Ce document explique la procédure utilisée pour configurer un capteur Cisco Secure Intrusion Detection System (IDS) sur Cisco Secure Policy Manager (CSPM). Ce document suppose que vous avez installé CSPM version 2.3.I sur votre ordinateur. La version « I » permet la gestion des périphériques IDS (capteurs d'appliances, routeurs Cisco IOS® ou lames IDS) dans un commutateur Cisco Catalyst® 6000. Ce document suppose également que les paramètres du bureau de poste IDS sont correctement définis. Il s'agit de HOSTID, ORGID, HOSTNAME et ORGNAME. Veuillez noter que pour que l'hôte CSPM puisse communiquer avec un capteur, l'ORGID et l'ORGNAME doivent correspondre à ce qui est défini sur le capteur.
Aucune spécification déterminée n'est requise pour ce document.
Les informations de ce document sont basées sur CSPM 2.3.I et versions ultérieures.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Ces sections expliquent le processus utilisé pour configurer un capteur IDS dans CSPM.
Lancez CSPM et connectez-vous. Un modèle vide apparaît (lancement initial) qui vous permet de définir votre réseau.
Ces trois définitions sont requises dans la topologie CSPM pour IDS.
Définissez le réseau dans lequel réside l'interface de contrôle du capteur et le réseau dans lequel réside l'hôte CSPM. S’ils se trouvent sur le même sous-réseau, un seul réseau doit être défini. Définissez d'abord ce réseau.
Définissez l'hôte CSPM dans son réseau. Sans la définition d'hôte CSPM, le capteur ne peut pas être géré.
Définissez le capteur dans son réseau.
Procédez comme suit :
Cliquez avec le bouton droit sur l'icône Internet dans la topologie et sélectionnez Nouveau > Réseau pour créer un nouveau réseau.
Sur le côté droit du panneau Réseau, ajoutez le nom du nouveau réseau, l'adresse réseau et le masque réseau qui seront utilisés.
Cliquez sur le bouton Adresse IP, puis saisissez l'adresse IP de votre réseau qu'il utilise pour accéder à Internet.
Normalement, il s'agit de la passerelle par défaut du réseau.
Remarque : lorsque vous gérez les capteurs, l'adresse de la passerelle n'a pas nécessairement besoin d'être correcte, car le capteur n'est pas envoyé à ces informations de passerelle par défaut. Il doit déjà être défini dans le capteur.
Click OK. Le réseau est ajouté à la carte topologique sans erreurs.
Utilisez cette procédure pour ajouter l'hôte CSPM.
Dans la topologie du réseau, cliquez avec le bouton droit sur le réseau que vous venez d'ajouter et sélectionnez Nouveau > Hôte.
CSPM affiche un écran similaire à celui-ci. Si ce n'est pas le cas, le réseau que vous venez de définir n'est pas le réseau dans lequel se trouve votre hôte CSPM. Vérifiez à nouveau l'adresse IP sur votre hôte CSPM.
Cliquez sur Oui pour installer l'hôte CSPM dans la topologie.
Vérifiez que les informations de l'écran Général de l'hôte CSPM sont correctes.
Cliquez sur OK dans l'écran Général de l'hôte CSPM.
Suivez cette procédure pour ajouter le périphérique Sensor.
Cliquez avec le bouton droit de la souris sur le réseau sur lequel réside votre capteur et sélectionnez Assistants > Ajouter un capteur.
Remarque : si l'hôte CSPM et l'interface de contrôle de votre capteur ne se trouvent pas dans le même réseau, définissez le réseau dans lequel réside votre capteur.
Entrez les paramètres de bureau de poste corrects pour le capteur.
Cliquez sur la case à cocher Vérifier ici pour vérifier l'adresse du capteur.
Remarque : Si c'est la première fois que vous configurez ce capteur, vous ne voulez pas capturer la configuration du capteur. Si vous avez précédemment configuré ce capteur ailleurs via un directeur UNIX ou un autre hôte CSPM et que vous avez modifié la configuration des signatures des capteurs, vous voulez capturer la configuration du capteur.
Cliquez sur Suivant pour définir les versions de signature sur le capteur. Vous pouvez également exécuter la commande nrvers pour vérifier cela sur le capteur.
Remarque : si CSPM ne possède pas la version de capteur correcte que vous utilisez sur votre capteur, mettez à jour les signatures sur votre hôte CSPM. Veuillez consulter Téléchargement de logiciels (clients enregistrés uniquement) pour les mises à jour.
Cliquez sur le bouton Suivant pour continuer.
Cliquez sur Terminer pour terminer l'installation du capteur dans la topologie.
Dans le menu CSPM principal, sélectionnez Fichier > Enregistrer et Mettre à jour pour compiler les informations entrées dans la topologie dans CSPM. Notez que cette étape est nécessaire pour démarrer le protocole de bureau de poste sur l'hôte CSPM.
Vérifiez que tout fonctionne en vous connectant à votre capteur en tant qu'utilisateur voisin.
Exécutez la commande nrconns.
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >
Remarque : Si le capteur et l'hôte CSPM ne communiquent pas, le résultat similaire à celui-ci apparaît à la place :
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr
Si c'est le cas, obtenez une trace de renifleur pour voir si les deux côtés envoient des paquets UDP 45000. UDP 45000 est ce que les périphériques IDS utilisent pour communiquer entre eux. Pour tester cette fonctionnalité sur le capteur, su à la racine et (selon le capteur que vous avez) exécuter snoop -d iprb1 port 45000 (pour un capteur IDS 4210) et snoop -d iprb0 port 45000 (pour tout autre modèle Sensor) ou).
Utilisez <control-c> pour quitter une session snoop.
Cette sortie apparaît s'il n'y a aucune communication entre le capteur et CSPM :
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
Dans le résultat ci-dessus, le capteur envoie des paquets UDP 45000, mais n'en reçoit aucun. Une configuration correcte génère un résultat similaire à celui-ci :
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
Dans le résultat ci-dessus, le trafic UDP 45000 va dans les deux sens.
Si les paquets UDP 45000 circulent dans les deux directions et que la sortie des nrconns sur le capteur indique toujours qu'il n'y a pas de connexion établie, les paramètres de bureau de poste sur le capteur et l'hôte CSPM ne correspondent pas.
Pour vérifier manuellement les paramètres de bureau de poste sur l'hôte CSPM :
Utilisez l'Explorateur Windows pour accéder à l'emplacement où CSPM est installé sur l'ordinateur NT.
Modifiez les fichiers d'hôte, de routage et d'organisation avec Write ou Wordpad (n'utilisez pas le Bloc-notes car la mise en forme sera endommagée).
Assurez-vous que ces fichiers sont corrects pour votre installation. Si l'une des valeurs est incorrecte, modifiez-les et redémarrez votre ordinateur NT en procédant comme suit :
Cliquez sur l'icône CSPM dans la topologie du réseau.
Cliquez sur l'onglet Distribution des stratégies pour entrer les paramètres de votre bureau de poste.
Enregistrez et mettez à jour vos modifications.
Redémarrez l'ordinateur NT.
Une fois la configuration enregistrée dans CSPM, configurez le capteur. Pour ce faire, définissez d'abord le capteur pour écrire les alarmes qu'il voit sur son propre journal. Définissez ensuite le capteur sur « sniff » sur l'interface correcte.
Utilisez cette procédure pour écrire des alarmes dans le journal.
Cliquez sur la zone Générer les fichiers journaux des événements d'audit pour indiquer au capteur d'envoyer les alarmes à ses journaux locaux.
Il envoie également des alarmes à la zone CSPM par défaut après avoir poussé une configuration vers le bas.
Cliquez sur OK pour continuer.
Utilisez cette procédure pour définir le capteur sur « Sniff ».
Sélectionnez Sensor dans votre topologie CSPM et cliquez sur l'onglet Sensing.
Définissez le périphérique de capture de paquets :
iprb0 - pour un capteur IDS 4210
spwr0 - pour tout autre modèle de capteur
Cliquez sur OK pour continuer.
Cliquez sur l'icône Update de la barre de menus CSPM pour mettre à jour CSPM avec les informations.
Note : Si tout va bien, un écran similaire à celui-ci s'affiche. Notez qu'il n'y a pas d'erreur rouge. Les avertissements jaunes sont généralement acceptables.
Sélectionnez le capteur dans la topologie du réseau et cliquez sur l'onglet Command (Commande) pour envoyer la configuration mise à jour au capteur.
Cliquez sur le bouton Approuver maintenant pour envoyer la configuration au capteur.
Le volet État affiche le message « Upload <#> complete ». Ceci indique un processus de transfert valide et complet. Le capteur est maintenant mis à jour et doit maintenant s'exécuter normalement.
Si le capteur ne fonctionne pas normalement, revenez au capteur et vérifiez le résultat de la commande nrconns pour vous assurer que la connexion entre l'hôte CSPM et le capteur est établie.
Une fois cette opération terminée, vous pouvez rechercher les alarmes que le capteur envoie à l'hôte CSPM dans la visionneuse d'événements. Pour afficher la visionneuse d'événements, dans le menu principal de CSPM, sélectionnez Outils > Afficher les événements du capteur > Base de données.
Cliquez sur OK pour afficher la fenêtre de la base de données des événements. Votre écran varie en fonction des alarmes que vous recevez.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Jan-2006 |
Première publication |