Ce document contient des questions fréquemment posées (FAQ) sur le système Cisco Secure Intrusion Detection System (IDS), anciennement connu sous le nom de NetRanger, versions 3.1 et antérieures.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
A. Reportez-vous à l'ensemble complet de la documentation produit pour plus d'informations sur Cisco Secure IDS.
A. Vous devez mettre à niveau séparément les signatures Sensor et Management Platform. Notez que le logiciel de gestion n'est pas en mesure d'apprendre les signatures du capteur, il doit donc également être mis à jour. Téléchargez le dernier fichier de mise à jour des signatures pour chaque application à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement). Les fichiers readme disponibles au même emplacement contiennent des instructions pour la procédure de mise à niveau.
A. La liste des signatures IDS est disponible sur le site Cisco Secure Encyclopedia (clients enregistrés uniquement).
A. Sur le logiciel UNIX IDS standalone Sensor et IDS Management, le mot de passe par défaut est « attaque » pour les utilisateurs nétrangr et root. Lorsque vous émettez la commande su pour devenir l'utilisateur racine, le mot de passe par défaut est « attaque ». Sur la lame IDSM (Intrusion Detection System Module), le mot de passe par défaut est « attaque » pour les ciscoïdes de nom d'utilisateur.
A. Vous avez besoin d'un serveur FTP local pour télécharger les configurations.
- Entrez cette commande en mode diag sur la lame.
report systemstatus siteuser dir - Tapez y afin de continuer lorsqu'on vous demande de « Continuer la génération du rapport système ? ».
- Tapez le mot de passe FTP de l'utilisateur spécifié lorsque vous y êtes invité. Une fois le processus terminé, vous recevez un message indiquant si le processus a échoué ou si le fichier a été envoyé.
A. Les journaux d'installation/de mise à jour se trouvent aux emplacements suivants :
Les journaux d'installation du directeur se trouvent à l'adresse /var/adm/nrInstall.log.
Les journaux de mise à jour du Service Pack du capteur se trouvent dans /usr/nr/sp-update/.
Les journaux de mise à jour des signatures sont dans /usr/nr/sig-update/.
A. IDS est disponible uniquement pour PIX 6.0 et versions ultérieures. Les signatures sont contenues dans les messages syslog 400000 à 400051, appelés messages de signature Cisco Secure IDS. Reportez-vous à la documentation des messages du journal système PIX pour plus d'informations sur chaque signature.
A. Inscrivez-vous aux notifications de mise à jour active de Cisco IDS afin de recevoir des alertes par e-mail pour les informations sur les produits liés à Cisco Secure IDS.
A. Avant la version 3.1, les options de gestion doivent utiliser Cisco Secure Policy Manager (CSPM) ou UNIX Director. La principale différence entre les deux réside dans le fait que CSPM s'exécute en tant qu'application indépendante sur un serveur Windows, tandis qu'UNIX Director s'exécute sur HP OpenView sur un serveur UNIX Solaris. Avec IDS 3.1, les capteurs peuvent également être gérés via IDS Event Viewer (IEV) installé sur un PC ou via IDS Device Manager, qui fait partie de la version 3.1 Sensor. Le Gestionnaire de périphériques est activé par défaut à l'aide du protocole SSL (Secure Socket Layer) après avoir configuré le capteur.
A. Le logiciel SDK n'est pas disponible au public.
A. La version 4.0 offre plusieurs nouvelles fonctionnalités. La nouvelle fonctionnalité la plus visible est une interface de ligne de commande (CLI) similaire à Cisco IOS®.
A. La définition de vitesse/duplex dans le code 3.x et 4.0 n'est pas prise en charge et il y a un bogue contre la demande de fonctionnalité (ID de bogue Cisco CSCdy43054 ( clients enregistrés uniquement) ). La fonctionnalité est disponible dans le code 5.0, qui est maintenant disponible à Configuration des interfaces.
A. Les clients peuvent télécharger le fichier de mise à jour de la version 3.1 à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement).
A. Les clients peuvent télécharger le fichier de mise à jour de la version 3.0 à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement). Installez la mise à jour logicielle de la même manière que les mises à jour du Service Pack et des signatures sont installées dans la version 2.5. La procédure est décrite en détail dans la note de configuration du capteur Cisco IDS version 3.0.
A. Le fichier de mise à niveau 3.0 peut être téléchargé à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement) , mais ce fichier ne peut pas mettre à jour les versions avant la version 2.5. Vous devez utiliser le CD Mise à niveau/Récupération disponible via l'outil Mise à niveau du produit (clients enregistrés uniquement) pour effectuer la mise à niveau de la version 2.2 vers la version 3.0. La référence de ce CD est IDS-SW-U.
Remarque : Vous devez disposer d'un contrat d'assistance valide pour commander le CD de mise à niveau/récupération.
A. Vérifiez que vous utilisez un clavier et un moniteur pris en charge. Certaines marques et certains modèles ne sont pas compatibles avec Cisco Secure IDS et empêchent le capteur IDS de démarrer correctement. Référez-vous à Échec de démarrage de l'appareil Cisco Secure IDS pour obtenir des détails spécifiques sur la marque.
A. Chacun de ces fichiers contient un ensemble spécifique de mises à jour ou d'ajouts logiciels, comme indiqué par les conventions d'attribution de noms expliquées ici.
La mise à jour du Service Pack pour le logiciel IDS Sensor Appliance contient des améliorations au logiciel d'application principal IDS Sensor ainsi que des corrections de bogues. Par exemple, un fichier nommé IDSk9-sp-3.0-5-S17.bin inclut des mises à jour de la version 3.0(5) du logiciel plus le numéro de jeu de signatures 17.
Le fichier de mise à jour des signatures contient uniquement des mises à jour des signatures (empreintes digitales d'attaque). Par exemple, un fichier nommé IDSk9-sig-3.0-5-S18.bin contient le numéro de jeu de signatures 18 pour le logiciel de capteur 3.0(5).
Les clients peuvent télécharger ces fichiers à partir du site Cisco Secure Downloads (clients enregistrés uniquement).
A. Connectez-vous au capteur en tant qu'utilisateur nétrangr et exécutez cette commande :
nrgetbulk
Vous devez recevoir une réponse similaire à "<adresse_IP> Active », qui indique l'adresse IP du périphérique de mise hors service utilisé pour bloquer les attaques. Ce résultat montre un exemple de syntaxe de commande et de réponse attendue :
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessVous pouvez également vous connecter au routeur et exécuter la commande oms pour voir si le capteur est connecté.
A. Ce message d'erreur indique des problèmes potentiels avec les fichiers /usr/nr/etc/routes et/ou /usr/nr/etc/hosts de votre capteur. Les...Les fichiers /routes définissent les communications postofficielles entre le capteur et le directeur. Les...Les fichiers /hosts définissent les noms et les adresses IP des capteurs et des directeurs.
Vous pouvez également vous connecter en tant qu'utilisateur root, exécuter la commande sysconfig-capteur et saisir à nouveau les informations de votre infrastructure de communications IDS.
A. Référez-vous à Copie des fichiers journaux IP à afficher pour plus d'informations sur cette procédure.
A. Configd est le démon qui traite toutes les commandes sur les deux directeurs UNIX ainsi que les capteurs dans la base de code 2.2.x. Dans la base de code 2.5 et 3.0, cette fonctionnalité a été absorbée dans les autres démons et le démon configuré n'existe plus.
A. Modifiez le fichier /usr/nr/etc/daemons sur le capteur pour vous assurer que nr.packetd figure dans la liste des démons. Ensuite, arrêtez et démarrez les services.
A. L'interface de contrôle en haut est iprb1: et l'interface de reniflage en bas est iprb0:.
A. La commande ifconfig doit afficher uniquement l'interface de contrôle. L'autre interface (l'interface de reniflage) est toujours utilisée par le capteur, mais les utilisateurs ne sont pas censés la voir. Si vous devez voir cette interface, connectez-vous en tant que root et exécutez la commande ifconfig -a pour déterminer les noms d'interface. Exécutez la commande ifconfig <interface> plumb pour vérifier l’état d’une interface particulière.
A. Le codage matériel de la vitesse d'interface sur le capteur ne doit pas être nécessaire et n'est pas pris en charge par le support technique de Cisco. Si le commutateur est configuré pour l'autonégociation, l'interface négocie la vitesse avec le commutateur auquel il est connecté. Le trafic entre le réseau et le capteur est unidirectionnel (en d'autres termes, le capteur reçoit). Par conséquent, il est généralement approprié si le commutateur montre que 100 semi-duplex a été négocié (en supposant que le port de commutateur est de 100 M).
A. Oui, mais vous devriez mettre à niveau votre logiciel Director vers la version 2.2.3 ou ultérieure. Les clients enregistrés peuvent télécharger ces fichiers à partir des téléchargements sécurisés Cisco (clients enregistrés uniquement).
A. Émettez la commande cat /usr/nr/VERSION et vérifiez le numéro de version que contient le résultat.
Note : La sortie de la commande nrvers sur le Director vous indique la version des démons qui s'exécutent sur le Director, mais elle ne vous indique pas la version du logiciel Director lui-même.
A. Connectez-vous en tant qu'utilisateur nétrangr et exécutez le script /usr/nr/bin/director/nrCollectInfo pour envoyer des informations de configuration à un fichier nommé /usr/nr/var/tmp/Report_For_Director.html.
A. Si IDS Director est inondé d'erreurs et ne peut pas les afficher toutes, il commence à mettre en mémoire tampon un fichier. Arrêtez les démons IDS et quittez les mappages OpenView ouverts pour supprimer le fichier. Supprimez le fichier /usr/nr/var/nrDirmap.buffer.default, puis redémarrez les démons IDS et votre carte OpenView.
A. Dans les versions IDS antérieures à la version 2.2.2, la chose la plus facile à faire est d'effacer la base de données OpenView. La base de données se trouve dans /var/opt/OV/share/database/openview. Effectuez ces étapes pour supprimer la base de données OpenView.
- Fermez toutes les cartes OpenView ouvertes avec la commande ovstop, puis arrêtez les services IDS avec la commande nrstop.
- Connectez-vous en tant qu'utilisateur root et problème /usr/nr/bin/director/nrDeleteOVwDb.
- Supprimez tous les fichiers « error.*" dans le répertoire /usr/nr/var (par exemple, errors.configd).
- Redémarrez les services à l'aide de la commande nrstart, puis redémarrez OpenView à l'aide de la commande ovstart.
Remarque : dans Director version 2.2.2, vous pouvez supprimer uniquement la partie IDS de la base de données OpenView au lieu de la base de données entière. Cette procédure est décrite dans le Guide de configuration d'IDS Director.
A. Exécutez cette commande.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesVérifiez que l'utilisateur netrangr est propriétaire des fichiers, puis redémarrez les services IDS.
A. Le problème se produit parce que nrConfigure voit le processus de paquet dans le fichier démons de Director (ce qu'il ne devrait pas faire). Lorsque nrConfigure interroge le Director pour sa version comme s'il s'agissait d'un capteur, le Director ne peut pas répondre avec une version du capteur.
Suivez ces étapes pour résoudre ce problème.
- Modifiez le fichier /usr/nr/etc/daemons et supprimez les entrées pour nr.packetd, nr.sensord et nr.managed, car ces processus ne doivent s'exécuter que sur le capteur.
- Arrêtez les services à l'aide de la commande nrstop, puis redémarrez les services à l'aide de la commande nrstart.
- Vérifiez que nrConfigure a été arrêté.
- Démarrez OpenView à l'aide de la commande vw.
- Sélectionnez Security > Advanced > nrConfigure DB > Delete pour supprimer la base de données nrConfigure endommagée.
- Entrez yes lorsqu'on vous demande de continuer.
- Mettez en surbrillance votre Director et tous vos capteurs dans la fenêtre principale d'OpenView.
- Sélectionnez Security > Advanced > nrConfigure DB > Create pour créer une nouvelle base de données nrConfigure avec les versions de configuration actuelles des machines.
A. Les utilisateurs qui exécutent l'application IDS sur UNIX Director peuvent également exécuter d'autres applications sur OpenView. Cela n'est pas conseillé, mais dans certains cas, il ne peut être évité. Le problème est que nrdirmap est activé par défaut pour chaque carte OpenView, ce qui n'est pas souhaitable lorsque d'autres applications s'exécutent sur OpenView.
Exécutez ces étapes sur UNIX Director pour modifier la valeur par défaut afin de choisir les cartes sur lesquelles nrdirmap est activé.
- Connectez-vous en tant qu'utilisateur netrangr.
- Tapez cd $OV_REGISTRATION/C. (OV_REGISTRATION fait partie de votre variable d'environnement. Le chemin habituel est /etc/opt/OV/share/register/C.)
- Tapez su root.
- Modifiez le fichier nrdirmap et modifiez la ligne « Command » comme le montre ce résultat :
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Enregistrez le fichier nrdirmap.
- Recycle OpenView. Maintenant, quand une carte est affichée avec la commande vw, tapez ps -ef | grep dirmap doit produire un résultat similaire à celui présenté ici. Notez la nrdirmap avec le commutateur -d.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dLes nouveaux mappages créés dans OpenView ne sont désormais pas activés par défaut par nrdirmap. Si vous voulez créer une carte avec nrdirmap installé, vous devez le faire à partir de l'interface utilisateur d'OpenView, comme l'explique cette procédure.
- Dans le menu principal OpenView, choisissez Map > New et entrez un nom pour la nouvelle carte.
- Sous les applications configurables, NetRanger/Director doit s'afficher. Choisissez NetRanger/Director et cliquez sur Configurer pour cette carte.
- Pour l'option qui dit « Doit-on activer nrdirmap pour cette carte ? », sélectionnez True si vous voulez activer nrdirmap.
- Choisissez Vérifier et cliquez sur OK.
A. Les niveaux de gravité ont été modifiés dans la version 2.2.3 du Director pour prendre en charge uniquement la plage 1 à 5.
A. Actuellement, la version 2.3i de CSPM est celle qui peut gérer IDS Sensor, alors que CSPM 3.0 ne le peut pas. Si vous utilisez CSPM pour gérer le capteur et d'autres périphériques Cisco Secure (tels que les PIX, les routeurs), vous devez installer les deux versions CSPM (2.3i et 3.x) sur deux serveurs Windows distincts. Vous pouvez utiliser chacun des serveurs pour gérer les périphériques correspondants : CSPM 2.3i pour les capteurs et CSPM 3.x pour les PIX, les routeurs, etc.
A. Référez-vous à Configuration d'un Cisco Secure IDS Sensor dans CSPM pour plus d'informations sur la façon de configurer CSPM pour gérer votre IDS Sensor et s'assurer que la communication fonctionne.
A. Le réglage implique de modifier ce qu'il faut pour qu'une signature se déclenche (par exemple le nombre d'hôtes dans un balayage) et ne signifie pas définir des actions et des niveaux de gravité.
CSPM ne peut pas (dans aucune version) régler les signatures de l'appliance. Il ne peut définir que les actions et les gravités d'une signature. En d'autres termes, CSPM peut définir la gravité et l'action à associer à la signature, mais ne peut pas définir ce qui déclenche cette signature. Le SigWizMenu du capteur doit être utilisé pour régler les capteurs. SigWizMenu et CSPM peuvent tous deux être utilisés pour configurer le même capteur car ils affectent différentes parties de la configuration.
Remarque : Si vous utilisez UNIX Director version 2.2.3 ou ultérieure, l'utilitaire nrConfigure peut configurer tout ce que SigWizMenu configure. Après la mise à niveau vers la version 2.2.3, vous devez utiliser nrConfigure au lieu de SigWizMenu pour régler les signatures.