この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、IOx方式を使用して、Ciscoサービス統合型ルータ(ISR)ISR1K、ISR4K、CSR、およびISRvシリーズにUTD Snort IPS Engineを導入する方法について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
VMANメソッドは廃止されました。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
Unified Threat Defense(UTD)Snort IPS機能は、シスコサービス統合型ルータISR1K、ISR4K、CSR、およびISRvシリーズのブランチオフィスで、侵入防御システム(IPS)または侵入検知システム(IDS)を有効にします。この機能は、オープンソースのSnortを使用して、IPSまたはIDS機能を有効にします。
Snortは、リアルタイムのトラフィック分析を実行し、IPネットワークで脅威が検出されたときにアラートを生成するオープンソースのIPSです。また、プロトコル分析、コンテンツの調査やマーチングを実行し、バッファオーバーフローやステルスポートスキャンなどのさまざまな攻撃やプローブを検出できます。UTD Snortエンジンは、シスコサービス統合型ルータ(ISR1K、ISR4K、CSR、およびISRvシリーズ)の仮想コンテナサービスとして動作します。
UTD Snort IPSは、シスコサービス統合型ルータ(ISR1K、ISR4K、CSR、およびISRv)シリーズのIPSまたはIDS機能を提供します。
ネットワーク要件に基づくUTD Snort IPSはIPSまたはIDSとして有効にできます。
UTD Snort IPSは、ルータISR1K、ISR4K、CSR、およびISRvシリーズのサービスとして動作します。サービスコンテナは、仮想化テクノロジーを使用して、アプリケーション用のシスコデバイス上にホスティング環境を提供します。Snortトラフィックインスペクションは、インターフェイス単位またはサポートされているすべてのインターフェイス上でグローバルに有効になります。
UTDのSnortエンジンIPSソリューションは、次のエンティティで構成されています。
Snort sensor:トラフィックを監視し、設定されたセキュリティポリシー(シグニチャ、統計情報、プロトコル分析など)に基づいて異常を検出し、アラートメッセージをアラート/レポートサーバに送信します。Snortセンサーは、ルータ上に仮想コンテナサービスとして導入されます。
シグニチャストア:定期的に更新されるCiscoシグニチャパッケージをホストします。これらのシグニチャパッケージは、定期的またはオンデマンドでSnortセンサーにダウンロードされます。検証されたシグニチャパッケージは、Cisco.comに公開されます。設定に基づいて、シグニチャパッケージはCisco.comまたはローカルサーバからダウンロードできます。
次のドメインは、cisco.comからシグニチャパッケージをダウンロードする過程でルータによってアクセスされます。
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
シグニチャパッケージは、Snortセンサーで取得する前に、Cisco.comクレデンシャルを使用して、Cisco.comからローカルサーバに手動でダウンロードする必要があります。
アラート/レポートサーバ:Snortセンサーからアラートイベントを受信します。Snortセンサーによって生成されたアラートイベントは、IOS syslogまたは外部syslogサーバ、あるいはIOS syslogと外部syslogサーバの両方に送信できます。Snort IPSソリューションには、外部ログサーバはバンドルされていません。
管理:Snort IPSソリューションを管理します。管理はIOS CLIを使用して設定します。Snort Sensorには直接アクセスできず、すべての設定はIOS CLIを使用してのみ実行できます。
UTD Snortエンジンのライセンス要件は次のとおりです。
a)コミュニティシグニチャパッケージ:コミュニティシグニチャパッケージのルールセットでは、脅威に対するカバレッジが制限されています。
b)加入者ベースのシグニチャパッケージ:加入者ベースのシグニチャパッケージのルールセットは、脅威に対する最適な保護を提供します。 また、セキュリティインシデントや新しい脅威の予防的な検出に対応して、更新されたシグニチャへの迅速なアクセスを提供します。このサブスクリプションはシスコによって完全にサポートされ、パッケージはCisco.comで継続的に更新されます。
UTD Snortサブスクライバシグニチャパッケージはsoftware.cisco.comからダウンロードできます。Snortシグニチャ情報はsnort.orgにあります。
さらに、次のsnort.org Rule Documentation Searchツールを使用して、特定のSnort IPSシグニチャIDを検索できます。
UTD Snortエンジンでサポートされるプラットフォームは次のとおりです。
UTDのSnortエンジンには、次の制限事項があります。
UTDのSnortエンジンには、次の制限事項があります。
Cisco 4000シリーズISRでブーストライセンスを有効にすると、Snort IPSの仮想サービスコンテナを設定できなくなります。
ゾーンベースファイアウォールのSYN-cookie機能と互換性がありません。
ネットワークアドレス変換64(NAT64)はサポートされていません。
オープンソースSnortでのSNMPポーリングには、SnortSnmpPluginが必要です。SnortSnmpプラグインがUTDにインストールされていないため、Snort IPSはSNMPポーリング機能またはMIBをサポートしません。
次に、CiscoルータにUTD Snortエンジンをインストールするために使用するUTD Snort IPS Engine Software イメージファイルをダウンロードするシスコのリンクを示します。その他に、実行されているUTD Snortエンジンのバージョンに応じて、UTD Snort IPSシグニチャをダウンロードするためのUTD Snort Subscriber Signature Packageファイルが用意されています。
注:UTD Snortエンジンをインストールする前に考慮する必要がある前提条件。物理ISRの場合は、IOS-XEバージョン3.16.1以降を実行している必要があります。CSRの場合はバージョン16.3.1以降を実行し、ISRv(ENCS)の場合はバージョン16.8.1以降を実行する必要があります。Catalyst 8300(バージョン17.3.2以降)、8200(バージョン17.4.1以降)、および8000V(バージョン17.4.1以降)用。
注:ユーザがソフトウェアダウンロードページから手動でUTD Snort Subscriber Signature Packageをダウンロードする場合、パッケージのバージョンがSnortエンジンのバージョンと同じであることを確認する必要があります。たとえば、Snortエンジンのバージョンが2982の場合、ユーザは同じバージョンのシグニチャパッケージをダウンロードする必要があります。バージョンが一致しない場合、シグニチャパッケージのアップデートは拒否され、失敗します。
注:シグニチャパッケージが更新されると、エンジンが再起動し、データプレーンのフェールオープン/フェールクローズの設定に応じて、トラフィックが短時間中断されるか、検査をバイパスします。
ステップ 1:UTD SnortエンジンのVirtualPortGroupインターフェイスを設定し、2つのポートグループを設定します。
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
注:UTD Snortエンジンが外部syslogサーバに到達できるようにするために、またcisco.comがシグニチャ更新ファイルを取得できるようにするために、VirtualPortgroup0に必要なNATおよびルーティングを設定してください。
ステップ2:グローバルコンフィギュレーションモードでIOx環境を有効にします。
Router(config)#iox
ステップ 3:次に、仮想サービスをアクティブ化し、ゲストIPを設定します。このためには、vnic設定でアプリケーションホスティングを設定します。
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
ステップ 4(任意): リソースプロファイルを設定します。
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
注:UTD Snortエンジン仮想サービスは、低、中、高の3つのリソースプロファイルをサポートします。これらのプロファイルは、仮想サービスを実行するために必要なCPUとメモリリソースを示します。これらのリソースプロファイルの1つを設定できます。リソースプロファイルの設定はオプションです。プロファイルを設定しない場合、仮想サービスはデフォルトのリソースプロファイルでアクティブ化されます。リソースプロファイルの詳細については、『ISR4KおよびCSR1000vのCisco仮想サービスリソースプロファイル』を参照してください。
注:このオプションはISR1Kシリーズでは使用できません。
ステップ 5: UTD Snort IPSエンジンソフトウェアファイルをルータのフラッシュにコピーした後、次のようにUTD.tarファイルを使用してアプリケーションホスティングをインストールします。
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
注:UTDエンジンのバージョンはUTDファイル名で指定します。インストールするUTDエンジンのバージョンが、シスコルータで実行されているIOS-XEバージョンと互換性があることを確認してください
次に、UTDサービスが正しくインストールされたことを示すsyslogが表示されます。
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
注:「show app-hosting list」を使用すると、ステータスが「Deployed」と表示されます。
手順 6:アプリケーションホスティングサービスを開始します。
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
注:アプリケーションホスティングサービスの開始後、アプリケーションホスティングのステータスは「Running」になります。 詳細を表示するには、「show app-hosting list」または「show app-hosting detail」を使用します。
次に、UTDサービスが正しくインストールされたことを示すsyslogメッセージが表示されます。
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
インストールが成功したら、サービスプレーンでUTD Snortエンジンを設定する必要があります。UTDのSnortエンジンは、侵入防御システム(IPS)または侵入検知システム(IDS)としてトラフィックインスペクション用に設定できます。
警告:ルータで「securityk9」ライセンス機能が有効になっていることを確認してから、UTDサービスプレーンの設定に進んでください。
ステップ 1:Unified Threat Defense(UTD)標準エンジン(サービスプレーン)の設定
Router#configure terminal
Router(config)#utd engine standard
ステップ 2:リモートサーバとIOSd syslogへのUTD Snortエンジンのロギングを有効にします。
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
注:UTD Snort IPSはトラフィックを監視し、イベントを外部ログサーバまたはIOS syslogに報告します。IOS syslogへのロギングを有効にすると、ログメッセージの潜在的な量が原因でパフォーマンスに影響を与える可能性があります。ログの収集と分析には、Snortログをサポートするサードパーティ製の外部監視ツールを使用できます。
ステップ 3:Snortエンジンの脅威検査を有効にします。
Router(config-utd-eng-std)#threat-inspection
ステップ 4:Snortエンジンの動作モードとして脅威検出(IDS)または侵入防御システム(IPS)を設定します。
Router(config-utd-engstd-insp)#threat [protection,detection]
注:IPSの場合はキーワード「protection」、IDSモードの場合はキーワード「detection」を使用してください。デフォルトモードは「検出」です。
ステップ 5:Snortエンジンのセキュリティポリシーを設定します。
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
注:デフォルトのポリシーは'balanced'です。選択したポリシーに応じて、SnortエンジンはSnortエンジン保護のIPSシグニチャをアクティブまたは非アクティブにします。
ステップ 6(オプション): UTD許可リスト(ホワイトリスト)の設定を有効にします。
Router#configure terminal
Router(config)#utd threat-inspection whitelist
ステップ 7(オプション): ホワイトリストに含めるIPS SnortシグニチャIDを設定します。
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
注:シグニチャIDは、抑制する必要があるアラートからコピーできます。シグニチャIDを複数設定できます。ホワイトリストに追加する必要があるシグニチャIDごとに、この手順を繰り返します。
注:許可リストのシグニチャIDを設定した後(ホワイトリスト)、UTD Snortエンジンは、アラートやドロップなしでフローがデバイスをパススルーすることを許可します。
注:ジェネレータID(GID)は、侵入ルールを評価してイベントを生成するサブシステムを識別します。標準テキスト侵入ルールのジェネレータIDは1で、共有オブジェクト侵入ルールのジェネレータIDは3です。また、さまざまなプリプロセッサに対するルールもいくつかあります。次の表1を参照してください。Generator IDsはGIDを説明します。
ステップ 8(オプション): 脅威検査の設定で許可リストを有効にします。
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
注:ホワイトリストのシグニチャIDを設定すると、Snortエンジンによって、アラートやドロップを発生させることなくフローをデバイスに通過できるようになります
ステップ 9:Snortシグニチャを自動的にダウンロードするようにシグニチャの更新間隔を設定します。
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
注:最初の数字は24時間形式の時間を定義し、2番目の数字は分を示します。
警告: UTDシグニチャのアップデートでは、アップデート時に短いサービス中断が生成されます。
ステップ 10:UTDのSnortエンジンシグニチャ更新サーバパラメータを設定します。
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
注:シグニチャのアップデート用にCiscoサーバを指し示すキーワード「cisco」を使用するか、またはアップデートサーバのカスタムhttp/httpsパスを定義するキーワード「url」を使用します。シスコサーバでは、シスコのユーザ名とパスワードのクレデンシャルを入力する必要があります。
注:IPS SnortシグニチャをシスコサーバからダウンロードするようにDNSサーバが設定されていることを確認します。 URLがIPアドレスとして指定されていない場合、Snortコンテナは、(ルータに設定されたDNSサーバ上で)ドメイン名のルックアップを実行して、Cisco.comまたはローカルサーバからの自動シグニチャアップデートの場所を解決します。
注:Snortシグニチャパッケージをダウンロードするために、インターフェイスVirtualPortGroup0に割り当てられたUTDモジュールのMGMT IPアドレスを、ルータのNAT設定に含めて、モジュールがCiscoサーバに到達できるように設定する必要があります。
ステップ 11UTDのSnortエンジンのロギングレベルと脅威検査アラート統計情報のロギングをイネーブルにします。
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
注:Cisco IOS XE Fuji 16.8リリース以降では、次のコマンド「show utd engine standard logging threat-inspection statisticsdetail」を実行すると、脅威検査アラートの要約された詳細を取得できます。 UTD Snortエンジンで脅威検査アラート統計情報のロギングが有効になっている場合のみ。
ステップ 12utdサービスを有効にします。
Router#configure terminal
Router(config)#utd
ステップ 13(オプション): VirtualPortGroupインターフェイスからUTDサービスにデータトラフィックをリダイレクトします。
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
注:リダイレクションが設定されていない場合、自動的に検出されます。
ステップ 14:UTD IPSエンジンでルータ上のすべてのレイヤ3インターフェイスからのトラフィックを検査できるようにします。
Router(config-utd)#all-interfaces
ステップ 15:エンジン標準を有効にします。
Router(config-utd)#engine standard
次に、UTD Snortエンジンが適切に有効になったことを示すsyslogメッセージが表示されます。
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
ステップ 16(オプション): 障害発生時のUTD Snortエンジンのアクションの定義(UTDデータプレーン)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
注:「fail close」オプションは、UTDエンジンに障害が発生したときにルータトラフィックをすべてドロップします。「fail open」オプションは、UTDの障害時にIPS/IDS検査を行わずにルータトラフィックのフローを継続できるようにします。デフォルトのオプションは'fail open'です。
ステップ 17:ルータの設定を保存します。
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
UTDのSnortエンジンにはポートスキャン機能があります。 ポートスキャンはネットワーク偵察の一種で、攻撃者が攻撃の前兆としてよく使用します。ポートスキャンでは、攻撃者はターゲットホスト上のネットワークプロトコルとサービスをプローブするように設計されたパケットを送信します。攻撃者は、ホストからの応答として送信されたパケットを調べることで、ホストで開いているポートを判別し、それらのポートで実行されているアプリケーションプロトコルを直接または推論して判別できます。
単独では、ポートスキャンは攻撃の証拠にはなりません。ネットワーク上の正規のユーザが、攻撃者が使用する同様のポートスキャン技術を使用する可能性があります。
por_scan インスペクタは、4種類のポートスキャンを検出し、TCP、UDP、ICMP、およびIPプロトコルでの接続試行を監視します。アクティビティのパターンを検出することにより、port_scanインスペクタは、悪意のあるポートスキャンを特定するのに役立ちます。
ポートスキャンは一般に、対象ホストの数、スキャンホストの数、スキャンされるポートの数に基づいて4つのタイプに分類されます。
次の表3.は、ポートスキャンインスペクタのルールを示しています。
port_scanインスペクタには、UTD Snortエンジン用に3つのデフォルトのスキャン機密レベルが用意されています。
ステップ 1:Unified Threat Defense(UTD)標準エンジン(サービスプレーン)の設定
Router#configure terminal
Router(config)#utd engine standard
ステップ 2:UTD Snortエンジンの脅威検査を有効にします。
Router(config-utd-eng-std)#threat-inspection
ステップ 3:次に、port_scanを有効にします。
Router(config-utd-engstd-insp)#port-scan
ステップ 4:port_scan sensitiveレベルを設定します。使用できるオプションは、high、medium、またはlowです。
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
ステップ 5:port_scanを有効にし、UTD Snortエンジンで機密レベルを設定したら、「show utd engine standard config」コマンドを使用してport_scan設定を確認します。
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
show app-hosting detailコマンドを発行して、UTD Snortエンジンの状態、実行中のソフトウェアバージョン、RAM、CPUおよびディスクの使用率、ネットワーク統計情報、および設定されているDNSを確認します。
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
show utd engine standard versionコマンドを使用して、稼働しているIOS XEルータバージョンに対するUTD Snortエンジンの互換性バージョンを確認します。
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
オプション 1「show utd engine standard status」コマンドを発行して、UTD Snortエンジンのステータス、「緑」のステータス、「緑」のヘルス、「緑」の全体的なシステムステータスを確認し、UTD Snortエンジンが動作可能であることを示します。
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
注:UTD Snortエンジンがオーバーサブスクライブになると、脅威対策チャネルの状態が緑から赤に変わります。UTDデータプレーンでは、fail-closeが設定されている場合は以降のパケットがすべて廃棄され、fail-closeが設定されていない場合(デフォルト)は検査されていないパケットが転送されます。 UTDサービスプレーンがオーバーサブスクリプションから回復すると、UTDデータプレーンに緑色のステータスで応答します。
オプション 2show platform software utd globalコマンドを発行して、UTD Snortエンジンの動作状態の概要を取得します。
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
オプション 1「show utd engine standard config」コマンドを発行して、UTD Snortエンジン設定の詳細、動作モード、ポリシーモード、シグニチャ更新設定、ロギング設定、ホワイトリスト、およびポートスキャンのステータスを表示します。
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
オプション 2「show running-config | b engine」コマンドを発行して、設定されているUTD Snortエンジンの実行コンフィギュレーションを表示します。
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. 「show utd engine standard threat-inspection signature update status」コマンドを発行して、IPS Snortシグニチャのアップデート状態を確認します。
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. 「utd threat-inspection signature update」コマンドを発行し、シグニチャのダウンロード用にUTD Snortエンジンに適用された既存のサーバ設定を使用してIPS Snortシグニチャの手動更新を実行します。
Router#utd threat-inspection signature update
3. 「utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force」コマンドを発行し、指定したサーバパラメータで手動のIPS Snortシグニチャ更新を強制します。
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
次のshowコマンドを使用して、UTD Snortエンジンによって処理されるトラフィックを監視し、トラフィックインスペクションに関連する統計情報を確認します。
オプション 1次のshow utd engine standard statisticsの出力では、UTD Snortエンジンによってトラフィックが処理されている場合に、「received」カウンタと「analyzed」カウンタが増加します。
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
オプション 2次のshow platform hardware qfp active feature utd statsの出力では、トラフィックがルータからUTD Snortエンジンにトラフィック検査のためにリダイレクトされる場合は'decaps'カウンタと'Divert'カウンタが増加し、UTD Snortエンジンからルータにトラフィックがリダイレクトされる場合は'encaps'カウンタと'Reinject'カウンタが増加します。
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
オプション 3次のshow utd engine standard statistics internalの出力では、トラフィックを検査するためにルータからUTD Snortエンジンにトラフィックがリダイレクトされた場合に、「received」カウンタと「analyzed」カウンタが増加します。それに加えて、次の出力には、UTD Snortエンジンによって検査されたトラフィックに関する詳細と統計が表示されます。
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
次のshowコマンドを使用して、トリガーされるSnort IPSシグニチャ、生成されるIPS/IDSイベント、および関係する送信元と宛先のIPアドレスを監視します。
オプション 1IPS/IDSイベントを検索するには、「show utd engine standard logging events [threat-inspection]」コマンドを使用します。
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
オプション 2「show utd engine standard logging statistics threat-inspection」コマンドを使用して、過去24時間にトリガーされた上位のIPS Snortシグニチャを探し、各シグニチャがトリガーされた回数を確認します。
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
オプション 3「show utd engine standard logging statistics threat-inspection detail」コマンドを使用して、過去24時間にトリガーされた上位のIPS Snortシグニチャ、各シグニチャのトリガー回数、およびシグニチャをトリガーした送信元および宛先IPアドレスを検索します。
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
オプション 4 UTD Snortエンジンはトラフィックを監視し、イベントを外部ログサーバまたはIOS Syslogに報告します。IOS syslogへのロギングを有効にすると、ログメッセージの潜在的な量が原因でパフォーマンスに影響を与える可能性があります。ログの収集と分析には、Snortログをサポートするサードパーティ製の外部監視ツールを使用できます。
UTDのSnortエンジンでIPS/IDSイベントが生成されるたびに、ルータでは次のようなsyslogメッセージが表示されます。
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
注:UTD Snortエンジンのログは、UTD Snortエンジンのutdエンジン標準設定でlogging syslogが有効になっている場合に、ルータのIOSd CLIに表示されます。
外部syslogサーバにログを送信するようにUTD Snortエンジンが設定されている場合、リモートsyslogサーバにUTD Snortエンジンのログが次のように表示されます。
次のコマンドを使用して、使用するポリシー設定(Balanced、Connectivity、またはSecurity)に応じて、UTD Snortエンジンのアクティブ、ドロップ、およびアラートIPS Snortシグニチャを表示します。
オプション 1次の手順に従って、セキュリティポリシーのアクティブなIPS Snortシグニチャリストを表示します。
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
オプション 2次の手順に従って、接続ポリシーのアクティブなIPS Snortシグニチャリストを表示します。
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
オプション 3次の手順に従って、BalancedポリシーのアクティブなIPS Snortシグニチャリストを表示します。
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
注:Balanced、Connectivity、またはSecurityポリシーのアクティブなIPS Snortシグニチャを表示するには、UTD Snortエンジンが、表示する対象の対応するポリシーモードを実行している必要があります。
1. Cisco Integrated Services Router(ISR;サービス統合型ルータ)でXE 16.10.1a以降(IOx方式の場合)が稼働していることを確認します。
2. Cisco Integrated Services Router(ISR)のSecurityk9機能が有効になっていることを確認します。
3. ISRハードウェアモデルが最小リソースプロファイルに準拠していることを確認します。
4. UTD Snortエンジンは、ゾーンベースファイアウォールSYN-cookieおよびネットワークアドレス変換64(NAT64)と互換性がありません
5. インストール後にUTD Snortエンジンサービスが起動していることを確認します。
6. シグニチャパッケージの手動ダウンロード中に、パッケージのバージョンがSnortエンジンのバージョンと同じであることを確認します。バージョンが一致しない場合、シグニチャパッケージのアップデートが失敗する可能性があります。
7. パフォーマンスに問題がある場合は、UTDのCPU、メモリ、およびストレージスペースを確認するために、'show app-hosting resource'および'show app-hosting utilization appid "UTD-NAME'を使用します。
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
警告:Cisco TACに連絡してください。UTD SnortエンジンでCPU、メモリ、またはディスクの使用率が高くなっている場合に確認してください。
トラブルシューティングの目的で、次に示すdebugコマンドを使用して、UTD Snortエンジンからさらに詳細な情報を収集します。
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
警告:実稼働時間中にdebugコマンドを実行すると、UTD SnortエンジンまたはルータのCPU、メモリ、またはディスク使用率が大幅に増加し、トラフィックとシステムの安定性に影響を与える可能性があります。debugコマンドは慎重に(できればメンテナンスウィンドウの間に)使用し、必要なデータを収集した直後に無効にしてください。リソース使用率の上昇またはサービスへの影響が確認された場合は、デバッグを停止し、Cisco TACにお問い合わせください。
UTD Snort IPSの導入に関連するその他のドキュメントについては、次のサイトを参照してください。
ISR4KおよびCSR1000v用のシスコ仮想サービスリソースプロファイル
ルータ上のSnort IPS – ステップバイステップの設定
Ciscoガイド – Snort IPSのトラブルシューティング
Snortオープンソース侵入防御システム(IPS)のWebページ
cEdgeルータへのUTDセキュリティ仮想イメージのインストール
CSCwf57595 ISR4K Snort IPSが展開されない(ハードウェアに十分なプラットフォームリソースがないため)
改定 | 発行日 | コメント |
---|---|---|
3.0 |
17-Sep-2025
|
初版リリース |
1.0 |
11-Jul-2023
|
初版 |