La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come implementare UTD Snort IPS Engine sui router Cisco Integrated Services ISR1K, ISR4K, CSR e serie ISRv utilizzando il metodo IOx.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Il metodo VMAN è obsoleto.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
La funzione UTD (Unified Threat Defense) Snort IPS abilita Intrusion Prevention System (IPS) o Intrusion Detection System (IDS) per le filiali sui router Cisco Integrated Services serie ISR1K, ISR4K, CSR e ISRv. Questa funzionalità utilizza lo snort open-source per abilitare le funzionalità IPS o IDS.
Lo snort è un IPS open-source che esegue analisi del traffico in tempo reale e genera avvisi quando vengono rilevate minacce sulle reti IP. Può inoltre eseguire analisi di protocollo, ricerche di contenuti o marce, nonché rilevare una varietà di attacchi e sonde, ad esempio sovraccarichi del buffer, scansioni di porte stealth e così via. Il motore UTD Snort funziona come un servizio contenitore virtuale su Cisco Integrated Services Router ISR1K, ISR4K, CSR e serie ISRv.
L'UTD Snort IPS fornisce funzionalità IPS o IDS per i router Cisco Integrated Services ISR1K, ISR4K, CSR e serie ISRv.
In base ai requisiti di rete. L'UTD Snort IPS può essere abilitato come IPS o IDS:
L'UTD Snort IPS funziona come servizio sui router ISR1K, ISR4K, CSR e serie ISRv. I contenitori dei servizi utilizzano la tecnologia di virtualizzazione per fornire un ambiente host sui dispositivi Cisco per le applicazioni. L'ispezione del traffico di snort è abilitata su una base di interfaccia o a livello globale su tutte le interfacce supportate.
La soluzione IPS per motore di snort UTD è costituita dalle seguenti entità:
Sensore snort: controlla il traffico per rilevare le anomalie in base ai criteri di sicurezza configurati (che includono firme, statistiche, analisi del protocollo e così via) e invia messaggi di avviso al server di avviso/reporting. Il sensore Snort viene implementato come servizio contenitore virtuale sul router.
Archivio firme: ospita i pacchetti di firme Cisco che vengono aggiornati periodicamente. Questi pacchetti di firme vengono scaricati nei sensori Snort periodicamente o su richiesta. I pacchetti di firma convalidati sono pubblicati in Cisco.com. In base alla configurazione, i pacchetti di firma possono essere scaricati da Cisco.com o da un server locale.
Il router accede ai seguenti domini durante il processo di download del pacchetto di firma da cisco.com:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
I pacchetti di firma devono essere scaricati manualmente da Cisco.com nel server locale utilizzando le credenziali Cisco.com prima che il sensore Snort possa recuperarli.
Alert/Reporting server: riceve gli eventi di allarme dal sensore Snort. Gli eventi di allarme generati dal sensore Snort possono essere inviati al syslog IOS o a un server syslog esterno oppure sia al syslog IOS che al server syslog esterno. La soluzione Snort IPS non include alcun server di registro esterno.
Gestione: gestisce la soluzione Snort IPS. La gestione viene configurata utilizzando la CLI di IOS. Non è possibile accedere direttamente al sensore di ronzio e tutte le configurazioni possono essere eseguite solo utilizzando la CLI di IOS.
Di seguito sono riportati i requisiti di licenza per il motore di snort UTD:
a) Pacchetto di firme comunitarie: il set di regole del pacchetto di firme comunitarie offre una copertura limitata contro le minacce.
b) Pacchetto di firme basato sugli utenti: il set di regole del pacchetto di firme basato sugli utenti offre la migliore protezione dalle minacce. Include la copertura in anticipo degli exploit e fornisce anche l'accesso più rapido alle firme aggiornate in risposta a un incidente di sicurezza o alla scoperta proattiva di una nuova minaccia. Questo abbonamento è completamente supportato da Cisco e il pacchetto verrà aggiornato costantemente su Cisco.com.
Il pacchetto di firma per gli abbonati allo snort UTD può essere scaricato da software.cisco.com e le informazioni sulla firma dello snort sono disponibili su snort.org.
Inoltre, è possibile utilizzare il seguente snort.org strumento di ricerca della documentazione delle regole per cercare gli ID di firma IPS specifici.
Di seguito sono elencate le piattaforme supportate per il motore di snort UTD:
Al motore di snort UTD si applicano le seguenti limitazioni:
Al motore di snort UTD si applicano le seguenti restrizioni:
Quando si abilita la licenza boost sui Cisco serie 4000 ISR, non è possibile configurare il contenitore del servizio virtuale per Snort IPS.
Incompatibile con la funzionalità SYN-cookie del firewall basato su zone.
Network Address Translation 64 (NAT64) non è supportato.
SnortSnmpPlugin è richiesto per il polling SNMP in Snort open source. Snort IPS non supporta le funzionalità di polling SNMP o MIB poiché il plug-in SnortSnmp non è installato in UTD.
Di seguito vengono riportati i collegamenti di Cisco per scaricare i file di immagine del software UTD Snort IPS Engine da utilizzare per l'installazione del motore di snort UTD sul router Cisco. Oltre a ciò, si trovano i file UTD Snort Subscriber Signature Package per scaricare le firme UTD Snort IPS, a seconda della versione UTD Snort Engine in esecuzione.
Nota: Prerequisiti da prendere in considerazione per l'installazione del motore di snort UTD: se si tratta di un ISR fisico, deve essere in esecuzione IOS-XE versione 3.16.1 o successiva. Se si tratta di un CSR, deve essere in esecuzione la versione 16.3.1 o successiva e, se si tratta di un ISRv (ENCS), deve essere in esecuzione la versione 16.8.1 o successiva. per Catalyst 8300 (a partire dalla versione 17.3.2 e successive), 8200 (a partire dalla versione 17.4.1 e successive) e 8000V (a partire dalla versione 17.4.1 e successive).
Nota: Se l'utente scarica manualmente il pacchetto di firma per l'utente UTD Snort dalla pagina di download del software, deve verificare che il pacchetto abbia la stessa versione del motore Snort. Ad esempio, se la versione del motore Snort è 2982, l'utente deve scaricare la stessa versione del pacchetto di firma. In caso di mancata corrispondenza delle versioni, l'aggiornamento del pacchetto di firma verrà rifiutato e avrà esito negativo.
Nota: Quando il pacchetto della firma viene aggiornato, il motore viene riavviato e il traffico viene interrotto o ignorato per un breve periodo a seconda della configurazione di fail-open/fail-close del piano dati.
Passaggio 1. Configurare le interfacce VirtualPortGroup per il motore dello snort UTD, configurare due gruppi di porte:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Nota: accertarsi di configurare il NAT e il routing richiesti per VirtualPortgroup0, in modo che il motore di snort UTD sia in grado di raggiungere il server syslog esterno e il cisco.com per recuperare i file di aggiornamento della firma.
Passaggio 2. Abilitare l'ambiente IOx in modalità di configurazione globale.
Router(config)#iox
Passaggio 3. Quindi, attivare il servizio virtuale e configurare gli IP guest. A tale scopo, configurare l'hosting dell'app con la configurazione della vnic.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Passaggio 4 (facoltativo). Configurare il profilo della risorsa.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Nota: Il servizio virtuale UTD Snort Engine supporta tre profili di risorse: Bassa, Media e Alta. Questi profili indicano le risorse di CPU e memoria necessarie per eseguire il servizio virtuale. È possibile configurare uno di questi profili di risorse. La configurazione del profilo della risorsa è facoltativa. Se non si configura un profilo, il servizio virtuale viene attivato con il relativo profilo di risorsa predefinito. Per ulteriori informazioni sul profilo delle risorse, consultare il documento Cisco Virtual Service Resource Profile per ISR4K e CSR1000v.
Nota: Questa opzione non è disponibile per la serie ISR1K.
Passaggio 5. Copiare il file del software del motore UTD Snort IPS sul flash dei router, quindi installare l'app-hosting utilizzando il file UTD.tar come segue.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Nota: La versione del motore UTD è specificata nel nome del file UTD, verificare che la versione del motore UTD da installare sia compatibile con la versione IOS-XE in esecuzione sul router Cisco
I syslog successivi indicano che il servizio UTD è stato installato correttamente.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Nota: Utilizzando 'show app-hosting list' lo stato deve essere visualizzato come 'Distribuito'
Passaggio 6. Avviare il servizio di hosting delle app.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Nota: Dopo l'avvio del servizio di hosting app, lo stato di hosting app deve essere 'In esecuzione'. Per ulteriori informazioni, usare 'show app-hosting list' o 'show app-hosting detail'.
I messaggi syslog successivi devono essere visualizzati per indicare che il servizio UTD è stato installato correttamente.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Una volta completata l'installazione, il piano di servizio deve essere configurato per il motore di snort UTD. Il motore di snort UTD può essere configurato come IPS (Intrusion Prevention System) o IDS (Intrusion Detection System) per l'ispezione del traffico.
Avviso: Verificare che la funzionalità della licenza 'securityk9' sia abilitata nel router per procedere con la configurazione del piano di servizio UTD.
Passaggio 1. Configurare il motore standard UTD (Unified Threat Defense) (piano di servizio)
Router#configure terminal
Router(config)#utd engine standard
Passaggio 2. Abilitare la registrazione del motore di snort UTD su un server remoto e sul syslog IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Nota: L'UTD Snort IPS monitora il traffico e segnala gli eventi a un server di registro esterno o al syslog IOS. L'abilitazione della registrazione nel syslog di IOS può influire sulle prestazioni a causa del volume potenziale dei messaggi di log. Per la raccolta e l'analisi dei log è possibile utilizzare strumenti di monitoraggio esterni di terze parti, che supportano i log Snort.
Passaggio 3. Abilitare l'ispezione delle minacce per lo snort engine.
Router(config-utd-eng-std)#threat-inspection
Passaggio 4. Configurare Threat Detection (IDS) o Intrusion Prevention System (IPS) come modalità operativa per lo snort engine.
Router(config-utd-engstd-insp)#threat [protection,detection]
Nota: Usare la parola chiave 'protection' per IPS e 'detection' per la modalità IDS. La modalità predefinita è 'detection'
Passaggio 5. Configurare i criteri di sicurezza per il motore dello snort.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Nota: Il criterio predefinito è 'balance', a seconda del criterio scelto, il motore di snort attiverà o disattiverà le firme IPS per la protezione del motore di snort.
Passaggio 6 (facoltativo). Abilitare la configurazione dell'elenco UTD consentiti (Whitelist).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Passaggio 7 (facoltativo). Configurare gli ID delle firme degli snort IPS da includere nella lista bianca.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Nota: È possibile copiare gli ID di firma dagli avvisi da eliminare, nonché configurare più ID di firma. Ripetere questo passaggio per ogni ID di firma da aggiungere alla lista bianca.
Nota: Dopo aver configurato l'ID di firma dell'elenco consentito (elenco bianco), il motore di snort UTD consentirà al flusso di passare attraverso il dispositivo senza alcun avviso o perdita.
Nota: L'identificatore generatore (GID) identifica il sottosistema che valuta una regola di intrusione e genera eventi. Le regole per le intrusioni di testo standard hanno un ID generatore pari a 1, mentre le regole per le intrusioni di oggetti condivisi hanno un ID generatore pari a 3. Sono inoltre disponibili diversi set di regole per vari preprocessori. La seguente tabella 1. ID generatori spiega i GID.
Passaggio 8 (facoltativo). Abilita elenco oggetti autorizzati nella configurazione di ispezione delle minacce.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Nota: Dopo aver configurato l'ID della firma della lista bianca, il motore di snort consentirà al flusso di passare attraverso il dispositivo senza alcun avviso e perdita di dati
Passaggio 9. Configurare l'intervallo di aggiornamento della firma per il download automatico delle firme personalizzate.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Nota: Il primo numero definisce l'ora nel formato 24hr, mentre il secondo numero indica i minuti.
Avviso: Gli aggiornamenti della firma UTD generano una breve interruzione del servizio al momento dell'aggiornamento.
Passaggio 10. Configurare i parametri del server di aggiornamento delle firme del motore di snort UTD.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Nota: Utilizzare la parola chiave 'cisco' per puntare al server Cisco per gli aggiornamenti della firma o utilizzare la parola chiave 'url' per definire un percorso http/https personalizzato per il server di aggiornamento. Per il server Cisco, è necessario fornire le credenziali di nome utente e password Cisco.
Nota: Verificare che un server DNS sia configurato per il download delle firme degli snort IPS dal server Cisco. Il contenitore Snort esegue una ricerca dei nomi di dominio (nei server DNS configurati sul router) per risolvere il percorso degli aggiornamenti automatici delle firme da Cisco.com o dal server locale, se l'URL non è specificato come indirizzo IP.
Nota: L'indirizzo IP di gestione del modulo UTD assegnato all'interfaccia VirtualPortGroup0 deve essere incluso nella configurazione NAT del router per consentire al modulo di ottenere l'accesso a Internet e raggiungere il server Cisco per scaricare i pacchetti con firma digitale.
Passaggio 11. Abilitare il livello di registrazione UTD snort engine e la registrazione delle statistiche degli avvisi di ispezione delle minacce:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Nota: A partire da Cisco IOS XE Fuji 16.8, è possibile ottenere un riepilogo dei dettagli degli allarmi di ispezione delle minacce quando si esegue il comando 'show utd engine standard logging threat-statistics detail'. Proprio quando la registrazione delle statistiche di avviso per l'ispezione delle minacce è abilitata per il motore di snort UTD.
Passaggio 12. Abilitare il servizio UTD.
Router#configure terminal
Router(config)#utd
Passaggio 13 (facoltativo). Reindirizza il traffico di dati dall'interfaccia VirtualPortGroup al servizio UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Nota: Se il reindirizzamento non è configurato, viene rilevato automaticamente.
Passaggio 14. Abilitare il motore IPS UTD per ispezionare il traffico da tutte le interfacce di layer 3 sul router.
Router(config-utd)#all-interfaces
Passaggio 15. Abilitare lo standard del motore.
Router(config-utd)#engine standard
I messaggi syslog successivi devono essere visualizzati per indicare che il motore di snort UTD è stato abilitato correttamente:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Passaggio 16 (facoltativo). Definire l'azione per il motore di snort UTD durante un guasto (piano dati UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Nota: L'opzione 'fail close' interrompe tutto il traffico del router quando il motore UTD si guasta e l'opzione 'fail open' consente al traffico del router di continuare a scorrere senza ispezione IPS/IDS durante gli errori UTD. L'opzione predefinita è 'fail open'.
Passaggio 17. Salvare la configurazione del router.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
Il motore di snort UTD dispone di funzionalità di Port-Scan. Una port scan è una forma di ricognizione della rete che viene spesso utilizzata dagli attaccanti come preludio a un attacco. In una scansione delle porte, un utente malintenzionato invia pacchetti progettati per verificare i protocolli e i servizi di rete su un host di destinazione. Esaminando i pacchetti inviati in risposta da un host, l'autore dell'attacco può determinare quali porte sono aperte sull'host e, direttamente o per deduzione, quali protocolli applicativi sono in esecuzione su queste porte.
Di per sé, una scansione della porta non è una prova di un attacco. Gli utenti autorizzati della rete possono utilizzare tecniche di scansione delle porte simili a quelle utilizzate dagli utenti non autorizzati.
Il controllo port_scan rileva quattro tipi di portscan e controlla i tentativi di connessione sui protocolli TCP, UDP, ICMP e IP. Rilevando i modelli di attività, l'ispettore port_scan consente di determinare quali scansioni delle porte potrebbero essere dannose.
Le scansioni delle porte sono in genere suddivise in quattro tipi in base al numero di host di destinazione, al numero di host di scansione e al numero di porte scansionate.
La tabella 3. riportata di seguito mostra le regole dell'ispettore port scan.
La finestra di ispezione port_scan fornisce tre livelli di scansione predefiniti per il motore di snort UTD:
Passaggio 1. Configurare il motore standard UTD (Unified Threat Defense) (piano di servizio)
Router#configure terminal
Router(config)#utd engine standard
Passaggio 2. Abilitare l'ispezione delle minacce per il motore di snort UTD.
Router(config-utd-eng-std)#threat-inspection
Passaggio 3. Quindi, abilitare port_scan.
Router(config-utd-engstd-insp)#port-scan
Passaggio 4. Impostare il livello di distinzione port_scan. Le opzioni disponibili sono high, medium o low.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Passaggio 5. Dopo aver abilitato port_scan e configurato con un livello riservato per il motore di snort UTD, usare il comando 'show utd engine standard config' per verificare la configurazione di port_scan.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Eseguire il comando 'show app-hosting detail' per confermare lo stato del motore di snort UTD, la versione del software in esecuzione, la RAM, l'utilizzo della CPU e del disco, le statistiche di rete e la configurazione DNS in uso.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Utilizzare il comando 'show utd engine standard version' per confermare la versione di compatibilità del motore di snort UTD con la versione del router IOS-XE in esecuzione.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Opzione 1. Eseguire il comando 'show utd engine standard status' per confermare lo stato del motore UTD snort, lo stato in 'Green', lo stato in 'Green' e lo stato generale del sistema in 'Green', per indicare che il motore UTD snort è in funzione.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Nota: Quando il motore di snort UTD è sovrascritto, lo stato del canale di difesa delle minacce cambia tra verde e rosso. La corsia di dati UTD scarta tutti gli altri pacchetti se è stata configurata la chiusura a errori oppure inoltra i pacchetti non ispezionati se la chiusura a errori non è stata configurata (impostazione predefinita). Quando il piano di servizio UTD viene ripristinato da un'iscrizione in eccesso, risponde al piano dati UTD con stato verde.
Opzione 2. Usare il comando 'show platform software utd global' per ottenere un breve riepilogo dello stato di funzionamento del motore di snort UTD.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Opzione 1. Eseguire il comando 'show utd engine standard config' per visualizzare i dettagli di configurazione del motore di snort UTD, la modalità operativa, la modalità policy, la configurazione di aggiornamento della firma, la configurazione di registrazione, la lista bianca e lo stato di scansione della porta.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Opzione 2. Usare il comando 'show running-config | b engine' per visualizzare la configurazione di esecuzione del motore di snort UTD.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Eseguire il comando 'show utd engine standard threat-survey signature update status' per controllare lo stato di aggiornamento della firma dello snort IPS.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Utilizzare il comando 'utd threat-survey signature update' per eseguire un aggiornamento manuale della firma degli snort IPS utilizzando la configurazione esistente del server applicata al motore degli snort UTD per i download delle firme.
Router#utd threat-inspection signature update
3. Utilizzare il comando 'utd threat-survey signature update server [cisco, url] nomeutente xxxxx password xxxxx force' per forzare un aggiornamento manuale della firma dello snort IPS con i parametri del server specificati.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Utilizzare i seguenti comandi show per monitorare il traffico elaborato dal motore di snort UTD e per controllare le statistiche relative all'ispezione del traffico.
Opzione 1. Dall'output 'show utd engine standard statistics' riportato di seguito, i contatori 'received' e 'analyse' aumentano quando il traffico viene elaborato dal motore di snort UTD:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Opzione 2. Nell'output seguente 'show platform hardware qfp active feature utd status', i contatori 'decaps' e 'Devit' vengono incrementati quando il traffico viene reindirizzato dal router al motore dello snort UTD per l'ispezione del traffico e i contatori 'encaps' e 'Reinject' vengono incrementati quando il traffico viene reindirizzato dal motore dello snort UTD al router:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Opzione 3. Dall'output 'show utd standard statistics internal' riportato di seguito, i contatori 'received' e 'analyst' aumentano quando il traffico viene reindirizzato dal router al motore di snort UTD per l'ispezione del traffico. Inoltre, questo output mostrerà ulteriori dettagli e statistiche sul traffico ispezionato dal motore di snort UTD:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Utilizzare i comandi show seguenti per monitorare le firme IPS attivate, gli eventi IPS/IDS generati e gli indirizzi IP di origine e di destinazione interessati.
Opzione 1. Utilizzare il comando "show utd engine standard logging events [threat-survey]" per cercare gli eventi IPS/IDS:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Opzione 2. Utilizzare il comando show utd engine standard logging statistics threat-survey' per cercare le prime firme snort IPS attivate nelle ultime 24 ore e il numero di volte in cui ogni firma è stata attivata:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Opzione 3. Utilizzare il comando show utd engine standard logging statistics threat-survey detail per cercare le prime firme snort IPS attivate nelle ultime 24 ore, il numero di volte in cui ciascuna firma è stata attivata e gli indirizzi IP di origine e destinazione che hanno attivato la firma:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Opzione 4. Il motore di snort UTD controlla il traffico e segnala gli eventi a un server di log esterno o al syslog IOS. L'abilitazione della registrazione nel syslog di IOS può influire sulle prestazioni a causa del volume potenziale dei messaggi di log. Per la raccolta e l'analisi dei log è possibile utilizzare strumenti di monitoraggio esterni di terze parti, che supportano i log Snort.
Ogni volta che il motore di snort UTD genera un evento IPS/IDS, il router visualizza un messaggio syslog simile al seguente:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Nota: I log del motore di snort UTD vengono visualizzati nella CLI di Router IOSd, quando il syslog di registrazione è abilitato nella configurazione standard del motore di snort UTD.
Quando il motore di snort UTD è configurato per l'invio dei log a un server syslog esterno, i log del motore di snort UTD dovrebbero essere visualizzati nel server syslog remoto come indicato di seguito:
Utilizzare i comandi seguenti per visualizzare le firme degli snort IPS Attivo, Rilasciato e Avviso per il motore di snort UTD, a seconda della configurazione dei criteri utilizzata (Bilanciato, Connettività o Sicurezza).
Opzione 1. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio di sicurezza.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Opzione 2. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio di connettività.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Opzione 3. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio Bilanciato.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Nota: Per visualizzare le firme degli snort IPS attivi per il criterio Bilanciato, Connettività o Sicurezza, è necessario che il motore degli snort UTD esegua la modalità di criterio corrispondente che si desidera visualizzare.
1. Verificare che Cisco Integrated Services Router (ISR) esegua XE 16.10.1a e versioni successive (per il metodo IOx).
2. Verificare che Cisco Integrated Services Router (ISR) sia concesso in licenza con la funzionalità SecurityKey9 abilitata.
3. Verificare che il modello hardware dell'RCI sia conforme al profilo di risorse minimo.
4. Il motore di snort UTD non è compatibile con il cookie SYN-cookie del firewall basato su zone e con il NAT64 (Network Address Translation)
5. Verificare che il servizio motore di snort UTD sia avviato dopo l'installazione.
6. Durante il download manuale del pacchetto di firma, assicurarsi che il pacchetto abbia la stessa versione del motore Snort. L'aggiornamento del pacchetto di firma potrebbe non riuscire se le versioni non corrispondono.
7. In caso di problemi di prestazioni, usare 'show app-hosting resource' e 'show app-hosting usage appid ''UTD-NAME' per controllare lo spazio di CPU, memoria e archiviazione UTD.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
Avviso: Contattare Cisco TAC, se si conferma che il motore UTD Snort sta riscontrando un elevato utilizzo della CPU, della memoria o del disco.
Per risolvere il problema, usare i comandi di debug elencati di seguito per ottenere ulteriori dettagli dal motore di snort UTD.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Avviso: L'esecuzione dei comandi di debug durante le ore di produzione può aumentare in modo significativo l'utilizzo della CPU, della memoria o del disco sul motore UTD Snort o sul router, con potenziali effetti sul traffico e sulla stabilità del sistema. Usare con moderazione i comandi di debug, preferibilmente durante un intervento di manutenzione, e disabilitarli subito dopo aver raccolto i dati richiesti. Se si rileva un utilizzo elevato delle risorse o un impatto sul servizio, interrompere il debug e contattare Cisco TAC.
La documentazione aggiuntiva relativa alla distribuzione di UTD Snort IPS è disponibile qui:
Guida alla configurazione della sicurezza di Cisco Snort IPS
Cisco Virtual Service Resource Profile per ISR4K e CSR1000v
Avvio di IPS sui router - configurazione dettagliata
Guida Cisco - Risoluzione dei problemi relativi a Snort IPS
Guida di riferimento per Snort Port-Scan Inspector
Pagina Web Snort Open Source Intrusion Prevention System (IPS)
Installa immagine virtuale di sicurezza UTD su router cEdge
CSCwf57595 ISR4K Snort IPS non è implementato perché l'hardware non dispone di risorse di piattaforma sufficienti
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
17-Sep-2025
|
Release iniziale |
1.0 |
11-Jul-2023
|
Versione iniziale |