IDS 4.0/AIP-SSM/IPS 5.0 이상 FAQ

소개

이 문서에서는 Cisco IDS(Secure Intrusion Detection System) 4.0, AIP SSM(Advanced Intrusion and Prevention Security Services Module) 및 Cisco IPS(Intrusion Prevention System) 5.0 이상과 관련된 가장 자주 묻는 질문(FAQ)에 대해 설명합니다.

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

IDS 4.0

Q. 새 서버에 IDS MC 및 SecMon을 설치했는데 이제 이전 서버에서 새 서버로 모든 구성(사용자, 장치 등)을 가져오려고 합니다.어떻게 해야 합니까?

A. 이 작업을 수행하는 가장 쉬운 방법은 새 VMS 서버를 가져온 다음 이 새 상자로 센서를 검색하는 것입니다.

참고: 센서를 추가할 때는 수동으로 추가하지 마십시오.검색 설정 상자를 선택합니다.

센서가 발견되면 SecMon으로 가져옵니다.모든 컨피그레이션이 센서에 저장됩니다.새 서버를 빌드한 후 시그니처 설정, 필터 등이 와야 합니다.IDS MC를 최신 서명으로 업데이트해야 합니다.

Q. IDS-4215는 idsPackageMgr을 수신합니다.IDS 복구 파티션 업그레이드를 시도하는 동안 잘못된 인수 오류 메시지가 표시됩니다.이 문제를 해결하려면 어떻게 해야 합니까?

A. 이건 제조 문제입니다.일부 고객은 잘못된 기본 이미지(4.0)로 IDS-4215를 받았습니다. 다음 단계를 완료합니다.

1. 복구 파티션 이미지를 다운로드합니다(등록된 고객만 해당).
2. CLI를 통해 복구 파티션 이미지 업그레이드를 적용합니다.

   sensor#configure terminal 
   sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/
       IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg
   

3. 복구 파티션 이미지가 적용되면 4215가 4.1(1) 4215 베이스를 실행하는 정상적인 상태로 복원됩니다.

   sensor(config)#recover application-partition
   

Q. S100 이상 등의 2자리 sig 레벨 패키지에서 3자리 sig 레벨 패키지로 업그레이드할 경우(예: 4.1(4)S99 - 4.1(4)S100) 자동 업데이트 기능이 실패합니다.이 문제를 어떻게 해결합니까?

참고: Cisco VMS 및 CLI 고객은 이 문제를 경험하지 않습니다.

문제의 원인은 파일 이름을 구문 분석할 때 사용되는 정렬 논리입니다.숫자일 때 영숫자 정렬입니다.해결 방법은 CLI(또는 VMS)를 사용하여 S100 이상 등의 3자리 sig 레벨 패키지로 업그레이드하는 것입니다.이 작업이 완료되면 자동 업데이트가 다시 작동하기 시작합니다.자세한 내용은 Cisco 버그 ID CSCef07999(등록된 고객만)를 참조하십시오.

Q. "인증 토큰 조작 오류"는 무엇입니까?오류 메시지?

A. 이 문제를 해결하려면 기본 비밀번호(cisco)를 두 번 사용한 다음 컨피그레이션 모드에서 비밀번호를 변경합니다.IDS는 기본 비밀번호를 두 번 입력해야 합니다.

예를 들면 다음과 같습니다.

login:cisco 
Password:cisco
Enter current password:cisco
Enter new password: *** 
Re-enter new password: *** 

Q. 스위치에서 IDSM을 제거하려면 어떻게 해야 합니까?

A. 전원을 비활성화한 후에만 모듈을 제거해야 합니다.다음 단계를 완료하십시오.

1. 센서 CLI에서 reset powerdown 명령을 실행합니다.
2. 센서가 종료되면 스위치 CLI에서 Cisco IOS에 대해 no power enable module(module_number) 명령 또는 CatOS에 대해 set module power down(module_number) 명령을 실행합니다.
3. 블레이드의 종료 버튼을 누릅니다.
4. 섀시의 전원을 물리적으로 끕니다.상태 표시등이 더 긴 녹색으로 표시되면 모듈을 안전하게 제거할 수 있습니다.

IPS 5.0 이상

Q. 구성된 것을 피했지만 시그니처 차단을 구성하는 방법에 대해 혼동되었습니다.블록 호스트와 블록 연결의 차이점은 무엇입니까?

A. 블록 호스트는 해당 소스 주소에서 오는 모든 패킷을 차단합니다.블록 연결은 소스 및 대상 IP/포트를 기반으로 한 하나의 연결만 차단합니다.PIX는 약간 다른 방식으로 작동합니다.자동 순차의 경우 센서가 소스 IP, 대상 IP, 소스 포트 및 대상 포트를 전송합니다.PIX는 해당 IP 주소에서 시작되는 모든 패킷을 차단합니다.추가 정보는 PIX에서 연결 테이블에서 해당 연결을 제거하는 데 사용됩니다.연결 테이블에서 연결이 제거되지 않은 경우 차단 기능이 적용된 직후 제거되면 원래 연결 시간이 아직 초과되지 않았을 수 있다는 이론적으로 가능합니다.이렇게 하면 공격자가 원래 연결에서 공격을 계속할 수 있습니다.테이블에서 연결을 제거하면 shun을 제거한 후에도 원래 연결을 사용하여 공격을 계속할 수 없습니다.PIX는 단일 연결을 차단하기 위해 shun 명령의 사용을 지원하지 않으므로 센서가 PIX에서 단일 연결을 차단할 수 없습니다.PIX shun 명령은 추가 연결 정보 제공 여부와 상관없이 항상 소스 주소를 차단합니다.

Q. "오류:네트워크 서비스를 다시 시작할 수 없습니다.오류가 발생했습니다.경보를 활성화하려면 노드를 재부팅해야 합니다."오류 메시지?

A. 이 오류는 기본 게이트웨이가 잘못되었거나 IP, 넷마스크 또는 기본 게이트웨이가 잘못되었음을 나타내는 일반 오류 메시지를 의미합니다.메시지의 Fatal 부분은 첫 번째 실패 후 이전 컨피그레이션이 적용되었고 실패했음을 의미합니다.센서가 ifconfig 및 route 명령을 발급하며 그중 하나 또는 둘 다 실패합니다.

Q. 자동 업데이트가 "mainApp[343] Cid/E errSystemError http 오류 응답:500". 오류 메시지와 함께 실패합니다.이 오류 메시지는 무엇을 의미합니까?

A. 이 문제는 자동 업데이트 기능일 수 있습니다. 자동 업데이트 기능이 작동하지 않을 수 있습니다. 이 기능은 1시간 간격으로 다운로드되도록 설정되어 있기 때문입니다.자동 업데이트를 임의의 시간으로 설정해 봅니다.8분 또는 1박 정도 오프셋하면 이 문제를 해결할 수 있습니다.

일반적으로 문제가 해결되고 오류:http 오류 응답:검색 시간을 시간단위가 아닌 경계로 변경하면 500 오류 메시지가 표시됩니다.

참고: IPS는 서명 자동 업데이트에 실패하고 다음 오류 메시지와 함께 반환됩니다.

자동 업데이트 예외:HTTP 연결 실패 [1,110] name=errSystemError

이 문제를 해결하려면 다음 항목을 확인하십시오.

• 방화벽에서 센서가 Cisco.com에 도달하는 것을 막는지 확인합니다.

• 라우팅이 문제가 되는지 확인합니다.

• NATing이 다운스트림 디바이스의 게이트웨이 디바이스에서 올바르게 구성되었는지 확인합니다.

• 사용자 자격 증명이 올바른지 확인합니다.

• 업데이트 시작 시간을 홀수 시간으로 변경합니다.

Q. "오류:exec업그레이드 소프트웨어:AnalysisEngine이 현재 사용 중이므로 이 업데이트를 처리할 수 없습니다.업데이트를 다시 시도하기 전에 몇 분 정도 기다려 주십시오.". 오류 메시지가 의미하는 것입니까?

A. 이 문제를 해결하려면 센서를 다시 로드하거나 센서를 다시 이미지화하십시오.

Q. 오류 메시지 Cid/W 경고를 해결하려면 어떻게 해야 합니까? - 글로벌 상관관계 검사 및 평판 필터링에는 DNS 또는 HTTP 프록시가 필요하지만 DNS 또는 프록시 서버가 정의되지 않았습니다.HTTP 프록시 서버 또는 DNS 서버를 'host' 서비스 컨피그레이션에 추가하시겠습니까?

A. 이 문제를 해결하려면 다음 작업을 완료합니다.

• 전역 상관관계를 비활성화합니다.

• 프록시/dns 컨피그레이션을 추가합니다.

Q. IPS에서 글로벌 상관관계 상태 문제로 받는 이러한 오류를 해결하려면 어떻게 해야 합니까?"2010년 1월 23일 15:50:39.831 38.001 collaborationApp[655] rep/E 글로벌 상관관계 업데이트에 실패했습니다.X.X.82.127:443에서 HTTP 서버에 대한 TLS 연결을 열지 못했습니다.TLS 연결 실패" 및 "collaborationApp[459] rep/E 전역 상관관계 업데이트에 실패했습니다.ibrs/1.1/drop/default/1296529950을 다운로드하지 못했습니다.URI에 유효한 ip 주소가 없습니다."?

A. IPS는 포트 문제로 인해 인터넷에 연결할 수 없습니다. 예를 들어, 인터넷 액세스에 적합한 포트가 열려 있지 않은 경로의 방화벽이나 NAT 문제가 될 수 있습니다.

전역 상관관계가 완전히 작동하려면 센서가 먼저 https update-manifests.ironport.com을 통해 사용자를 인증한 다음 GC 업데이트를 다운로드하기 위한 HTTP 연결을 통해 연결합니다.센서가 HTTP에서 다운로드하는 파일(updates.ironport.com)은 전역 상관관계가 사용하는 평판 데이터입니다.https update-manifests.ironport.com은 항상 X.X.82.127 주소로 확인되어야 하지만 http updates.ironport.com IP 주소는 액세스하는 인터넷에 따라 달라질 수 있습니다.따라서 IP 주소를 확인해야 합니다.URL 필터링이 활성화된 경우 IPS가 인터넷에 연결될 수 있도록 URL 필터에 IPS 관리 인터페이스 IP에 대한 예외를 추가합니다.

이 오류는 이전 GC 업데이트에 손상이 있을 때 발생합니다.

collaborationApp[459] rep/E 글로벌 상관관계 업데이트에 실패했습니다.ibrs/1.1/drop/default/1296529950을 다운로드하지 못했습니다.URI에 올바른 IP 주소가 없습니다.

이 문제는 일반적으로 GC 서비스를 해제한 다음 다시 켜서 해결할 수 있습니다.IDM에서 Configuration > Policies > Global Correlation > Inspection/Reputation을 선택하고 Global Correlation Inspection(및 On인 경우 Reputation Filtering)을 Off로 설정하고 변경 사항을 적용하고 10분 동안 기다렸다가 기능을 설정하고 모니터링합니다.

Q. 글로벌 상관관계 업데이트에 실패했습니다.openConnection:IpAddrException badAddrString을 catch했습니다.전역 상관관계 HTTP 프록시 및 DNS 설정을 사용할 수 없습니다.연결을 확인하고 다시 시도하십시오."Reputation update failure" 범주에서 오류 메시지를 받았습니다.이 문제를 어떻게 해결합니까?

A. 다음 항목을 확인합니다.

• 글로벌 상관관계 기능이 작동하도록 하려면 유효한 IPS 라이센스가 있어야 합니다.

• 전역 상관관계 기능이 작동하도록 하려면 HTTP 프록시 서버 또는 DNS 서버가 구성되어 있어야 합니다.

• 전역 상관관계 업데이트는 센서 관리 인터페이스를 통해 이루어지므로 방화벽은 tcp 443/80 및 udp 53 트래픽을 허용해야 합니다.

• 센서가 전역 상관관계 기능을 지원하는지 확인합니다.이를 원하지 않으면 IDM에서 글로벌 협업 기능을 비활성화합니다.

  • Configuration(컨피그레이션) > Policies(정책) > Global Correlation(전역 상관관계) > Inspection/Reputation(검사/평판)으로 이동하여 Global Correlation Inspection(전역 상관관계 검사)(및 Reputation Filtering if On)을 Off로 설정합니다.

Q. "글로벌 상관관계 업데이트 실패:openConnection:IPS에서 글로벌 상관관계 상태 문제에 대해 수신하는 IpAddrException badAddrString을 catch했습니까?

A. GC(Global Correlation)를 사용하는 경우 이름 확인이 작동하는지 확인합니다(예: DNS에 연결할 수 있음).또한 방화벽 차단 포트 53이 있는지 확인합니다. 그렇지 않으면 이 메시지를 제거하려면 GC 기능을 끌 수 있습니다.

Q. 브라우저에서 IME를 시작할 때 수신하는 MySQL 오류 메시지에 대한 연결을 초기화할 때 예외를 어떻게 해결합니까?

A. 이 문제는 일반적으로 고객이 Windows 7과 같이 지원되지 않는 운영 체제에서 IME를 실행하려고 할 때 발생합니다.

Q. "제목:88-nsmc-c1 공급업체의 IDM:Cisco Systems, Inc. 범주:JNLP 파일의 시작 파일 오류 JAR 리소스가 동일한 인증서로 서명되지 않았습니다."또는 "센서에 연결하는 동안 오류가 발생했습니다. 센서 x.x.x.x:443에서 idm을 종료하는 동안 IDM에서 수신하는 센서 x.x.x:443을 생성하지 못했습니다." 오류가 발생합니까?

A. 이 문제를 해결하려면 브라우저 캐시를 지웁니다.

Q. GUI를 사용하는 경우 IPS에서 비대칭 모드를 구성할 수 있습니까?

A. 버전 6.0에서는 CLI만 사용하여 구성할 수 있고 GUI에서는 사용할 수 없는 IPS의 비대칭 모드입니다.그러나 버전 6.1에서는 GUI에서도 이 기능을 사용할 수 있습니다.

Q. IPS 센서에서 레이턴시 문제를 해결하려면 어떻게 해야 합니까?

A. 이 문제를 해결하려면 센서가 흐름과 상태를 동기화하고 양방향을 모두 필요로 하지 않는 엔진에 대한 검사를 유지하도록 비대칭 모드 처리를 활성화합니다.이 구성 사용:

IPS_Sensor#configure terminal
IPS_Sensor(config)#service analysis-engine
IPS_Sensor(config-ana)#virtual-sensor vs0
IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric

레이턴시 문제는 VS0의 모든 시그니처에 대해 거부 작업과 거부 패킷이 활성화된 경우 발생합니다. 모든 시그니처를 활성화하면 IPS가 지나는 모든 패킷을 검사하므로 레이턴시가 발생합니다.레이턴시 문제를 해결하려면 네트워크 트래픽 흐름에 따라 필요한 특정 서명만 활성화하는 것이 좋습니다.

Q. AIP-SSM은 Skype를 차단하는 데 도움이 됩니까?

A. PIX/ASA에서 Skype 트래픽을 차단할 수 없습니다.Skype는 동적 포트를 협상하고 암호화된 트래픽을 사용할 수 있습니다.암호화된 트래픽에서는 찾을 패턴이 없으므로 탐지하는 것이 사실상 불가능합니다.

결국 Cisco IPS(Intrusion Prevention System)/AIP-SSM을 사용할 수 있습니다.버전을 동기화하기 위해 Skype 서버에 연결하는 Windows Skype 클라이언트를 탐지할 수 있는 일부 시그니처가 있습니다.이는 일반적으로 클라이언트가 연결을 시작할 때 수행됩니다.센서가 초기 Skype 연결을 선택하면 해당 서비스를 사용하는 사람을 찾아 IP 주소에서 시작된 모든 연결을 차단할 수 있습니다.

Q. 센싱 인터페이스 플랩 또는 IPS에서 다운 상태로 전환되는 경우가 자주 발생하는 이유는 무엇입니까?

A. 시그니처 업데이트 및 재컨피그레이션 중에 sensorApp은 업데이트에서 새 서명을 처리할 때 패킷을 처리하도록 중지합니다.네트워크 드라이버가 sensorApp이 중지되었음을 감지하고 버퍼에서 새 패킷을 가져옵니다.네트워크 드라이버는 구성 및 센서 모델에 따라 다른 작업을 수행합니다.

Promiscuous Interface(프로미스큐어스 인터페이스) - 인터페이스에서 링크를 내리고 sensorApp이 다시 모니터링하기 시작하면 링크를 다시 불러옵니다.

Inline Interface 또는 Inline Vlan Pair - Bypass 설정에 따라 달라집니다.

• Bypass Auto(자동 우회) - 드라이버가 링크를 계속 위로 유지하여 분석 없이 패킷을 통과하기 시작합니다.그런 다음 sensorApp이 다시 모니터링하기 시작하면 sensorApp을 통해 패킷을 보내는 것으로 돌아갑니다.

• Bypass Off(우회 끄기) - 프로미스큐어스 모드와 동일한 인터페이스에서 링크를 다운시키고 sensorApp이 다시 모니터링하기 시작하면 다시 가져옵니다.

따라서 센서 앱이 버퍼에서 패킷을 가져오지 않는 경우, 패킷을 처리하도록 구성된 인터페이스가 없기 때문에 발생할 수 있습니다. 그러면 드라이버가 인터페이스를 다운 상태로 설정할 수 있습니다.

센싱 인터페이스가 플랩하는 경우 이러한 로그가 표시됩니다.

28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline
    databypass has started.
28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass
    has stopped.
28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass
    has started.
28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass 
    has stopped.

Q. IDS 또는 IPS(Intrusion Prevention System) 센서가 비밀번호 기록을 유지합니까?

A. 아니오, 센서가 비밀번호 기록을 유지하지 않습니다.비밀번호는 언제든지 볼 수 없습니다.

Q. IDS 또는 IPS(Intrusion Prevention System) 센서가 syslog 서버를 지원하여 로그를 전송합니까?

A. 아니요.

Q. IPS에 이벤트를 저장할 수 있는 최대 한도는 얼마입니까?

A. 센서의 로컬 이벤트는 30MB만 저장하고 30MB 제한에 도달하면 자동으로 덮어쓰기됩니다.이 제한은 구성할 수 없습니다.

Q. 수신 또는 발신 이메일에서 foto[a-z]\.zip 파일을 탐지하기 위해 서명을 작성하려면 어떻게 해야 합니까?

A. STRING.TCP를 사용하여 첨부 파일을 탐지하는 서명을 작성합니다.다음과 유사한 항목을 찾습니다.

Engine STRING.TCP 
Enabled True 
Severity informational 
AlarmThrottle Summarize 
CapturePacket False 
Direction ToService 
MinHits 1 
Protocol =TCP 
RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo]
             [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] 
ResetAfterIdle 15 
ServicePorts 25 
StorageKey =STREAM

Q. FTP 클라이언트 시간 제한을 어떻게 구성합니까?

A. 다음 명령을 실행합니다.

configure terminal
service host
networkParams
ftpTimeout 300 <timeout is in seconds>

Q. iplog 상태의 시작 시간 및 종료 시간을 읽기 가능한 형식으로 변환하려면 어떻게 해야 합니까?

A. 이 출력은 UNIX epoc 이후 현재 시간을 십진수로 나타낸 것입니다.UNIX Date/Time Calculator 사이트에 있는 것과 같은 UNIX epoc 계산기를 사용합니다.이 계산기는 몇 초로만 세분화되고 IDS는 나노초를 저장하므로 처음 10자리를 입력합니다.이것은 마지막 9자리가 제거됨을 의미합니다.이 출력의 시작 시간부터 1084798479 = 월 17일 12:54:39 2004(GMT)가 수신됩니다.

CLI에서 iplog-status를 입력하여 다음 출력을 수신합니다.

"
Log ID:             138343946
IP Address:         xxx.xxx.xxx.xxx
Group:              0
Status:             completed
Start Time:         1084798479512524000
End Time:           1084798510136582000
Bytes Captured:     2833
Packets Captured:   14
"

Q. "IOException when try to get certificate:java.security.cert.CertificateExpiredException".오류 메시지가 나타납니다.이를 어떻게 해결할 수 있습니까?

A. 이 오류 메시지를 해결하려면 다음 예와 같이 AIP-SSM에 로그인하고 특별 권한 EXEC 모드에서 tls generate-key 명령을 실행합니다.

sensor#tls generate-key

참고: 명령 tls generate-key를 사용하는 이 해결은 AIP-SSM이 IME에 연결할 수 없는 문제를 해결합니다.

Q. "IOException:연결이 거부됨:연결IME IME 서버가 응답하지 않습니다.IME에서 IPS를 추가하는 동안 "실행 중"이라는 오류 메시지가 나타납니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 오류 메시지를 해결하려면 제어판 > 관리 도구 > 서비스를 선택하고 IME 서비스를 다시 시작하십시오.

Q. IME에 IPS 센서를 추가하면 Could not verify config username/password[IOEXception - connect timed out] 오류 메시지가 수신됩니다.이 문제를 어떻게 해결할 수 있습니까?

A. IME와 IPS 센서 간의 통신이 끊겼음을 나타냅니다.SDEE를 차단하는 소프트웨어가 없는지 확인합니다.

Q. "IME 서버의 오류 응답:알 수 없는 오류(설치의 로그 디렉토리에서 로그 파일 확인)" . 오류 메시지가 나타납니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 오류 메시지를 해결하려면 IME에 IPS를 추가할 때 올바른 IP 주소가 사용되는지 확인하고, 연결을 차단할 수 있는 IME 컴퓨터에서 실행 중인 소프트웨어 방화벽을 확인합니다.

Q. IDS 또는 IPS(Intrusion Prevention System) 센서가 이메일 알림을 보낼 수 있습니까?

A. IDS 센서는 이메일 알림을 자체적으로 보낼 수 없습니다.IDS와 함께 사용할 경우 보안 모니터는 센서에서 이벤트 규칙을 트리거할 때 이메일 알림을 보낼 수 있습니다.

보안 모니터를 사용하여 이메일 알림을 구성하는 방법에 대한 자세한 내용은 이메일 알림 구성을 참조하십시오.

Cisco IPS Sensor에서 이벤트 규칙을 트리거할 때 이메일 알림 메시지(알림)를 전송하도록 Cisco IPS Manager Express(IME)를 구성할 수 있습니다.IPS 6.X 이상을 참조하십시오.자세한 내용은 IME 컨피그레이션 예를 사용하여 이메일 알림을 참조하십시오.

Q. 오류:mainApp(getVersion)과 통신할 수 없습니다. 시스템 관리자에게 문의하십시오.센서에 연결하려고 하면 오류 메시지가 나타납니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 문제를 해결하려면 센서를 재부팅합니다.

Q. 경고:경고:현재 활성화된 모든 사용자 지정 레지스트리를 결합할 수 있는 리소스가 부족합니다.일부 알림은 실행되지 않습니다.이 메시지가 더 이상 발생하지 않을 때까지 서명을 종료하는 것을 고려하십시오.오류 메시지가 센서에 서명 조정으로 나타납니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 문제를 해결하기 위해 사용되지 않는 서명을 폐기하고, 레지스트리가 있는 고객 서명 수를 줄여야 합니다.또한 레지엑스에서 * 및 + 메타 문자를 사용하지 않는 것이 좋습니다.

Q. Cisco IPS(Intrusion Prevention System) 센서에서 레이턴시 문제가 발생하는 이유는 무엇입니까?이 문제를 어떻게 해결할 수 있습니까?

A. 레이턴시 문제는 assymetric 라우팅으로 인해 발생할 수 있습니다.이 문제를 해결하려면 서명 1330을 비활성화하십시오.

Q. SSHv1을 비활성화하고 Cisco IPS(Intrusion Prevention System) 센서에서 SSHv2만 활성화하도록 할 수 있습니까?

A. 현재 SSHv1을 비활성화하고 SSHv2만 활성화한 상태로 둘 수 없습니다.SSHv1 및 SSHv2 모두 함께 활성화되며 개별적으로 비활성화할 수 없습니다.

Q. 오류:업데이트하는 동안 센서에서 오류가 발생했습니다. 센서 메시지 = 업데이트에 /usr/cids/idsRoot/var에 115000KB가 필요하며 사용 가능한 KB는 110443KB뿐입니다.센서를 버전 4.1(5)로 업그레이드할 때 메시지가 나타납니다. 이 문제를 어떻게 해결할 수 있습니까?

A. 이 오류 메시지는 센서의 메모리가 부족하여 발생합니다.

이 문제를 해결하려면 다음 작업을 완료하십시오.

1. 서비스 어카운트에 로그인하여 root가 됨
2. 아래와 같이 다음 디렉터리를 제거합니다.

   # rm -rf /usr/cids/idsRoot/var/updates/files/S69
   # rm -rf /usr/cids/idsRoot/var/updates/files/common
   # rm /usr/cids/idsRoot/var/virtualSensor/*
   # rm /usr/cids/idsRoot/var/.tmp/*

3. 이제 센서를 업그레이드하십시오.자세한 내용은 Cisco 버그 ID CSCsb81288(등록된 고객만)을 참조하십시오.

Q. mainApp[396] cplane/E Error - accept() 호출이 ASA 로그온 시 -1 오류 메시지를 반환했습니다.이 오류는 어떻게 해결할 수 있습니까?

A. mainApp[396] cplane/E 오류 - accept() 호출이 반환한 -1 오류 메시지는 웹 서버가 파일을 읽을 수 없음을 나타내며 accept() 프로그램이 실패했음을 나타내며, 이는 TLS 연결이 있을 때 파일 설명자를 생성합니다.그러나 이 파일은 정상적인 동작에 필요하지 않습니다.그것은 무해하다.

Q. tls/W errTransport WebSession::sessionTask TLS 연결 예외를 어떻게 해결합니까?핸드셰이크가 불완전한 오류 메시지입니다.

A. 이 오류 메시지는 모듈에서 인증서가 더 이상 유효하지 않음을 나타냅니다.문제를 해결하려면 다음 단계를 완료하십시오.

1. CLI에서 인증서를 재생성합니다.

   1. 센서 명령줄에 로그인합니다.

   2. tls generate 명령을 실행하고 Enter 키를 누릅니다.표시되는 핑거프린트를 확인합니다.

2. 새 인증서를 IME에 가져옵니다.

   1. IME를 열고 홈 페이지의 목록에서 센서 이름을 찾습니다.

   2. 센서를 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다.

   3. Edit Device(디바이스 수정) 화면에 도달하면 OK(확인)를 클릭합니다.센서 시간을 검색할 수 없다는 경고 무시

   4. 새 보안 인증서(방금 생성한 인증서)를 입력하라는 메시지가 표시됩니다. 지문이 일치하는지 확인하고 Yes(예)를 클릭합니다.

   5. 몇 초 후에 센서가 Event Status(이벤트 상태)에 "Connected(연결됨)"를 다시 표시해야 합니다.

Q. IPS에 로그인하려고 하면 다음과 같은 오류 메시지가 표시됩니다.errSystemError-ct-sensorAPP.450이 응답하지 않습니다. clientpipe가 실패했습니다.이 오류를 해결하려면 어떻게 해야 합니까?

A. 이 오류를 해결하려면 reset 명령을 사용하여 IPS를 재부팅하십시오.

Q. AIP-SSM의 시간은 Cisco ASA(Adaptive Security Appliance)의 시간과 다릅니다. 이 문제를 어떻게 해결할 수 있습니까?

A. 이 문제를 해결하려면 NTP 서버를 사용하여 Cisco ASA(Adaptive Security Appliance) 및 AIP-SSM의 시간을 동기화하십시오.

자세한 내용은 IPS 센서에서 NTP 구성을 참조하십시오.

Q. AIP-SSM에 여러 가상 센서를 적용하려면 어떻게 해야 합니까?

A. AIP-SSM에 인터페이스가 하나만 있으므로 AIP-SSM의 가상 센서를 인터페이스당 적용할 수 없습니다.여러 가상 센서를 생성할 때 이 인터페이스를 하나의 가상 센서만 지정해야 합니다.다른 가상 센서에 대한 인터페이스를 지정할 필요가 없습니다.

가상 센서를 생성한 후에는 allocate-ips 명령을 사용하여 ASA(Adaptive Security Appliance)의 보안 컨텍스트에 매핑해야 합니다.많은 보안 컨텍스트를 여러 가상 센서에 매핑할 수 있습니다.자세한 내용은 AIP-SSM 구성의 Adaptive Security Appliance 컨텍스트에 가상 센서 할당 섹션을 참조하십시오.

Q. AIP-SSM에서 지원하는 최대 가상 센서 수는 얼마입니까?

A. 최대 4개의 가상 센서를 지원할 수 있습니다.

Q. IPS에 로그인하기 위해 SSH 또는 IDM을 사용하는 경우 RADIUS/TACACS+ 서버에 대한 관리 사용자를 검증하기 위해 IPS 4240/IDSM/IDSM2를 구성할 수 있습니까?

A. TACACS+ 서버에서는 사용할 수 없지만 RADIUS는 IPS 7.0.(4)E4 릴리스에서 지원됩니다.자세한 내용은 Cisco Intrusion Prevention System 7.0(4)E4용 릴리스 노트의 New and Changed Information and Restrictions and Limits(신규 및 변경된 정보 및 제한 및 제한 사항) 섹션을 참조하십시오.또한 IPS 7.X:ACS 5.X를 RADIUS 서버 컨피그레이션으로 사용하는 사용자 로그인 인증 샘플 컨피그레이션의 예

Q. 만료된 라이센스가 IPS 기능에 미치는 영향은 무엇입니까?

A. 만료된 라이센스가 센서에 미치는 유일한 영향은 서명 업데이트를 중단한다는 것입니다.

Q. IPS 서명 업데이트가 서비스 또는 네트워크 연결에 영향을 줍니까?

A. 아니요. IPS 서명 업데이트는 서비스 또는 네트워크 연결에 영향을 미치지 않습니다.

Q. IPS 모듈이 최신 시그니처로 자동 업데이트되도록 입력하는 정확한 URL은 무엇입니까?

A. IPS 모듈이 최신 시그니처로 자동 업데이트되도록 하는 데 필요한 링크는 다음과 같습니다.https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl

IPS 모듈의 업데이트를 완료하려면 Cisco 사용자 ID와 비밀번호를 사용해야 합니다.

참고: 6.x 코드 교육에서는 Cisco.com의 자동 업데이트가 지원되지 않습니다.서명 파일을 수동으로 다운로드하여 센서에 적용해야 합니다.6.x 코드에는 자동 업데이트 기능이 있습니다.그러나 이는 서명 파일을 수동으로 다운로드해야 하는 로컬 파일 서버에서만 가능합니다.

Q. IPS 센서가 X11 포트 전달 세션의 취약성에 취약합니까?

A. 아니요. 이러한 이유로 취약하지 않습니다.

• 센서에 X11 라이브러리가 없습니다.따라서 하이잭 세션이 없습니다.

• X11 포트 전달은 SSH 컨피그레이션에서 활성화되지 않습니다.

• IPv6은 센서 커널에 컴파일되지 않습니다.이는 취약성을 악용하기 위해 필요합니다.

Q. ASA에서 많은 경고 및 공격 로그를 표시할 때 AIP-SSM에 로그가 표시되지 않는 이유는 무엇입니까?

A. 이는 ASA가 무언가를 차단할 때 중복 검사를 위해 IPS에 전달되지 않기 때문에 발생합니다.따라서 ASA 및 IPS에서 중복 로그를 볼 수 없습니다.

Q. 사용자가 S518 시그니처 세트를 배포한 후 "invalidValue:Edit string-xl-tcp sig XXXX is NO effect in this version(이 버전에는 문자열-tcp sig XXXX 편집이 NO 영향을 주지 않음)" 오류 메시지가 발생합니다.왜?

A. 전체 오류 메시지입니다.

evError: eventId=1284051856322985135 vendor=Cisco severity=warning
  originator:
    hostId: vbintestids03
    appName: sensorApp
    appInstanceId: 700
  time: offset=-240 timeZone=GMT-05:00 1286305251136551000
errorMessage: name=errWarning invalidValue:Editing string-xl-tcp 
sig 21619 has NO effect

이 문제는 string-xl-tcp 또는 string-tcp-xl 엔진이 하드웨어에서 지원되지 않기 때문에 발생합니다.자세한 내용은 IPS Engine E4 릴리스 정보를 참조하십시오.

Q. 자동 업데이트 기능으로 ASA-SSM-10의 서명을 자동으로 업데이트할 때 다음 오류 메시지가 표시됩니다.설치 가능한 자동 업데이트 패키지가 서버 status=true에 없습니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 출력은 다음과 같은 전체 오류 메시지를 표시합니다.

autoUpgradeServerCheck:   
    uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl  
    packageFileName:   
    result: No installable auto update package found on server  status=true

S479 이후 Signature 정의 업데이트에 E4 엔진이 필요하므로 이 오류가 생성되었고 서명이 자동으로 업데이트되지 않습니다.이 문제를 해결하려면 센서를 7.0(2)E4로 수동으로 업그레이드해야 합니다.

참고: 센서가 자동으로 E4로 업그레이드되지 않습니다. 센서는 7.0(2) 및 센서를 재부팅해야 하기 때문입니다.

Q. NIDS용 IPS 5.0의 자동 업데이트 기능이 작동하지 않습니다.이 문제를 어떻게 해결할 수 있습니까?

A. 이 출력은 다음과 같은 전체 오류 메시지를 표시합니다.

autoUpgradeServerCheck:   
    uri: ftp://hfcu-inet01@192.168.1.12//ips-update/  
    packageFileName:   
    result: No installable auto update package found on server  status=true

이 문제는 FTP 서버에 잘못된 디렉터리 목록 스타일이 있기 때문에 발생합니다.이 문제를 해결하려면 기존 MS-DOS 스타일 디렉토리 목록의 UNIX 스타일 디렉토리 목록으로 전환합니다.

디렉터리 목록 설정을 수정하려면 시작 > 프로그램 파일 > 관리 도구를 선택하여 인터넷 서비스 관리자를 엽니다.그런 다음 홈 디렉토리 탭으로 이동하여 디렉토리 목록 스타일을 MS-DOS에서 UNIX로 변경합니다.

Q. IPS-4255는 업그레이드 중에 TcpRootNode::expireNow() 오류 메시지에서 SensorApp 실패를 수신합니다.이 문제를 어떻게 해결합니까?

A. 이 문제는 분석 엔진의 장애로 인해 발생하며 Cisco 버그 ID CSCtb39179(등록된 고객만 해당)로 처리되었습니다. 이 문제를 해결하려면 센서를 버전 7.0(4)E4로 업그레이드하십시오.

Q. 새 라이센스를 구매한 후 라이센스 업데이트를 수행하려고 하면 디바이스에서 다음 오류를 보고합니다."센서에서 라이센스를 업데이트하지 못했습니다." "errExpiredLicense-새 라이센스 만료 날짜가 현재 라이센스 만료 날짜보다 오래되었습니다." 이 문제를 어떻게 해결할 수 있습니까?

A. 이 문제는 수신된 라이센스 파일이 유효하지 않을 때 발생합니다.유효한 라이센스 파일을 얻으려면 Cisco.com에 등록된 사용자로 로그인하고 적절한 라이센스 파일을 다운로드합니다.유효한 라이센스 파일을 가져오면 센서에 설치합니다.

새 라이센스 파일을 설치했지만 여전히 오류가 표시되면 기존의 유효하지 않은 라이센스 파일에 문제가 있을 수 있습니다.이 문제를 해결하려면 다음 단계를 완료하여 기존의 유효하지 않은 라이센스 파일을 삭제합니다.

1. 서비스 계정 사용자 이름을 입력하여 서비스 계정에 로그인합니다.

   서비스 계정이 없는 경우 IPS 명령줄을 열고 컨피그레이션 모드를 시작한 다음 이 명령을 입력합니다

   사용자 이름 권한 서비스 비밀번호 비밀번호

   ciscoasa# session 1
   Opening command session with slot 1.
   
   Connected to slot 1. Escape character sequence is 'CTRL-^X'.
   login:
   Password:
   
   IPS#
   IPS#conf t
   IPS(config)# username name privilege service password password
   

2. 서비스 계정에 로그인한 후 루트로 이동하려면 su 명령을 입력합니다(서비스 계정과 동일한 비밀번호 사용).

3. /usr/cids/idsRoot/shared/ 디렉토리의 파일을 삭제합니다.

   참고: host.conf 파일을 삭제하지 마십시오.

   1. 공유 디렉토리로 이동하려면 cd /usr/cids/idsRoot/shared/ 명령을 입력합니다.

   2. 디렉토리의 파일을 보려면 ls 명령을 입력합니다.

   3. 파일을 제거하려면 rm file_name 명령을 입력합니다.

      참고: host.conf 파일을 삭제하지 마십시오.

4. 센서를 다시 시작하려면 /etc/init.d/cids restart 명령을 입력합니다.

5. 새 라이센스를 설치합니다.

이 동작을 해결하기 위해 Cisco 버그가 접수되었습니다.자세한 내용은 CSCtg76339를 참조하십시오(등록된 고객만 해당).

Q. 오류 메시지는 무엇입니까?파일 핸들의 부족으로 IpLog 1712041197이 일찍 종료되었습니다.name=ErrLimitExceeded 오류 메시지 평균입니까?이 문제를 어떻게 해결합니까?

A. 이 오류는 IP 로깅에서 과도한 양의 패킷으로 인해 발생합니다.이 문제를 해결하려면 IP 로깅 기능을 비활성화합니다.IP 로깅은 문제 해결에만 사용됩니다.모든 시그니처에 대해 활성화하지 않는 것이 좋습니다.

Q. 센서를 s550에서 s551로 업데이트할 때 이 오류가 발생합니다.구성 요소 "signatureDefinition" 및 인스턴스 "sig0"에 대한 현재 구성을 구문 분석할 수 없습니다. 이 문제를 어떻게 해결할 수 있습니까?

A. 서명 23899.0을 수정하면 이 문제가 발생합니다.자세한 내용은 Cisco 버그 ID CSCtn84552(등록된 고객만)를 참조하십시오.

Q. 센서에서 다음 오류가 발생합니다.오류:autoUpdate가 cisco.com 로케이터 서비스에서 패키지를 선택했지만 패키지 다운로드에 실패했습니다.HTTP 응답을 받지 못했습니다.이 문제를 어떻게 해결할 수 있습니까?

A. 자동 업데이트가 발생하는 것을 차단하는 URL 필터링, 콘텐츠 필터링 또는 프록시 서버가 있는지 확인합니다.autoUpdate가 차단되지 않고 제공된 사용자 자격 증명이 올바른지 확인하십시오.

Q. 버전 6.2(3)E4:오류 메시지:IPS 소프트웨어가 (토큰)에 대해 잘못된 XML 데이터를 쓰려고 했습니다. 잘못된 XML 문자가 '*'로 바뀌었습니다. 이 문제를 어떻게 해결할 수 있습니까?

A. 이 동작은 Cisco 버그 ID CSCsq50873에 의해 해결되었습니다(등록된 고객만 해당). 이는 표면적인 문제이며 과도한 양의 로그를 수신하는 경우를 제외하고는 운영 오버헤드를 생성하지 않습니다.일시적인 해결 방법은 센서에서 NTP 관련 컨피그레이션을 제거하는 것입니다.영구 솔루션의 경우 이 버그가 수정된 버전으로 업그레이드하십시오.

Q. 클라이언트가 닫히더라도 IME 워크스테이션이 관리 대상 서버에 계속 연결하는 이유는 무엇입니까?

A. IME는 두 개의 Windows 서비스와 GUI 클라이언트로 작동합니다.클라이언트가 닫히면 두 개의 Windows 서비스(Cisco IPS Manager Express 및 MySQL-IME)가 계속 실행 및 관리되는 센서에서 이벤트를 수집하여 로컬 MySQL 데이터베이스에 저장합니다.이렇게 하면 기록 보고가 발생할 수 있습니다.

IME 클라이언트는 관리되는 센서에 대한 단일 SDEE 서브스크립션을 열고 후속 이벤트 검색 활동에 이 서브스크립션을 다시 사용해야 합니다.IME 워크스테이션에서 관리 센서로의 지속적인 연결은 정상적인 동작입니다.

Q. AIP-SSM 모듈을 SPAN 대상으로 사용할 수 있습니까?

A. 아니요. AIP-SSM 모듈은 ASA 인터페이스를 통과하는 트래픽을 모니터링하는 데만 사용되므로 SPAN 대상으로 사용할 수 없습니다.

Q. IPS를 E3 엔진으로 업그레이드한 후 CPU 사용량이 높은 이유는 무엇입니까?

A. E3 엔진 업데이트를 통해 IPS는 다른 알고리즘을 사용하여 유휴 시간을 관리하고 패킷에 대해 폴링하는 시간을 늘려 레이턴시를 줄입니다.이렇게 검사하면 CPU 사용량이 증가합니다.E3에서 CPU를 측정하는 올바른 방법은 CPU 사용량이 아니라 올바른 CPU 사용률을 표시하는 패킷 로드 백분율입니다.

Q. IPS 어플라이언스에서 상태 LED가 간헐적으로 빨간색으로 켜지는 이유는 무엇입니까?

A. CS-MARS, CSM, IV, VMS-IDS/IPSMC 등과 같은 소프트웨어를 실행하는 원격 관리 스테이션의 인증서가 잘못되었기 때문에 이 문제가 발생할 수 있습니다.이 문제를 해결하려면 다음 단계를 완료하십시오.

1. 원격 관리 스테이션에 센서의 TLS 인증서를 적용합니다.

2. 올바른 DNS 서버를 구성합니다.

Q. IPS가 인터페이스를 통과하는 동안 HTTP의 트래픽을 지연하는 것을 어떻게 차단할 수 있습니까?

A. 센서를 비대칭 모드로 구성하면 문제가 해결됩니다.센서를 비대칭 모드 보호에 놓으려면 다음 단계를 완료하십시오.

1. Configuration(컨피그레이션) > Policies(정책) > Ips(IPS 정책)로 이동합니다.

2. 가상 센서를 두 번 클릭합니다.

3. 고급 옵션으로 이동합니다.

4. Normalize mode(표준화 모드)에서 Asymmetric mode protection(비대칭 모드 보호)을 선택합니다.

5. 확인을 클릭합니다.

6. 변경 사항을 적용하려면 장치를 재부팅합니다.

관련 정보

• Cisco Secure Intrusion Prevention System 지원 페이지
• AIP-SSM 문제 해결
• 보안 제품 필드 알림(CiscoSecure Intrusion Detection 포함)
• 기술 지원 및 문서 − Cisco Systems