Cisco Integrated Services Router 1000, 4000, CSR 및 ISRv Series에 UTD Snort IPS 구축
목차
소개
이 문서에서는 IOx 방법을 사용하여 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에 UTD Snort IPS 엔진을 구축하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈(8GB DRAM 이상)
- 기본 IOS-XE 명령 지식
- 기본 UTD Snort IPS 지식
- 1년 또는 3년의 시그니처 IPS Snort 서브스크립션이 필요합니다.
- IOS-XE 16.10.1a 이상
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 버전 17.9.3a를 실행하는 ISR1K, ISR4K, CSR 및 ISRv 시리즈
- UTD snort engine 버전 17.9.3a
- ISR1K, ISR4K, CSR 및 ISRv 시리즈용 Securityk9 라이센스
VMAN 메서드는 이제 사용되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
UTD(Unified Threat Defense) Snort IPS 기능은 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv Series의 지사를 위한 IPS(Intrusion Prevention System) 또는 IDS(Intrusion Detection System)를 활성화합니다. 이 기능은 오픈 소스 Snort를 사용하여 IPS 또는 IDS 기능을 활성화합니다.
Snort는 실시간 트래픽 분석을 수행하고 IP 네트워크에서 위협이 탐지되면 경고를 생성하는 오픈 소스 IPS입니다. 또한 프로토콜 분석, 콘텐츠 조사 또는 행칭을 수행하고 버퍼 오버플로, 스텔스 포트 스캔 등 다양한 공격 및 프로브를 탐지할 수 있습니다. UTD Snort 엔진은 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에서 가상 컨테이너 서비스로 실행됩니다.
UTD Snort IPS는 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에 IPS 또는 IDS 기능을 제공합니다.
- UTD는 네트워크 트래픽을 모니터링하고 정의된 규칙 집합에 대해 분석합니다.
- UTD는 어태치 분류를 수행합니다.
- UTD는 일치하는 규칙에 대한 작업을 호출합니다.
네트워크 요구 사항을 기반으로 합니다. UTD Snort IPS는 IPS 또는 IDS로 활성화할 수 있습니다.
- IDS 모드: UTD snort 엔진은 트래픽을 검사하고 알림을 보고하지만 공격을 방지하기 위한 어떤 조치도 취하지 않습니다.
- IPS 모드의 경우: UTD snort 엔진은 트래픽을 검사하고 IDS와 마찬가지로 알림을 보고하지만 공격을 방지하기 위한 조치가 취해집니다.
UTD Snort IPS는 라우터 ISR1K, ISR4K, CSR 및 ISRv 시리즈에서 서비스로 실행됩니다. 서비스 컨테이너는 가상화 기술을 사용하여 애플리케이션을 위한 Cisco 장치에 호스팅 환경을 제공합니다. Snort 트래픽 검사는 인터페이스별로 활성화되거나 지원되는 모든 인터페이스에서 전역적으로 활성화됩니다.
UTD Snort Engine IPS 솔루션
UTD Snort 엔진 IPS 솔루션은 다음 요소로 구성됩니다.
-
Snort sensor — 구성된 보안 정책(시그니처, 통계, 프로토콜 분석 등)을 기반으로 이상 징후를 탐지하도록 트래픽을 모니터링하고 알림/보고 서버에 알림 메시지를 전송합니다. Snort 센서는 라우터에 가상 컨테이너 서비스로 구축됩니다.
-
서명 저장소 — 주기적으로 업데이트되는 Cisco 서명 패키지를 호스팅합니다. 이러한 시그니처 패키지는 주기적으로 또는 온디맨드 방식으로 Snort 센서에 다운로드됩니다. 검증된 서명 패키지는 Cisco.com에 게시됩니다. 컨피그레이션에 따라 시그니처 패키지는 Cisco.com 또는 로컬 서버에서 다운로드할 수 있습니다.
cisco.com에서 서명 패키지를 다운로드하는 과정에서 라우터가 다음 도메인에 액세스합니다.
-
api.cisco.com
-
apx.cisco.com
-
cloudsso.cisco.com
-
cloudsso-test.cisco.com
-
cloudsso-test3.cisco.com
-
cloudsso-test4.cisco.com
-
cloudsso-test5.cisco.com
-
cloudsso-test6.cisco.com
-
cloudsso.cisco.com
-
download-ssc.cisco.com
-
dl.cisco.com
-
resolver1.opendns.com
-
resolver2.opendns.com
Snort 센서가 시그니처 패키지를 검색하기 전에 Cisco.com 자격 증명을 사용하여 Cisco.com에서 로컬 서버로 수동으로 다운로드해야 합니다.
-
-
Alert/Reporting server — Snort 센서로부터 경고 이벤트를 수신합니다. Snort 센서에서 생성된 경고 이벤트는 IOS syslog 또는 외부 syslog 서버로 전송되거나 IOS syslog 및 외부 syslog 서버로 모두 전송될 수 있습니다. 외부 로그 서버는 Snort IPS 솔루션과 함께 번들로 제공되지 않습니다.
-
관리 — Snort IPS 솔루션을 관리합니다. 관리는 IOS CLI를 사용하여 구성됩니다. Snort 센서는 직접 액세스할 수 없으며 모든 컨피그레이션은 IOS CLI를 통해서만 수행할 수 있습니다.
라이센스 요구 사항
다음은 UTD snort 엔진의 라이센스 요구 사항입니다.
- Security K9 라이센스는 ISR1K, ISR4K 라우터, CSR 및 ISRv에 필요합니다. 또한 서명 서브스크립션 1년 또는 3년이 필요합니다. 서브스크립션에는 두 가지 유형이 있습니다.
a) 커뮤니티 서명 패키지: 커뮤니티 서명 패키지 규칙 집합은 위협에 대해 제한된 적용 범위를 제공합니다.
b) 가입자 기반 서명 패키지: 가입자 기반 서명 패키지 규칙 집합은 위협에 대한 최상의 보호를 제공합니다. 여기에는 익스플로잇 사전 커버리지가 포함되며, 보안 사고 또는 새로운 위협의 사전 발견에 대응하여 업데이트된 시그니처에 가장 빠르게 액세스할 수 있는 기능도 제공합니다. 이 서브스크립션은 Cisco에서 완벽하게 지원되며 패키지는 Cisco.com에서 지속적으로 업데이트됩니다.
UTD Snort Subscriber Signature Package는 software.cisco.com에서 다운로드할 수 있으며 snort signature 정보는 snort.org에서 확인할 수 있습니다.
그 외에도 snort.org Rule Documentation Search 툴을 사용하여 특정 snort IPS 서명 ID를 검색할 수 있습니다.
- IPS/Snort를 사용하려면 Supported Platforms(지원 플랫폼) 섹션에 나와 있는 Catalyst 8000 Edge 라우터에 DNA-Essentials 라이센스가 필요합니다.
지원되는 플랫폼
다음은 UTD snort 엔진에 대해 지원되는 플랫폼입니다.
- ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv 및 ISR 1K(8GB DRAM만 지원하는 1111X, 1121X, 1161X 등의 X PID, 17.2.1r 릴리스를 시작)
- Catalyst 8500L, 8300, 8200, 8000V.
제한 사항
UTD Snort 엔진에는 다음과 같은 제한이 적용됩니다.
- tcp, udp 및 icmp 패킷만 검사를 위해 UTD snort 엔진으로 전환됩니다
- 박스 트래픽을 통해서만 검사를 위해 UTD Snort 엔진으로 전환됩니다
제한 사항
UTD Snort 엔진에는 다음과 같은 제한 사항이 적용됩니다.
-
Cisco 4000 Series ISR에서 boost 라이센스를 활성화할 경우 Snort IPS용 가상 서비스 컨테이너를 구성할 수 없습니다.
-
영역 기반 방화벽 SYN 쿠키 기능과 호환되지 않습니다.
-
NAT64(Network Address Translation 64)는 지원되지 않습니다.
-
오픈 소스 Snort에서 SNMP 폴링을 수행하려면 SnortSnmpPlugin이 필요합니다. SnortSnmp 플러그인이 UTD에 설치되어 있지 않으므로 Snort IPS는 SNMP 폴링 기능 또는 MIB를 지원하지 않습니다.
-
- IOS syslog는 속도가 제한되므로 Snort에서 생성된 모든 알림이 IOS Syslog를 통해 표시되지 않을 수 있습니다. 그러나 외부 syslog 서버로 내보내는 경우 모든 Syslog 메시지를 볼 수 있습니다.
UTD Snort Engine IPS 다운로드 링크
다음은 Cisco 라우터에 UTD Snort 엔진을 설치하는 데 사용할 UTD Snort IPS Engine Software 이미지 파일을 다운로드하기 위한 Cisco 링크입니다. 또한 UTD Snort Subscriber Signature Package 파일을 찾아 실행 중인 UTD Snort 엔진 버전에 따라 UTD Snort IPS 서명을 다운로드합니다.
- Catalyst 8500L - https://software.cisco.com/download/home/286324574/type
- Catalyst 8300 -https://software.cisco.com/download/home/286324476/type
- Catalyst 8200 -https://software.cisco.com/download/home/286324472/type
- Catalyst 8000V - https://software.cisco.com/download/home/286327102/type
네트워크 다이어그램
구성
UTD Snort Engine 설치
1단계. UTD Snort 엔진에 대한 VirtualPortGroup 인터페이스를 구성하고 두 개의 포트 그룹을 구성합니다.
- 관리 트래픽용 VirtualPortGroup0: 이 VirtualPortGroup은 로그 컬렉터에 로그를 소싱하고 Cisco.com에서 시그니처 업데이트를 가져오는 데 사용됩니다.
- 데이터 트래픽용 VirtualPortGroup1: 이 VirtualPortGroup은 IPS 검사를 위해 데이터 플레인에 도착하는 검사용으로 표시된 패킷을 보내고 받는 데 사용됩니다.
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
2단계. 전역 컨피그레이션 모드에서 IOx 환경을 활성화합니다.
Router(config)#iox
3단계. 그런 다음 가상 서비스를 활성화하고 게스트 IP를 구성합니다. 이를 위해 vnic 컨피그레이션으로 앱 호스팅을 구성합니다.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
4단계(선택 사항) 리소스 프로필을 구성합니다.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
5단계. UTD Snort IPS 엔진 소프트웨어 파일을 라우터 플래시에 복사한 다음 다음과 같이 UTD.tar 파일을 사용하여 앱 호스팅을 설치합니다.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
다음 syslog는 UTD 서비스가 제대로 설치되었음을 나타냅니다.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
6단계. 앱 호스팅 서비스를 시작합니다.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
다음 syslog 메시지는 UTD 서비스가 제대로 설치되었음을 나타냅니다.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
UTD Snort 엔진을 IPS 또는 IDS로 구성
성공적으로 설치되면 UTD Snort 엔진에 대해 서비스 플레인을 구성해야 합니다. UTD Snort 엔진은 트래픽 검사를 위해 IPS(Intrusion Prevention System) 또는 IDS(Intrusion Detection System)로 구성할 수 있습니다.
1단계. UTD(Unified Threat Defense) 표준 엔진(서비스 플레인) 구성
Router#configure terminal
Router(config)#utd engine standard
2단계. 원격 서버 및 IOSd syslog에 대한 UTD Snort 엔진 로깅을 활성화합니다.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
참고: UTD Snort IPS는 트래픽을 모니터링하고 외부 로그 서버 또는 IOS syslog에 이벤트를 보고합니다. IOS syslog에 대한 로깅을 활성화하면 잠재적인 로그 메시지 볼륨으로 인해 성능에 영향을 줄 수 있습니다. Snort 로그를 지원하는 외부 서드파티 모니터링 툴을 로그 수집 및 분석에 사용할 수 있습니다.
3단계. Snort 엔진에 대한 위협 검사를 활성화합니다.
Router(config-utd-eng-std)#threat-inspection
4단계. Snort 엔진의 운영 모드로 IDS(Threat Detection) 또는 IPS(Intrusion Prevention System)를 구성합니다.
Router(config-utd-engstd-insp)#threat [protection,detection]
5단계. snort 엔진에 대한 보안 정책을 구성합니다.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
6단계(선택 사항) UTD allowed-list (Whitelist) 컨피그레이션을 활성화합니다.
Router#configure terminal
Router(config)#utd threat-inspection whitelist
7단계(선택 사항) 화이트리스트에 포함할 IPS snort 서명 ID를 구성합니다.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
8단계(선택 사항) Threat Inspection 컨피그레이션에서 Allowed List를 활성화합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
9단계. Snort 서명을 자동으로 다운로드하도록 서명 업데이트 간격을 구성합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
10단계. UTD snort 엔진 서명 업데이트 서버 매개변수를 구성합니다.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
11단계. UTD Snort 엔진 로깅 레벨 및 위협 검사 알림 통계의 로깅을 활성화합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
12단계. utd 서비스를 활성화합니다.
Router#configure terminal
Router(config)#utd
13단계(선택 사항) VirtualPortGroup 인터페이스에서 UTD 서비스로 데이터 트래픽을 리디렉션합니다.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
14단계. UTD IPS 엔진을 활성화하여 라우터의 모든 레이어 3 인터페이스에서 트래픽을 검사합니다.
Router(config-utd)#all-interfaces
15단계. 엔진 표준을 활성화합니다.
Router(config-utd)#engine standard
다음 syslog 메시지는 UTD snort 엔진이 올바르게 활성화되었음을 나타냅니다.
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
16단계(선택 사항) 장애 중 UTD Snort 엔진에 대한 작업 정의(UTD 데이터 플레인)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
17단계. 라우터 구성을 저장합니다.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
UTD Snort 엔진의 포트 스캔 검사기
UTD Snort 엔진에는 Port-Scan 기능이 있습니다. 포트 스캔은 공격자가 공격의 전조로 사용하는 네트워크 정찰의 한 형태입니다. 포트 스캔에서 공격자는 대상 호스트에서 네트워크 프로토콜 및 서비스를 탐구하기 위해 설계된 패킷을 전송합니다. 공격자는 호스트에서 응답한 패킷을 검토하여 어떤 포트가 호스트에서 열려 있는지, 어떤 애플리케이션 프로토콜이 이러한 포트에서 실행 중인지 직접 또는 유추에 의해 확인할 수 있습니다.
포트 스캔은 그 자체로 공격의 증거가 아닙니다. 네트워크의 합법적인 사용자는 공격자가 사용하는 유사한 포트 검사 기술을 사용할 수 있습니다.
por_scan 인스펙터는 네 가지 유형의 포트스캔을 탐지하고 TCP, UDP, ICMP 및 IP 프로토콜에 대한 연결 시도를 모니터링합니다. 활동 패턴을 탐지하면 port_scan 인스펙터를 통해 어떤 포트 스캔이 악의적일 수 있는지 확인할 수 있습니다.
포트 스캔은 일반적으로 대상 호스트 수, 스캔 호스트 수 및 스캔되는 포트 수를 기준으로 네 가지 유형으로 나뉩니다.
포트 스캔 검사기 규칙
아래의 표 3에 포트 스캔 검사기 규칙이 표시됩니다.
Port Scan Sensitive Levels(포트 스캔 민감 레벨)
port_scan 인스펙터는 UTD snort 엔진에 대한 세 가지 기본 스캔 민감 레벨을 제공합니다.
- High port_scan
- 낮은 port_scan
- 중간 포트_스캔
UTD Snort 엔진에 대한 Port-Scan Inspector 구성
1단계. UTD(Unified Threat Defense) 표준 엔진(서비스 플레인) 구성
Router#configure terminal
Router(config)#utd engine standard
2단계. UTD Snort Engine에 대한 위협 검사를 활성화합니다.
Router(config-utd-eng-std)#threat-inspection
3단계. 그런 다음 port_scan을 활성화합니다.
Router(config-utd-engstd-insp)#port-scan
4단계. port_scan sensitive 레벨을 설정합니다. 사용 가능한 옵션은 high, medium 또는 low입니다.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
5단계. port_scan이 활성화되고 UTD snort 엔진에 대한 민감한 레벨로 구성되면 'show utd engine standard config' 명령을 사용하여 port_scan 컨피그레이션을 확인합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
다음을 확인합니다.
VirtualPortGroup IP 주소 및 인터페이스 상태 확인
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
VirtualPortGroup 인터페이스 컨피그레이션 확인
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
앱 호스팅 구성 확인
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
iox 활성화 확인
Router#show running-config | i iox
iox
앱 호스팅 상태 확인
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
앱 호스팅 세부 정보 확인
'show app-hosting detail' 명령을 실행하여 UTD snort 엔진 상태, 실행 중인 소프트웨어 버전, RAM, CPU 및 디스크 사용률, 네트워크 통계 및 DNS 컨피그레이션을 확인합니다.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
실행 중인 라우터 IOS-XE 버전에 대해 UTD snort 엔진 호환성 버전을 확인합니다.
'show utd engine standard version' 명령을 사용하여 실행 중인 IOS-XE 라우터 버전에 대한 UTD snort 엔진 호환성 버전을 확인합니다.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
UTD snort 엔진 상태 확인
옵션 1. 'show utd engine standard status' 명령을 실행하여 UTD Snort 엔진의 상태, 'Green'의 상태, 'Green'의 상태 및 'Green'의 전체 시스템 상태를 확인하고 UTD Snort 엔진이 작동하고 있음을 나타냅니다.
Router#show utd engine standard status
Engine version : 1.1.11_SV3.1.81.0_XE17.12
Profile : Low
System memory :
Usage : 31.80 %
Status : Green
Number of engines : 1
Engine Running Health Reason
=======================================================
Engine(#1): Yes Green None
=======================================================
Overall system status: Green
Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last failed update time: Wed Sep 3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle옵션 2. 'show platform software utd global' 명령을 실행하여 UTD snort 엔진 작동 상태에 대한 간략한 요약을 얻습니다.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
UTD snort 엔진 컨피그레이션을 확인합니다
옵션 1. 'show utd engine standard config' 명령을 실행하여 UTD snort 엔진 컨피그레이션 세부사항, 운영 모드, 정책 모드, 시그니처 업데이트 컨피그레이션, 로깅 컨피그레이션, 화이트리스트 및 포트 스캔 상태를 표시합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
옵션 2. 'show running-config'를 실행합니다. | b engine' 명령을 사용하여 UTD snort 엔진이 실행 중인 컨피그레이션을 표시합니다.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
UTD snort 엔진 IPS snort 서명 업데이트 상태 확인
1. 'show utd engine standard threat-inspection signature update status' 명령을 실행하여 IPS snort signature update status를 확인합니다.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. 'utd threat-inspection signature update' 명령을 실행하여 시그니처 다운로드를 위해 UTD snort 엔진에 적용된 기존 서버 컨피그레이션을 사용하여 수동 IPS snort 시그니처 업데이트를 실행합니다.
Router#utd threat-inspection signature update
3. 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' 명령을 실행하여 지정된 서버 매개변수를 사용하여 수동 IPS snort 서명 업데이트를 적용합니다.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
UTD snort 엔진이 트래픽을 검사하는지 확인하는 방법
다음 show 명령을 사용하여 UTD snort 엔진에서 처리되는 트래픽을 모니터링하고 트래픽 검사와 관련된 통계를 확인할 수 있습니다.
옵션 1. 아래 'show utd engine standard statistics' 출력에서 트래픽이 UTD snort 엔진에 의해 처리되는 경우 'received' 및 'analyzed' 카운터가 증가합니다.
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
옵션 2. 아래 'show platform hardware qfp active feature utd stats' 출력에서 트래픽 검사를 위해 라우터에서 UTD snort 엔진으로 트래픽이 리디렉션되는 경우 'decaps' 및 'Divert' 카운터가 증가하고, UTD snort 엔진에서 라우터로 트래픽이 리디렉션되는 경우 'encaps' 및 'Reinject'' 카운터가 증가합니다.
Router#show platform hardware qfp active feature utd stats
Summary Statistics:
Policy
Active Connections 3
TCP Connections Created 83364
UDP Connections Created 532075
ICMP Connections Created 494
Channel Summary
Active Connections 3
decaps 1156574 <------------
encaps 1157144 <------------
Expired Connections 615930
Packet stats - Policy
Pkts dropped pkt 15802
byt 14111880
Pkts entered policy feature pkt 1306750
byt 363602774
Pkts slow path pkt 615933
byt 25317465
Packet stats - Channel Summary
Bypass pkt 25368
byt 4459074
Divert pkt 1157144 <------------
byt 301046050
Reinject pkt 1156574 <------------
byt 301015446
Would Drop Statistics (fail-open):
Policy
TCP SYN w/data packet 15802
Channel Summary
Stats were all zero
General Statistics:
Non Diverted Pkts to/from divert interface 2725
Inspection skipped - UTD policy not applicable 111161
Pkts Skipped - New pkt from RP 33139
Response Packet Seen 64766
Feature memory allocations 615933
Feature memory free 615930
Feature Object Delete 615930
Skipped - First-in-flow RST packets of a TCP flow 55
Diversion Statistics Summary:
SN offloaded flow 3282
Flows Bypassed as SN Unhealthy 25368
Service Node Statistics:
SN down 1
SN health green 13
SN health red 12
SN Health: Channel: Threat Defense : Green
AppNAV registration 2
AppNAV deregister 1
SN Health: Channel: Service : Down
Stats were all zero
TLS Decryption policy not enabled
Appnav Statistics:
No FO Drop pkt 0
byt 0옵션 3. 아래 'show utd engine standard statistics internal' 출력에서 트래픽 검사를 위해 라우터에서 UTD snort 엔진으로 트래픽이 리디렉션될 때 'received' 및 'analyzed' 카운터가 증가합니다. 그 외에도 이 출력에는 UTD snort 엔진이 검사한 트래픽에 대한 추가 세부사항 및 통계가 표시됩니다.
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
UTD Snort 엔진이 IPS Snort 서명을 트리거했는지 확인하는 방법
다음 show 명령을 사용하여 트리거된 snort IPS 서명, 생성된 IPS/IDS 이벤트, 관련된 소스 및 목적지 IP 주소를 모니터링할 수 있습니다.
옵션 1. IPS/IDS 이벤트를 찾으려면 'show utd engine standard logging events [threat-inspection]' 명령을 사용합니다.
Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10옵션 2. 'show utd engine standard logging statistics threat-inspection' 명령을 사용하여 지난 24시간 동안 트리거된 상위 IPS snort 시그니처 및 각 시그니처가 트리거된 횟수를 확인합니다.
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
옵션 3. 'show utd engine standard logging statistics threat-inspection detail' 명령을 사용하여 지난 24시간 동안 트리거된 상위 IPS snort 시그니처, 각 시그니처가 트리거된 횟수, 시그니처를 트리거한 소스 및 대상 IP 주소를 확인합니다.
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
옵션 4. UTD snort 엔진은 트래픽을 모니터링하고 외부 로그 서버 또는 IOS syslog에 이벤트를 보고합니다. IOS syslog에 대한 로깅을 활성화하면 잠재적인 로그 메시지 볼륨으로 인해 성능에 영향을 줄 수 있습니다. Snort 로그를 지원하는 외부 서드파티 모니터링 툴을 로그 수집 및 분석에 사용할 수 있습니다.
UTD snort 엔진이 IPS/IDS 이벤트를 생성할 때마다 라우터는 다음과 같은 syslog 메시지를 표시합니다.
Router#
*Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184UTD snort 엔진이 외부 syslog 서버로 로그아웃하도록 구성된 경우 다음과 같이 원격 syslog 서버에서 UTD snort 엔진 로그를 확인해야 합니다.
활성 IPS snort 서명을 표시하는 방법
사용된 정책 컨피그레이션(Balanced, Connectivity 또는 Security)에 따라 다음 명령을 사용하여 UTD Snort 엔진에 대한 Active, Drop 및 Alert IPS Snort 서명을 표시할 수 있습니다.
옵션 1. 보안 정책에 대한 활성 IPS snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_security
Router#more bootflash:siglist_security
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity,
Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]옵션 2. 연결 정책에 대한 활성 IPS snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Connectivity
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation,
Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]옵션 3. Balanced(균형) 정책에 대한 활성 IPS Snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Balanced
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]문제 해결
1. Cisco ISR(Integrated Services Router)에서 XE 16.10.1a 이상(IOx 방법의 경우)을 실행해야 합니다.
2. Cisco ISR(Integrated Services Router)에 Securityk9 기능이 활성화되어 있는지 확인합니다.
3. ISR 하드웨어 모델이 최소 리소스 프로필을 준수하는지 확인합니다.
4. UTD Snort 엔진이 영역 기반 방화벽 SYN 쿠키 및 NAT64(Network Address Translation 64)와 호환되지 않습니다
5. 설치 후 UTD snort 엔진 서비스가 시작되었는지 확인합니다.
6. 수동 서명 패키지를 다운로드하는 동안 패키지의 버전이 Snort 엔진 버전과 동일한지 확인합니다. 버전이 일치하지 않으면 서명 패키지 업데이트가 실패할 수 있습니다.
7. 성능 문제가 있는 경우 'show app-hosting resource' 및 'show app-hosting utilization appid''UTD-NAME'을 사용하여 UTD CPU, 메모리 및 스토리지 공간을 확인합니다.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
디버깅
트러블슈팅을 위해 아래 나열된 debug 명령을 사용하여 UTD snort 엔진에서 자세한 정보를 수집합니다.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
경고: 프로덕션 시간 중에 debug 명령을 실행하면 UTD Snort 엔진 또는 라우터의 CPU, 메모리 또는 디스크 사용률이 크게 증가하여 트래픽 및 시스템 안정성에 영향을 미칠 수 있습니다. debug 명령은 자주 사용하지 않으며, 유지 보수 기간 중에 사용하는 것이 좋으며, 필요한 데이터를 수집한 후 즉시 비활성화합니다. 리소스 사용량 또는 서비스에 대한 영향이 높은 경우 디버그를 중지하고 Cisco TAC에 문의하십시오.
관련 정보
UTD Snort IPS 구축과 관련된 추가 설명서는 여기에서 확인할 수 있습니다.
ISR4K 및 CSR1000v용 Cisco 가상 서비스 리소스 프로파일
Snort Port-Scan Inspector 참조 가이드
Snort Open Source IPS(Intrusion Prevention System) 웹 페이지
CSCwf57595 ISR4K Snort IPS는 HW에 충분한 플랫폼 리소스가 없으므로 구축되지 않음
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
3.0 |
17-Sep-2025
|
최초 릴리스 |
1.0 |
11-Jul-2023
|
최초 릴리스 |
피드백