Questo documento contiene le domande frequenti (FAQ) sul Cisco Secure Intrusion Detection System (IDS), noto in precedenza come NetRanger, versione 3.1 e precedenti.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
R. Per ulteriori informazioni su Cisco Secure IDS, consultare la documentazione completa del prodotto.
R. È necessario aggiornare le firme di Sensor e Management Platform separatamente. Si noti che il software di gestione non è in grado di apprendere le firme dal sensore, pertanto deve essere aggiornato. Scaricare il file dell'aggiornamento della firma più recente per ciascuna applicazione dai Cisco Secure Downloads (solo utenti registrati). I file Leggimi disponibili nello stesso percorso contengono istruzioni per la procedura di aggiornamento.
R. L'elenco delle firme IDS è disponibile su Cisco Secure Encyclopedia (solo utenti registrati).
R. Sul software di gestione IDS UNIX standalone Sensor and IDS, la password predefinita è "attack" per gli utenti netrangr e root. Quando si esegue il comando su per diventare l'utente root, la password predefinita è "attack". Sul blade IDSM (Intrusion Detection System Module), la password predefinita è "attack" per i ciscoid di nome utente.
R. È necessario un server FTP locale per poter caricare le configurazioni.
- Immettere questo comando dalla modalità diag sul pannello.
report systemstatus siteuser dir - Digitare y per continuare quando viene richiesto di continuare la generazione del report di sistema?.
- Digitare la password FTP dell'utente specificato quando richiesto. Al termine del processo, viene visualizzato un messaggio che indica se il processo non è riuscito o se il file è stato inviato.
R. I registri di installazione/aggiornamento sono disponibili nei seguenti percorsi:
I log di installazione di Director si trovano in /var/adm/nrInstall.log.
I registri di aggiornamento del Service Pack dei sensori si trovano in /usr/nr/sp-update/.
I log di aggiornamento della firma si trovano in /usr/nr/sig-update/.
R. IDS è disponibile solo per PIX 6.0 e versioni successive. Le firme sono contenute nei messaggi syslog da 400000 a 400051, definiti messaggi di firma Cisco Secure IDS. Fare riferimento alla documentazione dei PIX System Log Messages per ulteriori informazioni su ciascuna firma.
A. Iscriviti alle notifiche di aggiornamento attivo di Cisco IDS per ricevere avvisi e-mail relativi a notizie sui prodotti correlate a Cisco Secure IDS.
R. Nelle versioni precedenti alla 3.1, le opzioni di gestione sono Cisco Secure Policy Manager (CSPM) o UNIX Director. La differenza principale tra i due è che CSPM viene eseguito come applicazione indipendente su un server Windows, mentre UNIX Director viene eseguito su HP OpenView su un server UNIX Solaris. Con IDS 3.1, i Sensori possono anche essere gestiti tramite IDS Event Viewer (IEV) installato su un PC o tramite IDS Device Manager, che fa parte della versione 3.1 Sensor. Gestione periferiche è attivato per impostazione predefinita mediante SSL (Secure Sockets Layer) dopo l'impostazione del sensore.
R. Il software SDK non è disponibile al pubblico.
R. La versione 4.0 offre diverse nuove funzioni. La nuova funzionalità più evidente è un'interfaccia della riga di comando (CLI) simile a Cisco IOS®.
R. L'impostazione della velocità/duplex sui codici 3.x e 4.0 non è supportata e c'è un bug nella richiesta della funzione (ID bug Cisco CSCdy43054 (solo utenti registrati)). La funzione è disponibile nella versione 5.0 del codice, ora disponibile in Configurazione delle interfacce.
R. I clienti possono scaricare il file dell'aggiornamento alla versione 3.1 da Cisco Secure Downloads (solo utenti registrati).
R. I clienti possono scaricare il file di aggiornamento per la versione 3.0 da Cisco Secure Downloads (solo utenti registrati). Installare l'aggiornamento software nello stesso modo in cui gli aggiornamenti di service pack e firme sono installati nella versione 2.5. La procedura è descritta in dettaglio nella nota sulla configurazione del sensore Cisco IDS versione 3.0.
R. Il file di aggiornamento della versione 3.0 può essere scaricato dal sito Cisco Secure Downloads (solo utenti registrati), ma non può essere aggiornato prima della versione 2.5. Per eseguire l'aggiornamento dalla versione 2.2 alla versione 3.0, è necessario utilizzare il CD di aggiornamento/ripristino disponibile tramite il Product Upgrade Tool (solo utenti registrati). Il numero di parte del CD è IDS-SW-U.
Nota: per ordinare il CD di aggiornamento/ripristino è necessario disporre di un contratto di assistenza valido.
R. Verificare che la tastiera e il monitor utilizzati siano compatibili. Alcuni marchi e modelli non sono compatibili con Cisco Secure IDS e impediscono il corretto avvio del sensore IDS. Per ulteriori informazioni sul marchio, fare riferimento al documento Cisco Secure IDS Appliance Boot Failure.
R. Ognuno di questi file contiene una serie specifica di aggiornamenti o aggiunte software, come indicato dalle convenzioni di denominazione qui descritte.
L'aggiornamento del service pack per il software IDS Sensor Appliance contiene miglioramenti al software dell'applicazione principale IDS Sensor e correzioni di bug. Ad esempio, un file denominato IDSk9-sp-3.0-5-S17.bin include gli aggiornamenti alla versione software 3.0(5) più il set di firme numero 17.
Il file di aggiornamento della firma contiene solo gli aggiornamenti delle firme (impronte digitali degli attacchi). Ad esempio, un file denominato IDSk9-sig-3.0-5-S18.bin contiene il set di firme numero 18 per il software 3.0(5) Sensor.
I clienti possono scaricare questi file dal sito Cisco Secure Downloads (solo utenti registrati).
R. Accedere al sensore come utente netranger ed eseguire questo comando:
nrgetbulk
Si dovrebbe ricevere una risposta simile a "<IP_address> Active", che mostra l'indirizzo IP del dispositivo di shun usato per bloccare gli attacchi. Questo output mostra un esempio della sintassi del comando e della risposta prevista:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessÈ inoltre possibile accedere al router e usare il comando who per verificare se il sensore è collegato.
R. Questo messaggio di errore indica potenziali problemi con i file /usr/nr/etc/route e/o /usr/nr/etc/hosts del sensore. Il...I file /route definiscono le comunicazioni postofficed tra il sensore e il director. Il...I file /hosts definiscono i nomi e gli indirizzi IP di Sensori e Director.
È inoltre possibile accedere come utente root, eseguire il comando sysconfig-sensor e immettere nuovamente le informazioni sull'infrastruttura di comunicazione IDS.
R. Per ulteriori informazioni su questa procedura, consultare il documento sulla copia dei file di registro IP da visualizzare.
R. Configd è il daemon che elabora tutti i comandi sia sui director UNIX che sui sensori nella base di codice 2.2.x. Nella base di codice 2.5 e 3.0, questa funzionalità è stata assorbita negli altri daemon e il daemon configurato non esiste più.
R. Modificare il file /usr/nr/etc/daemons sul sensore per assicurarsi che nr.packetd sia presente nell'elenco dei daemon. Quindi arrestare e avviare i servizi.
A. L'interfaccia di controllo in alto è iprb1:, mentre l'interfaccia di sniffing in basso è iprb0:.
R. Il comando ifconfig deve restituire solo l'interfaccia di controllo. L'altra interfaccia (l'interfaccia di sniffing) è ancora utilizzata dal sensore, ma gli utenti non sono in grado di vederla. Se è necessario visualizzare questa interfaccia, eseguire il login come root e usare il comando ifconfig -a per determinare i nomi dell'interfaccia. Utilizzare il comando ifconfig <interface> plumb per controllare lo stato di un'interfaccia specifica.
R. L'hardcode della velocità dell'interfaccia sul sensore non deve essere necessario e non è supportato dal supporto tecnico Cisco. Se lo switch è impostato per la negoziazione automatica, l'interfaccia negozia la velocità con lo switch a cui è collegato. Il traffico tra la rete e il sensore è unidirezionale (in altre parole, il sensore riceve). Pertanto, in genere è adeguato se lo switch mostra che è stata negoziata la modalità 100 half-duplex (si presume che la porta dello switch sia 100 M).
R. Sì, ma è necessario aggiornare il software Director alla versione 2.2.3 o successiva. Gli utenti registrati possono scaricare questi file da Cisco Secure Downloads (solo utenti registrati).
A. Utilizzare il comando cat /usr/nr/VERSION e controllare il numero di versione contenuto nell'output.
Nota: l'output del comando nrvers su Director indica la versione dei daemon eseguiti su Director, ma non la versione del software Director stesso.
R. Accedere come utente netranger ed eseguire lo script /usr/nr/bin/director/nrCollectInfo per inviare le informazioni di configurazione a un file denominato /usr/nr/var/tmp/Report_For_Director.html.
R. Se IDS Director è pieno di errori e non è in grado di visualizzarli tutti, inizia a inserire un buffer in un file. Arrestare i daemon IDS e chiudere tutte le mappe OpenView aperte per eliminare il file. Eliminare il file /usr/nr/var/nrDirmap.buffer.default, quindi riavviare i daemon IDS e la mappa OpenView.
R. Nelle versioni IDS precedenti alla 2.2.2, la cosa più semplice da fare è eliminare il database OpenView. Il database si trova in /var/opt/OV/share/databases/openview. Completare la procedura seguente per eliminare il database OpenView.
- Chiudere tutte le mappe OpenView aperte con il comando ovstop, quindi arrestare i servizi IDS con il comando nrstop.
- Accedere come utente root e /usr/nr/bin/director/nrDeleteOVwDb.
- Rimuovere tutti i file "error.*" nella directory /usr/nr/var (ad esempio, errors.configd).
- Riavviare i servizi con il comando nrstart, quindi riavviare OpenView con il comando ovstart.
Nota: in Director versione 2.2.2 è possibile rimuovere solo la parte IDS del database OpenView anziché l'intero database. Questa procedura è descritta nella Guida alla configurazione di IDS Director.
R. Eseguire questo comando.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesVerificare che l'utente netranger sia il proprietario dei file, quindi riavviare i servizi IDS.
R. Il problema si verifica perché nrConfigure riconosce il processo inserito nel file daemons di Director (che non deve essere rilevato). Quando nrConfigure chiede a Director la versione come se si trattasse di un sensore, Director non può rispondere con una versione del sensore.
Completare questi passaggi per risolvere il problema.
- Modificare il file /usr/nr/etc/daemons e rimuovere le voci per nr.packetd, nr.sensord e nr.managed, poiché questi processi devono essere eseguiti solo sul sensore.
- Arrestare i servizi con il comando nrstop, quindi riavviare i servizi con il comando nrstart.
- Assicurarsi che nrConfigure sia stato chiuso.
- Avviare OpenView con il comando ovw.
- Selezionare Protezione > Avanzate > nrConfigura DB > Elimina per eliminare il database nrConfigure danneggiato.
- Alla richiesta di procedere, immettere yes.
- Evidenziare Director e tutti i Sensori nella finestra principale di OpenView.
- Selezionare Protezione > Avanzate > nrConfigura DB > Crea per creare un nuovo database nrConfigure con le versioni di configurazione correnti dei computer.
R. Gli utenti che eseguono l'applicazione IDS in UNIX Director possono eseguire anche altre applicazioni in OpenView. Ciò non è consigliabile, ma in alcuni casi non può essere evitato. Il problema è che nrdirmap è attivato per impostazione predefinita per ogni mappa OpenView, il che non è consigliabile quando altre applicazioni vengono eseguite su OpenView.
Completare questi passaggi in UNIX Director per modificare l'impostazione predefinita in modo da poter scegliere le mappe per le quali è abilitato nrdirmap.
- Accedere come utente netranger.
- Digitare cd $OV_REGISTRATION/C. (OV_REGISTRATION è parte della variabile di ambiente. Il percorso abituale è /etc/opt/OV/share/registration/C.)
- Digitare su root.
- Modificare il file nrdirmap e modificare la riga di comando come mostrato nell'output:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Salvare il file nrdirmap.
- Riciclare OpenView. Quando viene visualizzata una mappa con il comando ovw, digitare ps -ef | grep dirmap dovrebbe produrre risultati simili a quelli mostrati qui. Prendere nota della mappa del router con lo switch -d.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dPer impostazione predefinita, per le nuove mappe create in OpenView non è attivato nrdirmap. Se si desidera creare una mappa con nrdirmap installato, è necessario farlo dall'interfaccia utente di OpenView, come illustrato in questa procedura.
- Dal menu principale di OpenView, scegliere Mappa > Nuovo e immettere un nome per la nuova mappa.
- Sotto le applicazioni configurabili, dovrebbe essere visualizzato NetRanger/Director. Scegliere NetRanger/Director e fare clic su Configura per questa mappa.
- Per l'opzione "Attivare nrdirmap per questa mappa?", scegliere True per attivare nrdirmap.
- Selezionate Verifica (Verify) e fate clic su OK.
R. I livelli di gravità sono stati modificati nella versione 2.2.3 del Director per supportare solo l'intervallo da 1 a 5.
R. Attualmente CSPM versione 2.3i è in grado di gestire IDS Sensor, mentre CSPM 3.0 no. Se si utilizza CSPM per gestire il sensore e altri dispositivi Cisco Secure (ad esempio PIX, router), è necessario installare le due diverse versioni di CSPM (2.3i e 3.x) su due server Windows separati. È possibile utilizzare ognuno dei server per gestire i dispositivi corrispondenti: CSPM 2.3i per i sensori e CSPM 3.x per PIX, router e così via.
R. Fare riferimento a Configurazione di un sensore Cisco Secure IDS in CSPM per ulteriori informazioni su come configurare CSPM in modo da gestire il sensore IDS e garantire il funzionamento della comunicazione.
R. Il tuning implica la modifica di ciò che è necessario affinché una firma venga attivata (ad esempio il numero di host in una sweep) e non implica l'impostazione di azioni e livelli di gravità.
CSPM non è in grado di ottimizzare le firme per l'accessorio in alcuna versione. È possibile impostare solo le azioni e le severità di una firma. In altre parole, CSPM consente di impostare il livello di gravità e l'azione da associare alla firma, ma non di impostare il tipo di firma da attivare. Il SigWizMenu del sensore deve essere utilizzato per sintonizzare i sensori. SigWizMenu e CSPM possono essere entrambi utilizzati per configurare lo stesso sensore in quanto influiscono su parti diverse della configurazione.
Nota: se si utilizza UNIX Director versione 2.2.3 o successiva, l'utilità nrConfigure è in grado di configurare tutte le configurazioni di SigWizMenu. Dopo l'aggiornamento alla versione 2.2.3, utilizzare nrConfigure invece di SigWizMenu per ottimizzare le firme.