si le commutateur montre que 100 semi-duplex a été négocié (en supposant que le port de commutateur est de 100 M).

Directeur UNIX

Q. Puis-je utiliser le nouveau capteur 3.0 avec une version 2.2.x de Director ?

A. Oui, mais vous devriez mettre à niveau votre logiciel Director vers la version 2.2.3 ou ultérieure. Les clients enregistrés peuvent télécharger ces fichiers à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement).

Q. Comment puis-je savoir quelle version du démon Director j'utilise ?

A. Émettez la commande cat /usr/nr/VERSION et vérifiez le numéro de version que contient le résultat.

Note : La sortie de la commande nrvers sur le Director vous indique la version des démons qui s'exécutent sur le Director, mais elle ne vous indique pas la version du logiciel Director lui-même.

Q. Comment faire pour qu'un directeur vide sa configuration ?

A. Connectez-vous en tant qu'utilisateur nétrangr et exécutez le script /usr/nr/bin/director/nrCollectInfo pour envoyer des informations de configuration à un fichier nommé /usr/nr/var/tmp/Report_For_Director.html.

Q. J'ai de nombreuses erreurs (potentiellement plus de 1 000) sur mon écran HP OpenView. Je les supprime, mais ils continuent à revenir. Pourquoi ?

A. Si IDS Director est inondé d'erreurs et ne peut pas les afficher toutes, il commence à mettre en mémoire tampon un fichier. Arrêtez les démons IDS et quittez les mappages OpenView ouverts pour supprimer le fichier. Supprimez le fichier /usr/nr/var/nrDirmap.buffer.default, puis redémarrez les démons IDS et votre carte OpenView.

Q. J'ai des problèmes pour obtenir des alarmes sur la carte HP OpenView. J'ai toujours des erreurs dans /usr/nr/var/errors.nrdirmap. Que dois-je faire ?

A. Dans les versions IDS antérieures à la version 2.2.2, la chose la plus facile à faire est d'effacer la base de données OpenView. La base de données se trouve dans /var/opt/OV/share/database/openview. Effectuez ces étapes pour supprimer la base de données OpenView.

  1. Fermez toutes les cartes OpenView ouvertes avec la commande ovstop, puis arrêtez les services IDS avec la commande nrstop.
  2. Connectez-vous en tant qu'utilisateur root et problème /usr/nr/bin/director/nrDeleteOVwDb.
  3. Supprimez tous les fichiers « error.*" dans le répertoire /usr/nr/var (par exemple, errors.configd).
  4. Redémarrez les services à l'aide de la commande nrstart, puis redémarrez OpenView à l'aide de la commande ovstart.

    Remarque : dans Director version 2.2.2, vous pouvez supprimer uniquement la partie IDS de la base de données OpenView au lieu de la base de données entière. Cette procédure est décrite dans le Guide de configuration d'IDS Director.

Q. Je ne peux pas obtenir d'alarmes sur ma carte OpenView. Le fichier /usr/nr/var/errors.postofficed sur Director contient des messages indiquant que nrdirmap n'est pas autorisé à s'exécuter sur cet ordinateur. Comment résoudre ce problème ?

A. Exécutez cette commande.

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

Vérifiez que l'utilisateur netrangr est propriétaire des fichiers, puis redémarrez les services IDS.

Q. Lorsque j'exécute l'utilitaire nrConfigure et que je double-clique sur Director, j'obtiens ce message : « Impossible de trouver le type du capteur pour <director_name>. Veuillez vérifier que Postoffice et packetd sont en cours d'exécution ». Que dois-je faire ?

A. Le problème se produit parce que nrConfigure voit le processus de paquet dans le fichier démons de Director (ce qu'il ne devrait pas faire). Lorsque nrConfigure interroge le Director pour sa version comme s'il s'agissait d'un capteur, le Director ne peut pas répondre avec une version du capteur.

Suivez ces étapes pour résoudre ce problème.

  1. Modifiez le fichier /usr/nr/etc/daemons et supprimez les entrées pour nr.packetd, nr.sensord et nr.managed, car ces processus ne doivent s'exécuter que sur le capteur.
  2. Arrêtez les services à l'aide de la commande nrstop, puis redémarrez les services à l'aide de la commande nrstart.
  3. Vérifiez que nrConfigure a été arrêté.
  4. Démarrez OpenView à l'aide de la commande vw.
  5. Sélectionnez Security > Advanced > nrConfigure DB > Delete pour supprimer la base de données nrConfigure endommagée.
  6. Entrez yes lorsqu'on vous demande de continuer.
  7. Mettez en surbrillance votre Director et tous vos capteurs dans la fenêtre principale d'OpenView.
  8. Sélectionnez Security > Advanced > nrConfigure DB > Create pour créer une nouvelle base de données nrConfigure avec les versions de configuration actuelles des machines.

Q. Comment empêcher l'application nrdirmap d'être activée par défaut sur les cartes OpenView ?

A. Les utilisateurs qui exécutent l'application IDS sur UNIX Director peuvent également exécuter d'autres applications sur OpenView. Cela n'est pas conseillé, mais dans certains cas, il ne peut être évité. Le problème est que nrdirmap est activé par défaut pour chaque carte OpenView, ce qui n'est pas souhaitable lorsque d'autres applications s'exécutent sur OpenView.

Exécutez ces étapes sur UNIX Director pour modifier la valeur par défaut afin de choisir les cartes sur lesquelles nrdirmap est activé.

  1. Connectez-vous en tant qu'utilisateur netrangr.
  2. Tapez cd $OV_REGISTRATION/C. (OV_REGISTRATION fait partie de votre variable d'environnement. Le chemin habituel est /etc/opt/OV/share/register/C.)
  3. Tapez su root.
  4. Modifiez le fichier nrdirmap et modifiez la ligne « Command » comme le montre ce résultat : 
    Command -Shared -Initial "nrdirmap"; 

!--- Changes to:

Command -Shared -Initial "nrdirmap -d";
  5. Enregistrez le fichier nrdirmap.
  6. Recycle OpenView. Maintenant, quand une carte est affichée avec la commande vw, tapez ps -ef | grep dirmap doit produire un résultat similaire à celui présenté ici. Notez la nrdirmap avec le commutateur -d. 
    >ps -ef | grep dirmap
netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d

Les nouveaux mappages créés dans OpenView ne sont désormais pas activés par défaut par nrdirmap. Si vous voulez créer une carte avec nrdirmap installé, vous devez le faire à partir de l'interface utilisateur d'OpenView, comme l'explique cette procédure.

  1. Dans le menu principal OpenView, choisissez Map > New et entrez un nom pour la nouvelle carte.
  2. Sous les applications configurables, NetRanger/Director doit s'afficher. Choisissez NetRanger/Director et cliquez sur Configurer pour cette carte.
  3. Pour l'option qui dit « Doit-on activer nrdirmap pour cette carte ? », sélectionnez True si vous voulez activer nrdirmap.
  4. Choisissez Vérifier et cliquez sur OK.

Q. J'ai mis à niveau vers Director version 2.2.3, et maintenant je ne peux pas définir la gravité de l'événement à un niveau supérieur à 5, même si je pouvais le faire dans les versions antérieures. Pourquoi cela ?

A. Les niveaux de gravité ont été modifiés dans la version 2.2.3 du Director pour prendre en charge uniquement la plage 1 à 5.

Cisco Secure Policy Manager (CSPM) IDS

Q. Quelle version de CSPM dois-je utiliser pour gérer mon capteur IDS ?

A. Actuellement, la version 2.3i de CSPM est celle qui peut gérer IDS Sensor, alors que CSPM 3.0 ne le peut pas. Si vous utilisez CSPM pour gérer le capteur et d'autres périphériques Cisco Secure (tels que les PIX, les routeurs), vous devez installer les deux versions CSPM (2.3i et 3.x) sur deux serveurs Windows distincts. Vous pouvez utiliser chacun des serveurs pour gérer les périphériques correspondants : CSPM 2.3i pour les capteurs et CSPM 3.x pour les PIX, les routeurs, etc.

Q. Comment configurer CSPM pour gérer mon capteur IDS et s'assurer que la communication fonctionne ?

A. Référez-vous à Configuration d'un Cisco Secure IDS Sensor dans CSPM pour plus d'informations sur la façon de configurer CSPM pour gérer votre IDS Sensor et s'assurer que la communication fonctionne.

Q. Puis-je régler les signatures de l'appliance avec CSPM ?

A. Le réglage implique de modifier ce qu'il faut pour qu'une signature se déclenche (par exemple le nombre d'hôtes dans un balayage) et ne signifie pas définir des actions et des niveaux de gravité.

CSPM ne peut pas (dans aucune version) régler les signatures de l'appliance. Il ne peut définir que les actions et les gravités d'une signature. En d'autres termes, CSPM peut définir la gravité et l'action à associer à la signature, mais ne peut pas définir ce qui déclenche cette signature. Le SigWizMenu du capteur doit être utilisé pour régler les capteurs. SigWizMenu et CSPM peuvent tous deux être utilisés pour configurer le même capteur car ils affectent différentes parties de la configuration.

Remarque : Si vous utilisez UNIX Director version 2.2.3 ou ultérieure, l'utilitaire nrConfigure peut configurer tout ce que SigWizMenu configure. Après la mise à niveau vers la version 2.2.3, vous devez utiliser nrConfigure au lieu de SigWizMenu pour régler les signatures.

Informations connexes

Contribution de

  • vijkrish
    vgiallor

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits