Implementazione di UTD Snort IPS su Cisco Integrated Services Router serie 1000, 4000, CSR e ISRv

Opzioni per il download

PDF (1.2 MB)
Visualizza con Adobe Reader su diversi dispositivi

Aggiornato:17 settembre 2025

ID documento:220565

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Soluzione UTD Snort Engine IPS

Requisiti di licenza

Piattaforme supportate

Limitazioni

Restrizioni

Collegamenti download IPS motore di snort UTD

Esempio di rete

Configurazione

Installazione motore di snort UTD

Configurare il motore di snort UTD come IPS o IDS

Port-Scan Inspector per il motore dello snort UTD

Regole di controllo Port Scan

Livelli Sensibili Della Scansione Delle Porte

Configurazione di Port-Scan Inspector per il motore di snort UTD

Verifica

Controllare lo stato degli indirizzi IP e delle interfacce del gruppo di porte virtuali

Controllare la configurazione delle interfacce VirtualPortGroup

Controllare la configurazione di hosting delle app

Controllare l'attivazione di iox

Verifica lo stato di hosting dell'app

Verifica i dettagli di hosting dell'app

Verificare la versione di compatibilità del motore di snort UTD rispetto alla versione IOS-XE del router in esecuzione

Controllare lo stato del motore di snort UTD

Controllare la configurazione del motore di snort UTD

Controllare lo stato di aggiornamento della firma dello snort IPS del motore di snort UTD

Come verificare se il motore di snort UTD sta ispezionando il traffico

Come verificare se il motore di snort UTD ha attivato una firma di snort IPS

Come visualizzare le firme degli snort IPS attivi

Risoluzione dei problemi

Debug

Informazioni correlate

Introduzione

In questo documento viene descritto come implementare UTD Snort IPS Engine sui router Cisco Integrated Services ISR1K, ISR4K, CSR e serie ISRv utilizzando il metodo IOx.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

Cisco Integrated Services Router ISR1K, ISR4K, CSR e serie ISRv con almeno 8 GB di DRAM
Conoscenze base dei comandi IOS-XE
Conoscenze base di UTD Snort IPS
È necessario un abbonamento con snort IPS con firma per 1 anno o 3 anni
IOS-XE 16.10.1a e versioni successive

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

ISR1K, ISR4K, CSR e serie ISRv con versione 17.9.3a
UTD snort engine versione 17.9.3a
Licenza SecurityKey9 per ISR1K, ISR4K, CSR e serie ISRv

Il metodo VMAN è obsoleto.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

La funzione UTD (Unified Threat Defense) Snort IPS abilita Intrusion Prevention System (IPS) o Intrusion Detection System (IDS) per le filiali sui router Cisco Integrated Services serie ISR1K, ISR4K, CSR e ISRv. Questa funzionalità utilizza lo snort open-source per abilitare le funzionalità IPS o IDS.

Lo snort è un IPS open-source che esegue analisi del traffico in tempo reale e genera avvisi quando vengono rilevate minacce sulle reti IP. Può inoltre eseguire analisi di protocollo, ricerche di contenuti o marce, nonché rilevare una varietà di attacchi e sonde, ad esempio sovraccarichi del buffer, scansioni di porte stealth e così via. Il motore UTD Snort funziona come un servizio contenitore virtuale su Cisco Integrated Services Router ISR1K, ISR4K, CSR e serie ISRv.

L'UTD Snort IPS fornisce funzionalità IPS o IDS per i router Cisco Integrated Services ISR1K, ISR4K, CSR e serie ISRv.

L'UTD controlla il traffico di rete e lo analizza in base a un set di regole definito.
L'UTD esegue la classificazione degli allegati.
L'UTD richiama le azioni rispetto alle regole corrispondenti.

In base ai requisiti di rete. L'UTD Snort IPS può essere abilitato come IPS o IDS:

In modalità IDS: Il motore di snort UTD controlla il traffico e segnala gli avvisi, ma non intraprende alcuna azione per prevenire gli attacchi.
In modalità IPS: Il motore di snort UTD controlla il traffico e segnala gli allarmi come fa IDS, ma vengono intraprese azioni per prevenire gli attacchi.

L'UTD Snort IPS funziona come servizio sui router ISR1K, ISR4K, CSR e serie ISRv. I contenitori dei servizi utilizzano la tecnologia di virtualizzazione per fornire un ambiente host sui dispositivi Cisco per le applicazioni. L'ispezione del traffico di snort è abilitata su una base di interfaccia o a livello globale su tutte le interfacce supportate.

Soluzione UTD Snort Engine IPS

La soluzione IPS per motore di snort UTD è costituita dalle seguenti entità:

Sensore snort: controlla il traffico per rilevare le anomalie in base ai criteri di sicurezza configurati (che includono firme, statistiche, analisi del protocollo e così via) e invia messaggi di avviso al server di avviso/reporting. Il sensore Snort viene implementato come servizio contenitore virtuale sul router.

Archivio firme: ospita i pacchetti di firme Cisco che vengono aggiornati periodicamente. Questi pacchetti di firme vengono scaricati nei sensori Snort periodicamente o su richiesta. I pacchetti di firma convalidati sono pubblicati in Cisco.com. In base alla configurazione, i pacchetti di firma possono essere scaricati da Cisco.com o da un server locale.

Il router accede ai seguenti domini durante il processo di download del pacchetto di firma da cisco.com:
- api.cisco.com
- apx.cisco.com
- cloudsso.cisco.com
- cloudsso-test.cisco.com
- cloudsso-test3.cisco.com
- cloudsso-test4.cisco.com
- cloudsso-test5.cisco.com
- cloudsso-test6.cisco.com
- cloudsso.cisco.com
- download-ssc.cisco.com
- dl.cisco.com
- resolver1.opendns.com
- resolver2.opendns.com
I pacchetti di firma devono essere scaricati manualmente da Cisco.com nel server locale utilizzando le credenziali Cisco.com prima che il sensore Snort possa recuperarli.

Alert/Reporting server: riceve gli eventi di allarme dal sensore Snort. Gli eventi di allarme generati dal sensore Snort possono essere inviati al syslog IOS o a un server syslog esterno oppure sia al syslog IOS che al server syslog esterno. La soluzione Snort IPS non include alcun server di registro esterno.

Gestione: gestisce la soluzione Snort IPS. La gestione viene configurata utilizzando la CLI di IOS. Non è possibile accedere direttamente al sensore di ronzio e tutte le configurazioni possono essere eseguite solo utilizzando la CLI di IOS.

Requisiti di licenza

Di seguito sono riportati i requisiti di licenza per il motore di snort UTD:

La licenza Security K9 è richiesta sui router ISR1K, ISR4K, CSR e ISRv. Inoltre, è richiesta una sottoscrizione con firma di 1 o 3 anni, esistono due tipi di abbonamenti:

a) Pacchetto di firme comunitarie: il set di regole del pacchetto di firme comunitarie offre una copertura limitata contro le minacce.

b) Pacchetto di firme basato sugli utenti: il set di regole del pacchetto di firme basato sugli utenti offre la migliore protezione dalle minacce. Include la copertura in anticipo degli exploit e fornisce anche l'accesso più rapido alle firme aggiornate in risposta a un incidente di sicurezza o alla scoperta proattiva di una nuova minaccia. Questo abbonamento è completamente supportato da Cisco e il pacchetto verrà aggiornato costantemente su Cisco.com.

Il pacchetto di firma per gli abbonati allo snort UTD può essere scaricato da software.cisco.com e le informazioni sulla firma dello snort sono disponibili su snort.org.

Inoltre, è possibile utilizzare il seguente snort.org strumento di ricerca della documentazione delle regole per cercare gli ID di firma IPS specifici.

Per utilizzare IPS/Snort, è necessaria una licenza DNA-Essentials sui router Catalyst 8000 Edge menzionati nella sezione Piattaforme supportate.

Piattaforme supportate

Di seguito sono elencate le piattaforme supportate per il motore di snort UTD:

ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv e ISR 1K (X PID come 1111X, 1121X, 1161X ecc. che supportano solo DRAM da 8 GB, a partire dalla versione 17.2.1r)

Catalyst 8500L, 8300, 8200, 8000V.

Limitazioni

Al motore di snort UTD si applicano le seguenti limitazioni:

Solo i pacchetti tcp, udp e icmp verranno deviati al motore di snort UTD per l'ispezione

Solo attraverso il box il traffico sarà deviato al motore di snort UTD per l'ispezione

Restrizioni

Al motore di snort UTD si applicano le seguenti restrizioni:

Quando si abilita la licenza boost sui Cisco serie 4000 ISR, non è possibile configurare il contenitore del servizio virtuale per Snort IPS.

Incompatibile con la funzionalità SYN-cookie del firewall basato su zone.

Network Address Translation 64 (NAT64) non è supportato.

SnortSnmpPlugin è richiesto per il polling SNMP in Snort open source. Snort IPS non supporta le funzionalità di polling SNMP o MIB poiché il plug-in SnortSnmp non è installato in UTD.

Il syslog di IOS ha una velocità limitata e, di conseguenza, tutti gli avvisi generati da Snort potrebbero non essere visibili tramite il syslog di IOS. Tuttavia, è possibile visualizzare tutti i messaggi di syslog se vengono esportati in un server syslog esterno.

Collegamenti download IPS motore di snort UTD

Di seguito vengono riportati i collegamenti di Cisco per scaricare i file di immagine del software UTD Snort IPS Engine da utilizzare per l'installazione del motore di snort UTD sul router Cisco. Oltre a ciò, si trovano i file UTD Snort Subscriber Signature Package per scaricare le firme UTD Snort IPS, a seconda della versione UTD Snort Engine in esecuzione.

ISR1K - https://software.cisco.com/download/home/286315006/type

ISR4K -https://software.cisco.com/download/home/284389362/type

CSR -https://software.cisco.com/download/home/284364978/type

ISRv -https://software.cisco.com/download/home/286308693/type

Catalyst 8500L -https://software.cisco.com/download/home/286324574/type

Catalyst 8300 -https://software.cisco.com/download/home/286324476/type

Catalyst 8200 -https://software.cisco.com/download/home/286324472/type

Catalyst 8000V -https://software.cisco.com/download/home/286327102/type

Nota: Prerequisiti da prendere in considerazione per l'installazione del motore di snort UTD: se si tratta di un ISR fisico, deve essere in esecuzione IOS-XE versione 3.16.1 o successiva. Se si tratta di un CSR, deve essere in esecuzione la versione 16.3.1 o successiva e, se si tratta di un ISRv (ENCS), deve essere in esecuzione la versione 16.8.1 o successiva. per Catalyst 8300 (a partire dalla versione 17.3.2 e successive), 8200 (a partire dalla versione 17.4.1 e successive) e 8000V (a partire dalla versione 17.4.1 e successive).

Nota: Se l'utente scarica manualmente il pacchetto di firma per l'utente UTD Snort dalla pagina di download del software, deve verificare che il pacchetto abbia la stessa versione del motore Snort. Ad esempio, se la versione del motore Snort è 2982, l'utente deve scaricare la stessa versione del pacchetto di firma. In caso di mancata corrispondenza delle versioni, l'aggiornamento del pacchetto di firma verrà rifiutato e avrà esito negativo.

Nota: Quando il pacchetto della firma viene aggiornato, il motore viene riavviato e il traffico viene interrotto o ignorato per un breve periodo a seconda della configurazione di fail-open/fail-close del piano dati.

Esempio di rete

ISR4K

Configurazione

Installazione motore di snort UTD

Passaggio 1. Configurare le interfacce VirtualPortGroup per il motore dello snort UTD, configurare due gruppi di porte:

VirtualPortGroup0 per il traffico di gestione: Questo VirtualPortGroup verrà utilizzato per l'origine dei log nell'agente di raccolta log e per il pull degli aggiornamenti delle firme da Cisco.com.

VirtualPortGroup1 per il traffico di dati: Questo VirtualPortGroup verrà utilizzato per inviare e ricevere pacchetti contrassegnati per l'ispezione che arrivano sul data plane per l'ispezione IPS.

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Nota: accertarsi di configurare il NAT e il routing richiesti per VirtualPortgroup0, in modo che il motore di snort UTD sia in grado di raggiungere il server syslog esterno e il cisco.com per recuperare i file di aggiornamento della firma.

Passaggio 2. Abilitare l'ambiente IOx in modalità di configurazione globale.

Router(config)#iox

Passaggio 3. Quindi, attivare il servizio virtuale e configurare gli IP guest. A tale scopo, configurare l'hosting dell'app con la configurazione della vnic.

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Passaggio 4 (facoltativo). Configurare il profilo della risorsa.

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

Nota: Il servizio virtuale UTD Snort Engine supporta tre profili di risorse: Bassa, Media e Alta. Questi profili indicano le risorse di CPU e memoria necessarie per eseguire il servizio virtuale. È possibile configurare uno di questi profili di risorse. La configurazione del profilo della risorsa è facoltativa. Se non si configura un profilo, il servizio virtuale viene attivato con il relativo profilo di risorsa predefinito. Per ulteriori informazioni sul profilo delle risorse, consultare il documento Cisco Virtual Service Resource Profile per ISR4K e CSR1000v.

Nota: Questa opzione non è disponibile per la serie ISR1K.

Passaggio 5. Copiare il file del software del motore UTD Snort IPS sul flash dei router, quindi installare l'app-hosting utilizzando il file UTD.tar come segue.

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

Nota: La versione del motore UTD è specificata nel nome del file UTD, verificare che la versione del motore UTD da installare sia compatibile con la versione IOS-XE in esecuzione sul router Cisco

I syslog successivi indicano che il servizio UTD è stato installato correttamente.

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

Nota: Utilizzando 'show app-hosting list' lo stato deve essere visualizzato come 'Distribuito'

Passaggio 6. Avviare il servizio di hosting delle app.

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

Nota: Dopo l'avvio del servizio di hosting app, lo stato di hosting app deve essere 'In esecuzione'. Per ulteriori informazioni, usare 'show app-hosting list' o 'show app-hosting detail'.

I messaggi syslog successivi devono essere visualizzati per indicare che il servizio UTD è stato installato correttamente.

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

Configurare il motore di snort UTD come IPS o IDS

Una volta completata l'installazione, il piano di servizio deve essere configurato per il motore di snort UTD. Il motore di snort UTD può essere configurato come IPS (Intrusion Prevention System) o IDS (Intrusion Detection System) per l'ispezione del traffico.

Avviso: Verificare che la funzionalità della licenza 'securityk9' sia abilitata nel router per procedere con la configurazione del piano di servizio UTD.

Passaggio 1. Configurare il motore standard UTD (Unified Threat Defense) (piano di servizio)

Router#configure terminal
Router(config)#utd engine standard

Passaggio 2. Abilitare la registrazione del motore di snort UTD su un server remoto e sul syslog IOSd.

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

Nota: L'UTD Snort IPS monitora il traffico e segnala gli eventi a un server di registro esterno o al syslog IOS. L'abilitazione della registrazione nel syslog di IOS può influire sulle prestazioni a causa del volume potenziale dei messaggi di log. Per la raccolta e l'analisi dei log è possibile utilizzare strumenti di monitoraggio esterni di terze parti, che supportano i log Snort.

Passaggio 3. Abilitare l'ispezione delle minacce per lo snort engine.

Router(config-utd-eng-std)#threat-inspection

Passaggio 4. Configurare Threat Detection (IDS) o Intrusion Prevention System (IPS) come modalità operativa per lo snort engine.

Router(config-utd-engstd-insp)#threat [protection,detection]

Nota: Usare la parola chiave 'protection' per IPS e 'detection' per la modalità IDS. La modalità predefinita è 'detection'

Passaggio 5. Configurare i criteri di sicurezza per il motore dello snort.

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Nota: Il criterio predefinito è 'balance', a seconda del criterio scelto, il motore di snort attiverà o disattiverà le firme IPS per la protezione del motore di snort.

Passaggio 6 (facoltativo). Abilitare la configurazione dell'elenco UTD consentiti (Whitelist).

Router#configure terminal
Router(config)#utd threat-inspection whitelist

Passaggio 7 (facoltativo). Configurare gli ID delle firme degli snort IPS da includere nella lista bianca.

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

Nota: È possibile copiare gli ID di firma dagli avvisi da eliminare, nonché configurare più ID di firma. Ripetere questo passaggio per ogni ID di firma da aggiungere alla lista bianca.

Nota: Dopo aver configurato l'ID di firma dell'elenco consentito (elenco bianco), il motore di snort UTD consentirà al flusso di passare attraverso il dispositivo senza alcun avviso o perdita.

Nota: L'identificatore generatore (GID) identifica il sottosistema che valuta una regola di intrusione e genera eventi. Le regole per le intrusioni di testo standard hanno un ID generatore pari a 1, mentre le regole per le intrusioni di oggetti condivisi hanno un ID generatore pari a 3. Sono inoltre disponibili diversi set di regole per vari preprocessori. La seguente tabella 1. ID generatori spiega i GID.

alt-tag-for-image

Passaggio 8 (facoltativo). Abilita elenco oggetti autorizzati nella configurazione di ispezione delle minacce.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

Nota: Dopo aver configurato l'ID della firma della lista bianca, il motore di snort consentirà al flusso di passare attraverso il dispositivo senza alcun avviso e perdita di dati

Passaggio 9. Configurare l'intervallo di aggiornamento della firma per il download automatico delle firme personalizzate.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

Nota: Il primo numero definisce l'ora nel formato 24hr, mentre il secondo numero indica i minuti.

Avviso: Gli aggiornamenti della firma UTD generano una breve interruzione del servizio al momento dell'aggiornamento.

Passaggio 10. Configurare i parametri del server di aggiornamento delle firme del motore di snort UTD.

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

Nota: Utilizzare la parola chiave 'cisco' per puntare al server Cisco per gli aggiornamenti della firma o utilizzare la parola chiave 'url' per definire un percorso http/https personalizzato per il server di aggiornamento. Per il server Cisco, è necessario fornire le credenziali di nome utente e password Cisco.

Nota: Verificare che un server DNS sia configurato per il download delle firme degli snort IPS dal server Cisco. Il contenitore Snort esegue una ricerca dei nomi di dominio (nei server DNS configurati sul router) per risolvere il percorso degli aggiornamenti automatici delle firme da Cisco.com o dal server locale, se l'URL non è specificato come indirizzo IP.

Nota: L'indirizzo IP di gestione del modulo UTD assegnato all'interfaccia VirtualPortGroup0 deve essere incluso nella configurazione NAT del router per consentire al modulo di ottenere l'accesso a Internet e raggiungere il server Cisco per scaricare i pacchetti con firma digitale.

Passaggio 11. Abilitare il livello di registrazione UTD snort engine e la registrazione delle statistiche degli avvisi di ispezione delle minacce:

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Nota: A partire da Cisco IOS XE Fuji 16.8, è possibile ottenere un riepilogo dei dettagli degli allarmi di ispezione delle minacce quando si esegue il comando 'show utd engine standard logging threat-statistics detail'. Proprio quando la registrazione delle statistiche di avviso per l'ispezione delle minacce è abilitata per il motore di snort UTD.

Passaggio 12. Abilitare il servizio UTD.

Router#configure terminal
Router(config)#utd

Passaggio 13 (facoltativo). Reindirizza il traffico di dati dall'interfaccia VirtualPortGroup al servizio UTD.

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup

Nota: Se il reindirizzamento non è configurato, viene rilevato automaticamente.

Passaggio 14. Abilitare il motore IPS UTD per ispezionare il traffico da tutte le interfacce di layer 3 sul router.

Router(config-utd)#all-interfaces

Passaggio 15. Abilitare lo standard del motore.

Router(config-utd)#engine standard

I messaggi syslog successivi devono essere visualizzati per indicare che il motore di snort UTD è stato abilitato correttamente:

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

Passaggio 16 (facoltativo). Definire l'azione per il motore di snort UTD durante un guasto (piano dati UTD)

Router(config-engine-std)#fail open
Router(config-engine-std)#end

Nota: L'opzione 'fail close' interrompe tutto il traffico del router quando il motore UTD si guasta e l'opzione 'fail open' consente al traffico del router di continuare a scorrere senza ispezione IPS/IDS durante gli errori UTD. L'opzione predefinita è 'fail open'.

Passaggio 17. Salvare la configurazione del router.

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

Port-Scan Inspector per il motore dello snort UTD

Il motore di snort UTD dispone di funzionalità di Port-Scan. Una port scan è una forma di ricognizione della rete che viene spesso utilizzata dagli attaccanti come preludio a un attacco. In una scansione delle porte, un utente malintenzionato invia pacchetti progettati per verificare i protocolli e i servizi di rete su un host di destinazione. Esaminando i pacchetti inviati in risposta da un host, l'autore dell'attacco può determinare quali porte sono aperte sull'host e, direttamente o per deduzione, quali protocolli applicativi sono in esecuzione su queste porte.

Di per sé, una scansione della porta non è una prova di un attacco. Gli utenti autorizzati della rete possono utilizzare tecniche di scansione delle porte simili a quelle utilizzate dagli utenti non autorizzati.

Il controllo port_scan rileva quattro tipi di portscan e controlla i tentativi di connessione sui protocolli TCP, UDP, ICMP e IP. Rilevando i modelli di attività, l'ispettore port_scan consente di determinare quali scansioni delle porte potrebbero essere dannose.

alt-tag-for-image

Le scansioni delle porte sono in genere suddivise in quattro tipi in base al numero di host di destinazione, al numero di host di scansione e al numero di porte scansionate.

alt-tag-for-image

Regole di controllo Port Scan

La tabella 3. riportata di seguito mostra le regole dell'ispettore port scan.

alt-tag-for-image

Livelli Sensibili Della Scansione Delle Porte

La finestra di ispezione port_scan fornisce tre livelli di scansione predefiniti per il motore di snort UTD:

Scansione_porta alta
Low_port_scan
Scansione_porta media

Configurazione di Port-Scan Inspector per il motore di snort UTD

Passaggio 1. Configurare il motore standard UTD (Unified Threat Defense) (piano di servizio)

Router#configure terminal
Router(config)#utd engine standard

Passaggio 2. Abilitare l'ispezione delle minacce per il motore di snort UTD.

Router(config-utd-eng-std)#threat-inspection

Passaggio 3. Quindi, abilitare port_scan.

Router(config-utd-engstd-insp)#port-scan

Passaggio 4. Impostare il livello di distinzione port_scan. Le opzioni disponibili sono high, medium o low.

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

Passaggio 5. Dopo aver abilitato port_scan e configurato con un livello riservato per il motore di snort UTD, usare il comando 'show utd engine standard config' per verificare la configurazione di port_scan.

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Verifica

Controllare lo stato degli indirizzi IP e delle interfacce del gruppo di porte virtuali

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

Controllare la configurazione delle interfacce VirtualPortGroup

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

Controllare la configurazione di hosting delle app

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

Controllare l'attivazione di iox

Router#show running-config | i iox
iox

Verifica lo stato di hosting dell'app

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

Verifica i dettagli di hosting dell'app

Eseguire il comando 'show app-hosting detail' per confermare lo stato del motore di snort UTD, la versione del software in esecuzione, la RAM, l'utilizzo della CPU e del disco, le statistiche di rete e la configurazione DNS in uso.

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

Verificare la versione di compatibilità del motore di snort UTD rispetto alla versione IOS-XE del router in esecuzione

Utilizzare il comando 'show utd engine standard version' per confermare la versione di compatibilità del motore di snort UTD con la versione del router IOS-XE in esecuzione.

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

Controllare lo stato del motore di snort UTD

Opzione 1. Eseguire il comando 'show utd engine standard status' per confermare lo stato del motore UTD snort, lo stato in 'Green', lo stato in 'Green' e lo stato generale del sistema in 'Green', per indicare che il motore UTD snort è in funzione.

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

Nota: Quando il motore di snort UTD è sovrascritto, lo stato del canale di difesa delle minacce cambia tra verde e rosso. La corsia di dati UTD scarta tutti gli altri pacchetti se è stata configurata la chiusura a errori oppure inoltra i pacchetti non ispezionati se la chiusura a errori non è stata configurata (impostazione predefinita). Quando il piano di servizio UTD viene ripristinato da un'iscrizione in eccesso, risponde al piano dati UTD con stato verde.

Opzione 2. Usare il comando 'show platform software utd global' per ottenere un breve riepilogo dello stato di funzionamento del motore di snort UTD.

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

Controllare la configurazione del motore di snort UTD

Opzione 1. Eseguire il comando 'show utd engine standard config' per visualizzare i dettagli di configurazione del motore di snort UTD, la modalità operativa, la modalità policy, la configurazione di aggiornamento della firma, la configurazione di registrazione, la lista bianca e lo stato di scansione della porta.

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

Opzione 2. Usare il comando 'show running-config | b engine' per visualizzare la configurazione di esecuzione del motore di snort UTD.

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

Controllare lo stato di aggiornamento della firma dello snort IPS del motore di snort UTD

1. Eseguire il comando 'show utd engine standard threat-survey signature update status' per controllare lo stato di aggiornamento della firma dello snort IPS.

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. Utilizzare il comando 'utd threat-survey signature update' per eseguire un aggiornamento manuale della firma degli snort IPS utilizzando la configurazione esistente del server applicata al motore degli snort UTD per i download delle firme.

Router#utd threat-inspection signature update

3. Utilizzare il comando 'utd threat-survey signature update server [cisco, url] nomeutente xxxxx password xxxxx force' per forzare un aggiornamento manuale della firma dello snort IPS con i parametri del server specificati.

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

Come verificare se il motore di snort UTD sta ispezionando il traffico

Utilizzare i seguenti comandi show per monitorare il traffico elaborato dal motore di snort UTD e per controllare le statistiche relative all'ispezione del traffico.

Opzione 1. Dall'output 'show utd engine standard statistics' riportato di seguito, i contatori 'received' e 'analyse' aumentano quando il traffico viene elaborato dal motore di snort UTD:

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

Opzione 2. Nell'output seguente 'show platform hardware qfp active feature utd status', i contatori 'decaps' e 'Devit' vengono incrementati quando il traffico viene reindirizzato dal router al motore dello snort UTD per l'ispezione del traffico e i contatori 'encaps' e 'Reinject' vengono incrementati quando il traffico viene reindirizzato dal motore dello snort UTD al router:

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

Opzione 3. Dall'output 'show utd standard statistics internal' riportato di seguito, i contatori 'received' e 'analyst' aumentano quando il traffico viene reindirizzato dal router al motore di snort UTD per l'ispezione del traffico. Inoltre, questo output mostrerà ulteriori dettagli e statistiche sul traffico ispezionato dal motore di snort UTD:

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

Come verificare se il motore di snort UTD ha attivato una firma di snort IPS

Utilizzare i comandi show seguenti per monitorare le firme IPS attivate, gli eventi IPS/IDS generati e gli indirizzi IP di origine e di destinazione interessati.

Opzione 1. Utilizzare il comando "show utd engine standard logging events [threat-survey]" per cercare gli eventi IPS/IDS:

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

Opzione 2. Utilizzare il comando show utd engine standard logging statistics threat-survey' per cercare le prime firme snort IPS attivate nelle ultime 24 ore e il numero di volte in cui ogni firma è stata attivata:

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

Opzione 3. Utilizzare il comando show utd engine standard logging statistics threat-survey detail per cercare le prime firme snort IPS attivate nelle ultime 24 ore, il numero di volte in cui ciascuna firma è stata attivata e gli indirizzi IP di origine e destinazione che hanno attivato la firma:

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1

Opzione 4. Il motore di snort UTD controlla il traffico e segnala gli eventi a un server di log esterno o al syslog IOS. L'abilitazione della registrazione nel syslog di IOS può influire sulle prestazioni a causa del volume potenziale dei messaggi di log. Per la raccolta e l'analisi dei log è possibile utilizzare strumenti di monitoraggio esterni di terze parti, che supportano i log Snort.

Ogni volta che il motore di snort UTD genera un evento IPS/IDS, il router visualizza un messaggio syslog simile al seguente:

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

Nota: I log del motore di snort UTD vengono visualizzati nella CLI di Router IOSd, quando il syslog di registrazione è abilitato nella configurazione standard del motore di snort UTD.

Quando il motore di snort UTD è configurato per l'invio dei log a un server syslog esterno, i log del motore di snort UTD dovrebbero essere visualizzati nel server syslog remoto come indicato di seguito:

alt-tag-for-image

Come visualizzare le firme degli snort IPS attivi

Utilizzare i comandi seguenti per visualizzare le firme degli snort IPS Attivo, Rilasciato e Avviso per il motore di snort UTD, a seconda della configurazione dei criteri utilizzata (Bilanciato, Connettività o Sicurezza).

Opzione 1. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio di sicurezza.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

Opzione 2. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio di connettività.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

Opzione 3. Procedere come segue per visualizzare l'elenco delle firme degli snort IPS attivi per il criterio Bilanciato.

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

Nota: Per visualizzare le firme degli snort IPS attivi per il criterio Bilanciato, Connettività o Sicurezza, è necessario che il motore degli snort UTD esegua la modalità di criterio corrispondente che si desidera visualizzare.

Risoluzione dei problemi

1. Verificare che Cisco Integrated Services Router (ISR) esegua XE 16.10.1a e versioni successive (per il metodo IOx).

2. Verificare che Cisco Integrated Services Router (ISR) sia concesso in licenza con la funzionalità SecurityKey9 abilitata.

3. Verificare che il modello hardware dell'RCI sia conforme al profilo di risorse minimo.

4. Il motore di snort UTD non è compatibile con il cookie SYN-cookie del firewall basato su zone e con il NAT64 (Network Address Translation)

5. Verificare che il servizio motore di snort UTD sia avviato dopo l'installazione.

6. Durante il download manuale del pacchetto di firma, assicurarsi che il pacchetto abbia la stessa versione del motore Snort. L'aggiornamento del pacchetto di firma potrebbe non riuscire se le versioni non corrispondono.

7. In caso di problemi di prestazioni, usare 'show app-hosting resource' e 'show app-hosting usage appid ''UTD-NAME' per controllare lo spazio di CPU, memoria e archiviazione UTD.

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

Avviso: Contattare Cisco TAC, se si conferma che il motore UTD Snort sta riscontrando un elevato utilizzo della CPU, della memoria o del disco.

Debug

Per risolvere il problema, usare i comandi di debug elencati di seguito per ottenere ulteriori dettagli dal motore di snort UTD.

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

Avviso: L'esecuzione dei comandi di debug durante le ore di produzione può aumentare in modo significativo l'utilizzo della CPU, della memoria o del disco sul motore UTD Snort o sul router, con potenziali effetti sul traffico e sulla stabilità del sistema. Usare con moderazione i comandi di debug, preferibilmente durante un intervento di manutenzione, e disabilitarli subito dopo aver raccolto i dati richiesti. Se si rileva un utilizzo elevato delle risorse o un impatto sul servizio, interrompere il debug e contattare Cisco TAC.