본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 IOx 방법을 사용하여 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에 UTD Snort IPS 엔진을 구축하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
VMAN 메서드는 이제 사용되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
UTD(Unified Threat Defense) Snort IPS 기능은 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv Series의 지사를 위한 IPS(Intrusion Prevention System) 또는 IDS(Intrusion Detection System)를 활성화합니다. 이 기능은 오픈 소스 Snort를 사용하여 IPS 또는 IDS 기능을 활성화합니다.
Snort는 실시간 트래픽 분석을 수행하고 IP 네트워크에서 위협이 탐지되면 경고를 생성하는 오픈 소스 IPS입니다. 또한 프로토콜 분석, 콘텐츠 조사 또는 행칭을 수행하고 버퍼 오버플로, 스텔스 포트 스캔 등 다양한 공격 및 프로브를 탐지할 수 있습니다. UTD Snort 엔진은 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에서 가상 컨테이너 서비스로 실행됩니다.
UTD Snort IPS는 Cisco Integrated Services Router ISR1K, ISR4K, CSR 및 ISRv 시리즈에 IPS 또는 IDS 기능을 제공합니다.
네트워크 요구 사항을 기반으로 합니다. UTD Snort IPS는 IPS 또는 IDS로 활성화할 수 있습니다.
UTD Snort IPS는 라우터 ISR1K, ISR4K, CSR 및 ISRv 시리즈에서 서비스로 실행됩니다. 서비스 컨테이너는 가상화 기술을 사용하여 애플리케이션을 위한 Cisco 장치에 호스팅 환경을 제공합니다. Snort 트래픽 검사는 인터페이스별로 활성화되거나 지원되는 모든 인터페이스에서 전역적으로 활성화됩니다.
UTD Snort 엔진 IPS 솔루션은 다음 요소로 구성됩니다.
Snort sensor — 구성된 보안 정책(시그니처, 통계, 프로토콜 분석 등)을 기반으로 이상 징후를 탐지하도록 트래픽을 모니터링하고 알림/보고 서버에 알림 메시지를 전송합니다. Snort 센서는 라우터에 가상 컨테이너 서비스로 구축됩니다.
서명 저장소 — 주기적으로 업데이트되는 Cisco 서명 패키지를 호스팅합니다. 이러한 시그니처 패키지는 주기적으로 또는 온디맨드 방식으로 Snort 센서에 다운로드됩니다. 검증된 서명 패키지는 Cisco.com에 게시됩니다. 컨피그레이션에 따라 시그니처 패키지는 Cisco.com 또는 로컬 서버에서 다운로드할 수 있습니다.
cisco.com에서 서명 패키지를 다운로드하는 과정에서 라우터가 다음 도메인에 액세스합니다.
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Snort 센서가 시그니처 패키지를 검색하기 전에 Cisco.com 자격 증명을 사용하여 Cisco.com에서 로컬 서버로 수동으로 다운로드해야 합니다.
Alert/Reporting server — Snort 센서로부터 경고 이벤트를 수신합니다. Snort 센서에서 생성된 경고 이벤트는 IOS syslog 또는 외부 syslog 서버로 전송되거나 IOS syslog 및 외부 syslog 서버로 모두 전송될 수 있습니다. 외부 로그 서버는 Snort IPS 솔루션과 함께 번들로 제공되지 않습니다.
관리 — Snort IPS 솔루션을 관리합니다. 관리는 IOS CLI를 사용하여 구성됩니다. Snort 센서는 직접 액세스할 수 없으며 모든 컨피그레이션은 IOS CLI를 통해서만 수행할 수 있습니다.
다음은 UTD snort 엔진의 라이센스 요구 사항입니다.
a) 커뮤니티 서명 패키지: 커뮤니티 서명 패키지 규칙 집합은 위협에 대해 제한된 적용 범위를 제공합니다.
b) 가입자 기반 서명 패키지: 가입자 기반 서명 패키지 규칙 집합은 위협에 대한 최상의 보호를 제공합니다. 여기에는 익스플로잇 사전 커버리지가 포함되며, 보안 사고 또는 새로운 위협의 사전 발견에 대응하여 업데이트된 시그니처에 가장 빠르게 액세스할 수 있는 기능도 제공합니다. 이 서브스크립션은 Cisco에서 완벽하게 지원되며 패키지는 Cisco.com에서 지속적으로 업데이트됩니다.
UTD Snort Subscriber Signature Package는 software.cisco.com에서 다운로드할 수 있으며 snort signature 정보는 snort.org에서 확인할 수 있습니다.
그 외에도 snort.org Rule Documentation Search 툴을 사용하여 특정 snort IPS 서명 ID를 검색할 수 있습니다.
다음은 UTD snort 엔진에 대해 지원되는 플랫폼입니다.
UTD Snort 엔진에는 다음과 같은 제한이 적용됩니다.
UTD Snort 엔진에는 다음과 같은 제한 사항이 적용됩니다.
Cisco 4000 Series ISR에서 boost 라이센스를 활성화할 경우 Snort IPS용 가상 서비스 컨테이너를 구성할 수 없습니다.
영역 기반 방화벽 SYN 쿠키 기능과 호환되지 않습니다.
NAT64(Network Address Translation 64)는 지원되지 않습니다.
오픈 소스 Snort에서 SNMP 폴링을 수행하려면 SnortSnmpPlugin이 필요합니다. SnortSnmp 플러그인이 UTD에 설치되어 있지 않으므로 Snort IPS는 SNMP 폴링 기능 또는 MIB를 지원하지 않습니다.
다음은 Cisco 라우터에 UTD Snort 엔진을 설치하는 데 사용할 UTD Snort IPS Engine Software 이미지 파일을 다운로드하기 위한 Cisco 링크입니다. 또한 UTD Snort Subscriber Signature Package 파일을 찾아 실행 중인 UTD Snort 엔진 버전에 따라 UTD Snort IPS 서명을 다운로드합니다.
참고: UTD Snort 엔진을 설치하기 전에 고려해야 할 전제 조건, 물리적 ISR인 경우 IOS-XE 버전 3.16.1 이상을 실행 중이어야 합니다. CSR인 경우 버전 16.3.1 이상을 실행 중이고 ISRv(ENCS)인 경우 버전 16.8.1 이상을 실행 중이어야 합니다. Catalyst 8300(시작 버전 17.3.2 이상), 8200(시작 버전 17.4.1 이상) 및 8000V(시작 버전 17.4.1 이상)
참고: 사용자가 다운로드 소프트웨어 페이지에서 수동으로 UTD Snort Subscriber Signature Package를 다운로드하는 경우 패키지의 버전이 Snort 엔진 버전과 동일한지 확인해야 합니다. 예를 들어 Snort 엔진 버전이 2982인 경우 사용자는 동일한 버전의 서명 패키지를 다운로드해야 합니다. 버전이 일치하지 않으면 서명 패키지 업데이트가 거부되고 실패합니다.
참고: 시그니처 패키지가 업데이트되면 엔진이 다시 시작되고 해당 데이터 플레인 fail-open/fail-close 컨피그레이션에 따라 짧은 기간 동안 트래픽이 중단되거나 검사를 우회합니다.
1단계. UTD Snort 엔진에 대한 VirtualPortGroup 인터페이스를 구성하고 두 개의 포트 그룹을 구성합니다.
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
참고: UTD Snort 엔진이 외부 syslog 서버에 연결할 수 있도록 VirtualPortgroup0에 필요한 NAT 및 라우팅을 구성하고 cisco.com에서 시그니처 업데이트 파일을 캡처하도록 구성해야 합니다.
2단계. 전역 컨피그레이션 모드에서 IOx 환경을 활성화합니다.
Router(config)#iox
3단계. 그런 다음 가상 서비스를 활성화하고 게스트 IP를 구성합니다. 이를 위해 vnic 컨피그레이션으로 앱 호스팅을 구성합니다.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
4단계(선택 사항) 리소스 프로필을 구성합니다.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
참고: UTD Snort 엔진 가상 서비스는 세 가지 리소스 프로필을 지원합니다. 낮음, 중간, 높음 이 프로필은 가상 서비스를 실행하는 데 필요한 CPU 및 메모리 리소스를 나타냅니다. 이러한 리소스 프로파일 중 하나를 구성할 수 있습니다. 리소스 프로필 컨피그레이션은 선택 사항입니다. 프로필을 구성하지 않으면 가상 서비스가 기본 리소스 프로필로 활성화됩니다. 리소스 프로필 세부 정보는 ISR4K 및 CSR1000v의 Cisco 가상 서비스 리소스 프로필을 확인하십시오.
참고: ISR1K 시리즈에서는 이 옵션을 사용할 수 없습니다.
5단계. UTD Snort IPS 엔진 소프트웨어 파일을 라우터 플래시에 복사한 다음 다음과 같이 UTD.tar 파일을 사용하여 앱 호스팅을 설치합니다.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
참고: UTD 엔진 버전은 UTD 파일 이름에 지정되어 있으며, 설치할 UTD 엔진 버전이 Cisco 라우터에서 실행 중인 IOS-XE 버전과 호환되는지 확인합니다
다음 syslog는 UTD 서비스가 제대로 설치되었음을 나타냅니다.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
참고: 'show app-hosting list'를 사용하면 상태가 'Deployed'로 표시되어야 합니다.
6단계. 앱 호스팅 서비스를 시작합니다.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
참고: 앱 호스팅 서비스를 시작한 후에는 앱 호스팅 상태가 '실행 중'이어야 합니다. 자세한 내용을 보려면 '앱 호스팅 목록 표시' 또는 '앱 호스팅 세부 정보 표시'를 사용하십시오.
다음 syslog 메시지는 UTD 서비스가 제대로 설치되었음을 나타냅니다.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
성공적으로 설치되면 UTD Snort 엔진에 대해 서비스 플레인을 구성해야 합니다. UTD Snort 엔진은 트래픽 검사를 위해 IPS(Intrusion Prevention System) 또는 IDS(Intrusion Detection System)로 구성할 수 있습니다.
경고: 라우터에서 'securityk9' 라이센스 기능이 활성화되어 있는지 확인하여 UTD 서비스 플레인 컨피그레이션을 진행합니다.
1단계. UTD(Unified Threat Defense) 표준 엔진(서비스 플레인) 구성
Router#configure terminal
Router(config)#utd engine standard
2단계. 원격 서버 및 IOSd syslog에 대한 UTD Snort 엔진 로깅을 활성화합니다.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
참고: UTD Snort IPS는 트래픽을 모니터링하고 외부 로그 서버 또는 IOS syslog에 이벤트를 보고합니다. IOS syslog에 대한 로깅을 활성화하면 잠재적인 로그 메시지 볼륨으로 인해 성능에 영향을 줄 수 있습니다. Snort 로그를 지원하는 외부 서드파티 모니터링 툴을 로그 수집 및 분석에 사용할 수 있습니다.
3단계. Snort 엔진에 대한 위협 검사를 활성화합니다.
Router(config-utd-eng-std)#threat-inspection
4단계. Snort 엔진의 운영 모드로 IDS(Threat Detection) 또는 IPS(Intrusion Prevention System)를 구성합니다.
Router(config-utd-engstd-insp)#threat [protection,detection]
참고: IPS의 경우 'protection' 키워드를 사용하고, IDS 모드의 경우 'detection'(탐지)'을 사용합니다. 기본 모드는 'detection'입니다
5단계. snort 엔진에 대한 보안 정책을 구성합니다.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
참고: 기본 정책은 'balanced'이며, 선택한 정책에 따라 snort 엔진은 snort 엔진 보호를 위해 IPS 서명을 활성화 또는 비활성화합니다.
6단계(선택 사항) UTD allowed-list (Whitelist) 컨피그레이션을 활성화합니다.
Router#configure terminal
Router(config)#utd threat-inspection whitelist
7단계(선택 사항) 화이트리스트에 포함할 IPS snort 서명 ID를 구성합니다.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
참고: 억제할 필요가 있는 알림에서 서명 ID를 복사할 수 있습니다. 여러 서명 ID를 구성할 수 있습니다. 화이트리스트에 추가해야 하는 각 서명 ID에 대해 이 단계를 반복합니다.
참고: 허용 목록 시그니처 ID가 구성된 후(허용 목록) UTD Snort 엔진이 경고와 삭제 없이 플로우를 디바이스를 통과하도록 허용합니다.
참고: GID(generator identifier)는 침입 규칙을 평가하고 이벤트를 생성하는 하위 시스템을 식별합니다. 표준 텍스트 침입 규칙의 Generator ID는 1이고, 공유 객체 침입 규칙의 Generator ID는 3입니다. 다양한 프리프로세서에 대한 여러 가지 규칙 집합도 있습니다. 다음 표 1. Generator ID는 GID에 대해 설명합니다.
8단계(선택 사항) Threat Inspection 컨피그레이션에서 Allowed List를 활성화합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
참고: 화이트리스트 서명 ID가 구성되면 snort 엔진이 경고와 삭제 없이 플로우를 디바이스를 통과하도록 허용합니다
9단계. Snort 서명을 자동으로 다운로드하도록 서명 업데이트 간격을 구성합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
참고: 첫 번째 숫자는 24시간 형식으로 시간을 정의하고 두 번째 숫자는 분을 나타냅니다.
경고: UTD 서명 업데이트는 업데이트 시 간략한 서비스 중단을 생성합니다.
10단계. UTD snort 엔진 서명 업데이트 서버 매개변수를 구성합니다.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
참고: 시그니처 업데이트를 위해 Cisco 서버를 가리키려면 'cisco' 키워드를 사용하거나 업데이트 서버에 대한 사용자 지정 http/https 경로를 정의하려면 'url' 키워드를 사용합니다. Cisco 서버의 경우 Cisco 사용자 이름 및 비밀번호 자격 증명을 제공해야 합니다.
참고: DNS 서버가 Cisco 서버에서 IPS Snort 서명을 다운로드하도록 구성되어 있는지 확인하십시오. URL이 IP 주소로 지정되지 않은 경우 Snort 컨테이너는 Cisco.com 또는 로컬 서버에서 도메인 이름 조회를 수행하여 자동 서명 업데이트의 위치를 확인합니다.
참고: 인터페이스 VirtualPortGroup0에 할당된 UTD 모듈 MGMT IP 주소는 라우터 NAT 컨피그레이션에 포함되어야 모듈에서 Cisco 서버에 접속하여 snort 서명 패키지를 다운로드할 수 있도록 인터넷에 액세스할 수 있습니다.
11단계. UTD Snort 엔진 로깅 레벨 및 위협 검사 알림 통계의 로깅을 활성화합니다.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
참고: Cisco IOS XE Fuji 16.8 릴리스를 시작하면 다음 명령 'show utd engine standard logging threat-inspection statistics detail'을 실행할 때 위협 검사 알림에 대한 요약 세부사항을 확인할 수 있습니다. UTD snort 엔진에 대해 위협 검사 알림 통계의 로깅이 활성화된 경우
12단계. utd 서비스를 활성화합니다.
Router#configure terminal
Router(config)#utd
13단계(선택 사항) VirtualPortGroup 인터페이스에서 UTD 서비스로 데이터 트래픽을 리디렉션합니다.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
참고: 리디렉션이 구성되지 않은 경우 자동으로 감지됩니다.
14단계. UTD IPS 엔진을 활성화하여 라우터의 모든 레이어 3 인터페이스에서 트래픽을 검사합니다.
Router(config-utd)#all-interfaces
15단계. 엔진 표준을 활성화합니다.
Router(config-utd)#engine standard
다음 syslog 메시지는 UTD snort 엔진이 올바르게 활성화되었음을 나타냅니다.
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
16단계(선택 사항) 장애 중 UTD Snort 엔진에 대한 작업 정의(UTD 데이터 플레인)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
참고: 'fail close' 옵션은 UTD 엔진이 실패할 때 모든 라우터 트래픽을 삭제하고 'fail open' 옵션은 UTD 실패 시 IPS/IDS 검사 없이 라우터 트래픽이 계속 이동하도록 허용합니다. 기본 옵션은 'fail open'입니다.
17단계. 라우터 구성을 저장합니다.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
UTD Snort 엔진에는 Port-Scan 기능이 있습니다. 포트 스캔은 공격자가 공격의 전조로 사용하는 네트워크 정찰의 한 형태입니다. 포트 스캔에서 공격자는 대상 호스트에서 네트워크 프로토콜 및 서비스를 탐구하기 위해 설계된 패킷을 전송합니다. 공격자는 호스트에서 응답한 패킷을 검토하여 어떤 포트가 호스트에서 열려 있는지, 어떤 애플리케이션 프로토콜이 이러한 포트에서 실행 중인지 직접 또는 유추에 의해 확인할 수 있습니다.
포트 스캔은 그 자체로 공격의 증거가 아닙니다. 네트워크의 합법적인 사용자는 공격자가 사용하는 유사한 포트 검사 기술을 사용할 수 있습니다.
por_scan 인스펙터는 네 가지 유형의 포트스캔을 탐지하고 TCP, UDP, ICMP 및 IP 프로토콜에 대한 연결 시도를 모니터링합니다. 활동 패턴을 탐지하면 port_scan 인스펙터를 통해 어떤 포트 스캔이 악의적일 수 있는지 확인할 수 있습니다.
포트 스캔은 일반적으로 대상 호스트 수, 스캔 호스트 수 및 스캔되는 포트 수를 기준으로 네 가지 유형으로 나뉩니다.
아래의 표 3에 포트 스캔 검사기 규칙이 표시됩니다.
port_scan 인스펙터는 UTD snort 엔진에 대한 세 가지 기본 스캔 민감 레벨을 제공합니다.
1단계. UTD(Unified Threat Defense) 표준 엔진(서비스 플레인) 구성
Router#configure terminal
Router(config)#utd engine standard
2단계. UTD Snort Engine에 대한 위협 검사를 활성화합니다.
Router(config-utd-eng-std)#threat-inspection
3단계. 그런 다음 port_scan을 활성화합니다.
Router(config-utd-engstd-insp)#port-scan
4단계. port_scan sensitive 레벨을 설정합니다. 사용 가능한 옵션은 high, medium 또는 low입니다.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
5단계. port_scan이 활성화되고 UTD snort 엔진에 대한 민감한 레벨로 구성되면 'show utd engine standard config' 명령을 사용하여 port_scan 컨피그레이션을 확인합니다.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
'show app-hosting detail' 명령을 실행하여 UTD snort 엔진 상태, 실행 중인 소프트웨어 버전, RAM, CPU 및 디스크 사용률, 네트워크 통계 및 DNS 컨피그레이션을 확인합니다.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
'show utd engine standard version' 명령을 사용하여 실행 중인 IOS-XE 라우터 버전에 대한 UTD snort 엔진 호환성 버전을 확인합니다.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
옵션 1. 'show utd engine standard status' 명령을 실행하여 UTD Snort 엔진의 상태, 'Green'의 상태, 'Green'의 상태 및 'Green'의 전체 시스템 상태를 확인하고 UTD Snort 엔진이 작동하고 있음을 나타냅니다.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
참고: UTD Snort 엔진이 초과 서브스크립션되면 위협 방어 채널 상태가 녹색과 빨간색 사이에서 변경됩니다. UTD 데이터 평면은 fail-close가 구성된 경우 모든 추가 패킷을 삭제하거나, fail-close가 구성되지 않은 경우(기본값) 검사되지 않은 패킷을 전달합니다. UTD 서비스 플레인이 초과 서브스크립션에서 복구되면 UTD 데이터 플레인에 녹색 상태로 응답합니다.
옵션 2. 'show platform software utd global' 명령을 실행하여 UTD snort 엔진 작동 상태에 대한 간략한 요약을 얻습니다.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
옵션 1. 'show utd engine standard config' 명령을 실행하여 UTD snort 엔진 컨피그레이션 세부사항, 운영 모드, 정책 모드, 시그니처 업데이트 컨피그레이션, 로깅 컨피그레이션, 화이트리스트 및 포트 스캔 상태를 표시합니다.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
옵션 2. 'show running-config'를 실행합니다. | b engine' 명령을 사용하여 UTD snort 엔진이 실행 중인 컨피그레이션을 표시합니다.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. 'show utd engine standard threat-inspection signature update status' 명령을 실행하여 IPS snort signature update status를 확인합니다.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. 'utd threat-inspection signature update' 명령을 실행하여 시그니처 다운로드를 위해 UTD snort 엔진에 적용된 기존 서버 컨피그레이션을 사용하여 수동 IPS snort 시그니처 업데이트를 실행합니다.
Router#utd threat-inspection signature update
3. 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' 명령을 실행하여 지정된 서버 매개변수를 사용하여 수동 IPS snort 서명 업데이트를 적용합니다.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
다음 show 명령을 사용하여 UTD snort 엔진에서 처리되는 트래픽을 모니터링하고 트래픽 검사와 관련된 통계를 확인할 수 있습니다.
옵션 1. 아래 'show utd engine standard statistics' 출력에서 트래픽이 UTD snort 엔진에 의해 처리되는 경우 'received' 및 'analyzed' 카운터가 증가합니다.
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
옵션 2. 아래 'show platform hardware qfp active feature utd stats' 출력에서 트래픽 검사를 위해 라우터에서 UTD snort 엔진으로 트래픽이 리디렉션되는 경우 'decaps' 및 'Divert' 카운터가 증가하고, UTD snort 엔진에서 라우터로 트래픽이 리디렉션되는 경우 'encaps' 및 'Reinject'' 카운터가 증가합니다.
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
옵션 3. 아래 'show utd engine standard statistics internal' 출력에서 트래픽 검사를 위해 라우터에서 UTD snort 엔진으로 트래픽이 리디렉션될 때 'received' 및 'analyzed' 카운터가 증가합니다. 그 외에도 이 출력에는 UTD snort 엔진이 검사한 트래픽에 대한 추가 세부사항 및 통계가 표시됩니다.
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
다음 show 명령을 사용하여 트리거된 snort IPS 서명, 생성된 IPS/IDS 이벤트, 관련된 소스 및 목적지 IP 주소를 모니터링할 수 있습니다.
옵션 1. IPS/IDS 이벤트를 찾으려면 'show utd engine standard logging events [threat-inspection]' 명령을 사용합니다.
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
옵션 2. 'show utd engine standard logging statistics threat-inspection' 명령을 사용하여 지난 24시간 동안 트리거된 상위 IPS snort 시그니처 및 각 시그니처가 트리거된 횟수를 확인합니다.
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
옵션 3. 'show utd engine standard logging statistics threat-inspection detail' 명령을 사용하여 지난 24시간 동안 트리거된 상위 IPS snort 시그니처, 각 시그니처가 트리거된 횟수, 시그니처를 트리거한 소스 및 대상 IP 주소를 확인합니다.
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
옵션 4. UTD snort 엔진은 트래픽을 모니터링하고 외부 로그 서버 또는 IOS syslog에 이벤트를 보고합니다. IOS syslog에 대한 로깅을 활성화하면 잠재적인 로그 메시지 볼륨으로 인해 성능에 영향을 줄 수 있습니다. Snort 로그를 지원하는 외부 서드파티 모니터링 툴을 로그 수집 및 분석에 사용할 수 있습니다.
UTD snort 엔진이 IPS/IDS 이벤트를 생성할 때마다 라우터는 다음과 같은 syslog 메시지를 표시합니다.
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
참고: UTD Snort 엔진에 대한 utd 엔진 표준 컨피그레이션에서 로깅 syslog가 활성화된 경우에만 UTD Snort 엔진 로그가 Router IOSd CLI에 표시됩니다.
UTD snort 엔진이 외부 syslog 서버로 로그아웃하도록 구성된 경우 다음과 같이 원격 syslog 서버에서 UTD snort 엔진 로그를 확인해야 합니다.
사용된 정책 컨피그레이션(Balanced, Connectivity 또는 Security)에 따라 다음 명령을 사용하여 UTD Snort 엔진에 대한 Active, Drop 및 Alert IPS Snort 서명을 표시할 수 있습니다.
옵션 1. 보안 정책에 대한 활성 IPS snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
옵션 2. 연결 정책에 대한 활성 IPS snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
옵션 3. Balanced(균형) 정책에 대한 활성 IPS Snort 서명 목록을 표시하려면 다음과 같이 진행합니다.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
참고: Balanced, Connectivity 또는 Security 정책에 대한 활성 IPS Snort 서명을 표시하려면 UTD Snort 엔진이 보려는 해당 정책 모드를 실행 중이어야 합니다.
1. Cisco ISR(Integrated Services Router)에서 XE 16.10.1a 이상(IOx 방법의 경우)을 실행해야 합니다.
2. Cisco ISR(Integrated Services Router)에 Securityk9 기능이 활성화되어 있는지 확인합니다.
3. ISR 하드웨어 모델이 최소 리소스 프로필을 준수하는지 확인합니다.
4. UTD Snort 엔진이 영역 기반 방화벽 SYN 쿠키 및 NAT64(Network Address Translation 64)와 호환되지 않습니다
5. 설치 후 UTD snort 엔진 서비스가 시작되었는지 확인합니다.
6. 수동 서명 패키지를 다운로드하는 동안 패키지의 버전이 Snort 엔진 버전과 동일한지 확인합니다. 버전이 일치하지 않으면 서명 패키지 업데이트가 실패할 수 있습니다.
7. 성능 문제가 있는 경우 'show app-hosting resource' 및 'show app-hosting utilization appid''UTD-NAME'을 사용하여 UTD CPU, 메모리 및 스토리지 공간을 확인합니다.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
경고: UTD Snort 엔진이 높은 CPU, 메모리 또는 디스크 사용률을 경험하고 있는지 확인하려면 Cisco TAC에 문의하십시오.
트러블슈팅을 위해 아래 나열된 debug 명령을 사용하여 UTD snort 엔진에서 자세한 정보를 수집합니다.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
경고: 프로덕션 시간 중에 debug 명령을 실행하면 UTD Snort 엔진 또는 라우터의 CPU, 메모리 또는 디스크 사용률이 크게 증가하여 트래픽 및 시스템 안정성에 영향을 미칠 수 있습니다. debug 명령은 자주 사용하지 않으며, 유지 보수 기간 중에 사용하는 것이 좋으며, 필요한 데이터를 수집한 후 즉시 비활성화합니다. 리소스 사용량 또는 서비스에 대한 영향이 높은 경우 디버그를 중지하고 Cisco TAC에 문의하십시오.
UTD Snort IPS 구축과 관련된 추가 설명서는 여기에서 확인할 수 있습니다.
ISR4K 및 CSR1000v용 Cisco 가상 서비스 리소스 프로파일
Snort Port-Scan Inspector 참조 가이드
Snort Open Source IPS(Intrusion Prevention System) 웹 페이지
CSCwf57595 ISR4K Snort IPS는 HW에 충분한 플랫폼 리소스가 없으므로 구축되지 않음
개정 | 게시 날짜 | 의견 |
---|---|---|
3.0 |
17-Sep-2025
|
최초 릴리스 |
1.0 |
11-Jul-2023
|
최초 릴리스 |