UTD Snort IPS implementeren op Cisco Integrated Services Routers 1000, 4000, CSR's en ISRv-reeks
Inhoud
Inleiding
In dit document wordt beschreven hoe u de UTD Snort IPS Engine kunt implementeren op de Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-reeks met behulp van de IOx-methode.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-reeks met minimaal 8 GB DRAM
- Basiskennis van IOS-XE-opdrachten
- Basiskennis UTD Snort IPS
- Een handtekening IPS snort abonnement voor 1 jaar of 3 jaar is vereist
- IOS-XE 16.10.1a en hoger
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ISR1K-, ISR4K-, CSR- en ISRv-reeks met versie 17.9.3a
- UTD snort engine versie 17.9.3a
- Securityk9-licentie voor ISR1K-, ISR4K-, CSR- en ISRv-series
De VMAN-methode is nu afgekeurd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
De Unified Threat Defense (UTD) Snort IPS-functie maakt een Intrusion Prevention System (IPS) of Intrusion Detection System (IDS) mogelijk voor filialen op Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series. Deze functie maakt gebruik van de open-source Snort om IPS- of IDS-mogelijkheden in te schakelen.
Snort is een open-source IPS die realtime verkeersanalyse uitvoert en waarschuwingen genereert wanneer bedreigingen worden gedetecteerd op IP-netwerken. Het kan ook protocolanalyse uitvoeren, inhoud onderzoeken of marcheren, en een verscheidenheid aan aanvallen en sondes detecteren, zoals bufferoverlopen, stealth-poortscans, enzovoort. De UTD Snort-engine wordt uitgevoerd als een virtuele containerservice op Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series.
De UTD Snort IPS biedt IPS- of IDS-mogelijkheden voor Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series.
- De UTD bewaakt het netwerkverkeer en analyseert het aan de hand van een gedefinieerde regelset.
- De UTD voert de classificatie van bijlagen uit.
- De UTD beroept zich op acties tegen overeenkomende regels.
Gebaseerd op netwerkvereisten. De UTD Snort IPS kan worden ingeschakeld als IPS of IDS:
- In de IDS-modus: De UTD snort-engine controleert het verkeer en rapporteert waarschuwingen, maar onderneemt geen actie om aanvallen te voorkomen.
- In de IPS-modus: De UTD snort engine inspecteert het verkeer en rapporteert waarschuwingen zoals IDS doet, maar er worden acties ondernomen om aanvallen te voorkomen.
De UTD Snort IPS draait als een service op de routers ISR1K, ISR4K, CSR's en ISRv-serie. Servicecontainers maken gebruik van virtualisatietechnologie om een hostingomgeving op Cisco-apparaten voor toepassingen te bieden. Snort-verkeersinspectie is ingeschakeld op een per-interface basis of globaal op alle ondersteunde interfaces.
UTD Snort Engine IPS-oplossing
De UTD snort engine IPS oplossing bestaat uit de volgende entiteiten:
-
Snurksensor — bewaakt het verkeer om afwijkingen te detecteren op basis van het geconfigureerde beveiligingsbeleid (dat handtekeningen, statistieken, protocolanalyse, enzovoort omvat) en stuurt waarschuwingsberichten naar de server voor waarschuwingen/rapportage. De Snort-sensor wordt ingezet als een virtuele containerservice op de router.
-
Handtekeningenwinkel — host de Cisco-handtekeningenpakketten die periodiek worden bijgewerkt. Deze handtekeningpakketten worden periodiek of op aanvraag gedownload naar Snort-sensoren. Gevalideerde handtekeningpakketten worden gepost op Cisco.com. Op basis van de configuratie kunnen handtekeningpakketten worden gedownload van Cisco.com of een lokale server.
De volgende domeinen zijn toegankelijk voor de router tijdens het downloaden van het handtekeningenpakket van cisco.com:
-
api.cisco.com
-
apx.cisco.com
-
cloudsso.cisco.com
-
cloudsso-test.cisco.com
-
cloudsso-test3.cisco.com
-
cloudsso-test4.cisco.com
-
cloudsso-test5.cisco.com
-
cloudsso-test6.cisco.com
-
cloudsso.cisco.com
-
download-ssc.cisco.com
-
dl.cisco.com
-
resolver1.opendns.com
-
resolver2.opendns.com
Handtekeningspakketten moeten handmatig worden gedownload van Cisco.com naar de lokale server met behulp van Cisco.com-referenties voordat de Snort-sensor ze kan ophalen.
-
-
Waarschuwing/meldingsserver — Ontvangt meldingen van de Snort-sensor. Waarschuwingsgebeurtenissen gegenereerd door de Snort-sensor kunnen worden verzonden naar de IOS-syslog of een externe syslog-server of naar zowel IOS-syslog als externe syslog-server. Er worden geen externe logboekservers meegeleverd met de Snort IPS-oplossing.
-
Beheer — beheert de Snort IPS-oplossing. Het beheer wordt geconfigureerd met behulp van de IOS CLI. De Snort Sensor kan niet rechtstreeks worden geopend en alle configuratie kan alleen worden gedaan met behulp van de IOS CLI.
Vergunningseisen
De volgende zijn de licentievereisten voor de UTD-snortmotor:
- De Security K9-licentie is vereist voor de ISR1K-, ISR4K-routers, CSR's en ISRv. Daarnaast is een handtekening abonnement van 1 jaar of 3 jaar ook vereist, er zijn twee soorten abonnementen:
a) Pakket voor communautaire handtekeningen: De reeks regels voor communautaire handtekeningen biedt beperkte bescherming tegen bedreigingen.
b) Op abonnees gebaseerd handtekeningenpakket: De op abonnees gebaseerde handtekeningenpakket-regelset biedt de beste bescherming tegen bedreigingen. Het omvat dekking voorafgaand aan exploits en biedt ook de snelste toegang tot bijgewerkte handtekeningen als reactie op een beveiligingsincident of de proactieve ontdekking van een nieuwe dreiging. Dit abonnement wordt volledig ondersteund door Cisco en het pakket wordt voortdurend bijgewerkt op Cisco.com.
Het UTD Snort Subscriber Signature Package kan worden gedownload van software.cisco.com en de snort signature informatie kan worden gevonden op snort.org.
Daarnaast kunt u de volgende snort.org Rule Documentation Search-tool gebruiken om te zoeken naar specifieke snort-IPS-handtekening-ID's.
- De licentie voor DNA-Essentials is vereist voor de Catalyst 8000 Edge-routers die in de sectie Ondersteunde platforms worden genoemd om IPS/Snort te kunnen gebruiken.
Ondersteunde platforms
De volgende zijn de ondersteunde platforms voor de UTD snort engine:
- ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv en ISR 1K (X PID's zoals 1111X, 1121X, 1161X enz. die alleen 8 GB DRAM ondersteunen, vanaf versie 17.2.1r)
- Katalysator 8500L, 8300, 8200, 8000V.
Beperkingen
De volgende beperkingen zijn van toepassing op de UTD snort engine:
- Alleen tcp-, udp- en icmp-pakketten worden omgeleid naar de UTD-snurkmotor voor inspectie
- Alleen door de doos zal het verkeer worden omgeleid naar de UTD snort motor voor inspectie
Beperkingen
De volgende beperkingen zijn van toepassing op de UTD snort engine:
-
Wanneer u de boost-licentie inschakelt op ISR's uit de Cisco 4000-reeks, kunt u de virtuele servicecontainer voor Snort IPS niet configureren.
-
Niet compatibel met de functie SYN-cookie van de op zone gebaseerde firewall.
-
Netwerkadresvertaling 64 (NAT64) wordt niet ondersteund.
-
SnortSnmpPlugin is vereist voor SNMP-polling in open source Snort. Snort IPS biedt geen ondersteuning voor SNMP-pollingmogelijkheden of MIB's omdat de SnortSNMP-plug-in niet op UTD is geïnstalleerd.
-
- De snelheid van de IOS-syslog is beperkt en als gevolg daarvan zijn alle waarschuwingen die door Snort worden gegenereerd mogelijk niet zichtbaar via de IOS-syslog. U kunt echter alle Syslog-berichten bekijken als u deze exporteert naar een externe syslog-server.
UTD Snort Engine IPS Download Links
Hieronder vindt u de Cisco-koppelingen voor het downloaden van de UTD Snort IPS Engine Software-afbeeldingsbestanden die u kunt gebruiken voor het installeren van de UTD snort-engine op uw Cisco-router. Daarnaast vindt u de UTD Snort Subscriber Signature Package bestanden om de UTD snort IPS-handtekeningen te downloaden, afhankelijk van de UTD snort engine versie draait.
- Katalysator 8500L - https://software.cisco.com/download/home/286324574/type
- Catalyst 8300 - https://software.cisco.com/download/home/286324476/type
- Catalyst 8200 - https://software.cisco.com/download/home/286324472/type
- Katalysator 8000V - https://software.cisco.com/download/home/286327102/type
Netwerkdiagram
Configureren
Installatie van UTD-snurkengine
Stap 1. Configureer de VirtualPortGroup-interfaces voor de UTD-snort-engine en configureer twee poortgroepen:
- De VirtualPortGroup0 voor beheerverkeer: deze VirtualPortGroup wordt gebruikt om logboeken naar de logboekverzamelaar te bronnen en handtekeningupdates van Cisco.com te halen.
- TheVirtualPortGroup1 voor dataverkeer: Deze VirtualPortGroup wordt gebruikt voor het verzenden en ontvangen van pakketten die zijn gemarkeerd voor inspectie en die aankomen op het gegevensvlak voor IPS-inspectie.
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Stap 2. Schakel de IOx-omgeving in de modus Globale configuratie in.
Router(config)#iox
Stap 3. Activeer vervolgens de virtuele service en configureer gast-IP's, configureer hiervoor de app-hosting met de vnic-configuratie.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Stap 4 (optioneel). Bronprofiel configureren.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Stap 5. Kopieer het softwarebestand van UTD Snort IPS-engine naar de flash-routers en installeer de app-hosting met het bestand UTD.tar als volgt.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Volgende syslogs moeten worden gezien die aangeven dat de UTD-service correct is geïnstalleerd.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Stap 6. Start de app-hostingservice.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Volgende syslog berichten moeten worden gezien die aangeven dat UTD-service correct is geïnstalleerd.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
De UTD Snort Engine configureren als IPS of IDS
Na succesvolle installatie moet het servicevlak worden geconfigureerd voor de UTD-snort-engine. De UTD snort engine kan worden geconfigureerd als Intrusion Prevention System (IPS) of als Intrusion Detection System (IDS) voor verkeersinspectie.
Stap 1. De standaardmotor voor Unified Threat Defense (UTD) configureren (Servicevlak)
Router#configure terminal
Router(config)#utd engine standard
Stap 2. Schakel de registratie van de UTD-snort-engine in op een externe server en op de IOSd-syslog.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Opmerking: De UTD Snort IPS bewaakt het verkeer en rapporteert gebeurtenissen aan een externe logserver of de IOS-syslog. Het inschakelen van logboekregistratie op de IOS-syslog kan de prestaties beïnvloeden vanwege het potentiële volume van logberichten. Externe monitoringtools van derden, die Snort-logs ondersteunen, kunnen worden gebruikt voor het verzamelen en analyseren van logs.
Stap 3. Schakel Threat Inspection in voor Snort Engine.
Router(config-utd-eng-std)#threat-inspection
Stap 4. Configureer Threat Detection (IDS) of Intrusion Prevention System (IPS) als de bedrijfsmodus voor de snurkmotor.
Router(config-utd-engstd-insp)#threat [protection,detection]
Stap 5. Configureer het beveiligingsbeleid voor de snort-engine.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Stap 6 (optioneel). Schakel de UTD allowed-list (Whitelist)-configuratie in.
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Stap 7 (optioneel). Configureer de IPS-handtekening-ID's die in de whitelist moeten worden opgenomen.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Stap 8 (optioneel). Toegestane lijst inschakelen bij configuratie van bedreigingsinspectie.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Stap 9. Configureer het bijwerken van de handtekening om de snelkoppelingshandtekeningen automatisch te downloaden.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Stap 10. Configureer de parameters voor de update van de UTD-server voor de handtekening van de snort-engine.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Stap 11. Schakel het registratieniveau van de UTD-snort-engine en de registratie van de waarschuwingsstatistieken voor dreigingsinspecties in:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Stap 12. UTD-service inschakelen.
Router#configure terminal
Router(config)#utd
Stap 13 (optioneel). Omleiden van gegevensverkeer van de VirtualPortGroup-interface naar de UTD-service.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Stap 14. Stel de UTD IPS-engine in om het verkeer van alle Layer 3-interfaces op de router te inspecteren.
Router(config-utd)#all-interfaces
Stap 15. Schakel de motorstandaard in.
Router(config-utd)#engine standard
Volgende syslog berichten moeten worden gezien die aangeven dat de UTD snort engine goed was ingeschakeld:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Stap 16 (optioneel). Definieer de actie voor UTD snort engine tijdens een storing (UTD Data Plane)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Stap 17. Sla de routerconfiguratie op.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
Port-Scan Inspector voor de UTD Snort Engine
De UTD snort engine heeft Port-Scan mogelijkheden. Een poortscan is een vorm van netwerkverkenning die vaak door aanvallers wordt gebruikt als voorspel voor een aanval. In een poortscan stuurt een aanvaller pakketten die zijn ontworpen om te onderzoeken of netwerkprotocollen en -services op een gerichte host worden gebruikt. Door de pakketten te onderzoeken die als reactie door een host zijn verzonden, kan de aanvaller bepalen welke poorten op de host zijn geopend en, direct of op basis van gevolgtrekking, welke toepassingsprotocollen op deze poorten worden uitgevoerd.
Op zichzelf is een poortscan geen bewijs van een aanval. Legitieme gebruikers op uw netwerk kunnen vergelijkbare poortscantechnieken gebruiken die worden gebruikt door aanvallers.
De inspector por_scan detecteert vier typen poorten en controleert de pogingen tot verbinding met TCP-, UDP-, ICMP- en IP-protocollen. Door activiteitspatronen te detecteren, helpt de port_scan-inspector u te bepalen welke poortscans mogelijk schadelijk zijn.
Poortscans zijn over het algemeen verdeeld in vier typen op basis van het aantal beoogde hosts, het aantal scanhosts en het aantal poorten dat wordt gescand.
Regels voor Port Scan Inspector
In tabel 3 hieronder worden de regels voor de poortscancontrole weergegeven.
Gevoelige poortscanniveaus
De port_scan-inspector biedt drie standaardscangevoelige niveaus voor de UTD-snort-engine:
- Hoge poort_scan
- Lage poort_scan
- Medium port_scan
De Port-Scan Inspector configureren voor de UTD Snort Engine
Stap 1. De standaardmotor voor Unified Threat Defense (UTD) configureren (Servicevlak)
Router#configure terminal
Router(config)#utd engine standard
Stap 2. Schakel Threat Inspection in voor de UTD snort Engine.
Router(config-utd-eng-std)#threat-inspection
Stap 3. Schakel vervolgens de port_scan in.
Router(config-utd-engstd-insp)#port-scan
Stap 4. Stel het gevoelige niveau port_scan in en de beschikbare opties zijn hoog, gemiddeld of laag.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Stap 5. Zodra de port_scan is ingeschakeld en geconfigureerd met een gevoelig niveau voor de UTD-snort-engine, gebruikt u de opdracht 'show utd engine standard config' om de port_scan-configuratie te verifiëren.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Verifiëren
Controleer de IP-adressen en de status van de VirtualPortGroup-interfaces
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Controleer de configuratie van de VirtualPortGroup-interfaces
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Controleer de app-hosting configuratie
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Controleer de IOX-activering
Router#show running-config | i iox
iox
Controleer de app-hosting status
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Bekijk de app-hosting details
Geef de opdracht 'Toon app-hostingdetails' uit om de status van de UTD-snurkengine, de actieve softwareversie, het RAM-, CPU- en schijfgebruik, de netwerkstatistieken en de aanwezige DNS-configuratie te bevestigen.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Controleer de compatibiliteitsversie van de UTD-snort-engine en de actieve versie van de IOS-XE-router
Gebruik de opdracht 'show utd engine standard version' om de compatibiliteitsversie van de UTD snort engine te bevestigen, in tegenstelling tot de actieve versie van de IOS-XE router.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Controleer de status van de UTD-snort-engine
Optie 1. Geef de 'show utd engine standard status' opdracht, om de status van de UTD snort engine te bevestigen, Status in 'Groen', Gezondheid in 'Groen' en de Algemene systeemstatus in 'Groen', geven aan dat de UTD snort engine operationeel is.
Router#show utd engine standard status
Engine version : 1.1.11_SV3.1.81.0_XE17.12
Profile : Low
System memory :
Usage : 31.80 %
Status : Green
Number of engines : 1
Engine Running Health Reason
=======================================================
Engine(#1): Yes Green None
=======================================================
Overall system status: Green
Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last failed update time: Wed Sep 3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: IdleOptie 2. Geef de 'show platform software utd global' opdracht, om een korte samenvatting van de UTD snort engine werking staat te krijgen.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Controleer de UTD snort engine configuratie
Optie 1. Geef de opdracht 'show utd engine standard config' op om de configuratiedetails van de UTD-snort-engine, de werkingsmodus, de beleidsmodus, de configuratie voor het bijwerken van handtekeningen, de logboekregistratie, de whitelist en de poortscanstatus weer te geven.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Optie 2. Geef de opdracht 'show running-config | b engine' op om de configuratie van de UTD snort engine weer te geven.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
Controleer de updatestatus van de UTD-snort-engine IPS-snort
1. Geef de opdracht 'show utd engine standard threat-inspection signature update status' op om de status van de IPS snort signature update te controleren.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Geef de opdracht 'utd threat-inspection signature update' uit om een handmatige IPS snort signature update uit te voeren met behulp van de bestaande serverconfiguratie die is toegepast op de UTD snort engine voor het downloaden van de handtekening.
Router#utd threat-inspection signature update
3. Geef de opdracht 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' uit om een handmatige IPS snort signature update te forceren met de opgegeven serverparameters.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Hoe te controleren of de UTD snort motor is het inspecteren van het verkeer
Gebruik de volgende show-opdrachten om het verkeer te controleren dat wordt verwerkt door de UTD-snort-engine en om de statistieken met betrekking tot de verkeersinspectie te controleren.
Optie 1. Uit de onderstaande 'toon utd motor standaard statistieken' output, de 'ontvangen' en 'geanalyseerd' tellers toename, wanneer het verkeer wordt verwerkt door de UTD snort motor:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Optie 2. Van de onderstaande 'show platform hardware qfp active feature utd stats' output, de 'decaps' en 'Divert' tellers verhogen, wanneer het verkeer wordt omgeleid van de Router naar de UTD snort motor voor verkeersinspectie en de 'encaps' en 'Reject' tellers verhogen, wanneer het verkeer wordt omgeleid van de UTD snort motor naar de Router:
Router#show platform hardware qfp active feature utd stats
Summary Statistics:
Policy
Active Connections 3
TCP Connections Created 83364
UDP Connections Created 532075
ICMP Connections Created 494
Channel Summary
Active Connections 3
decaps 1156574 <------------
encaps 1157144 <------------
Expired Connections 615930
Packet stats - Policy
Pkts dropped pkt 15802
byt 14111880
Pkts entered policy feature pkt 1306750
byt 363602774
Pkts slow path pkt 615933
byt 25317465
Packet stats - Channel Summary
Bypass pkt 25368
byt 4459074
Divert pkt 1157144 <------------
byt 301046050
Reinject pkt 1156574 <------------
byt 301015446
Would Drop Statistics (fail-open):
Policy
TCP SYN w/data packet 15802
Channel Summary
Stats were all zero
General Statistics:
Non Diverted Pkts to/from divert interface 2725
Inspection skipped - UTD policy not applicable 111161
Pkts Skipped - New pkt from RP 33139
Response Packet Seen 64766
Feature memory allocations 615933
Feature memory free 615930
Feature Object Delete 615930
Skipped - First-in-flow RST packets of a TCP flow 55
Diversion Statistics Summary:
SN offloaded flow 3282
Flows Bypassed as SN Unhealthy 25368
Service Node Statistics:
SN down 1
SN health green 13
SN health red 12
SN Health: Channel: Threat Defense : Green
AppNAV registration 2
AppNAV deregister 1
SN Health: Channel: Service : Down
Stats were all zero
TLS Decryption policy not enabled
Appnav Statistics:
No FO Drop pkt 0
byt 0Optie 3. Uit de onderstaande 'tonen utd motor standaard statistieken interne' output, de 'ontvangen' en 'geanalyseerd' tellers verhogen, wanneer het verkeer wordt omgeleid van de Router naar de UTD snort motor voor verkeersinspectie. Daarnaast zal deze output verdere details en statistieken weergeven over het verkeer dat wordt geïnspecteerd door de UTD snort engine:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Hoe te bevestigen of de UTD snort engine een IPS snort handtekening heeft geactiveerd
Gebruik de volgende show-opdrachten om de geactiveerde snort-IPS-handtekeningen, de gegenereerde IPS/IDS-gebeurtenissen en de betrokken bron- en bestemmings-IP-adressen te controleren.
Optie 1. Gebruik de opdracht 'show utd engine standard logging events [threat-inspection]' om te zoeken naar IPS/IDS-gebeurtenissen:
Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10Optie 2. Gebruik de opdracht 'show utd engine standard logging statistics threat-inspection' om te zoeken naar de beste IPS-snorthandtekeningen die in de afgelopen 24 uur zijn geactiveerd en hoe vaak elke handtekening is geactiveerd:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Optie 3. Gebruik de opdracht 'show utd engine standard logging statistics threat-inspection detail' om te zoeken naar de belangrijkste IPS-snorthandtekeningen die in de afgelopen 24 uur zijn geactiveerd, hoe vaak elke handtekening is geactiveerd en de bron- en bestemmings-IP-adressen die de handtekening hebben geactiveerd:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Optie 4. De UTD snort-engine bewaakt het verkeer en rapporteert gebeurtenissen aan een externe logserver of de IOS-syslog. Het inschakelen van logboekregistratie op de IOS-syslog kan de prestaties beïnvloeden vanwege het potentiële volume van logberichten. Externe monitoringtools van derden, die Snort-logs ondersteunen, kunnen worden gebruikt voor het verzamelen en analyseren van logs.
Wanneer de UTD snort-engine een IPS/IDS-gebeurtenis genereert, geeft de router een syslog-bericht weer zoals het volgende:
Router#
*Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184Wanneer de UTD snort engine is geconfigureerd om logs uit te sturen naar een externe syslog server, dan moet u de UTD snort engine logs zien in uw externe syslog server als volgt:
De actieve IPS-snorthandtekeningen weergeven
Gebruik de volgende opdrachten om de Active, Drop en Alert IPS snort-handtekeningen weer te geven voor de UTD snort engine, afhankelijk van de gebruikte beleidsconfiguratie (Evenwichtig, Connectiviteit of Beveiliging).
Optie 1. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het beveiligingsbeleid weer te geven.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_security
Router#more bootflash:siglist_security
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity,
Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]Optie 2. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het connectiviteitsbeleid weer te geven.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Connectivity
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation,
Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]Optie 3. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het beleid Gebalanceerd weer te geven.
Router#show utd engine standard config
UTD Engine Standard Configuration:
VirtualPortGroup Id: 1
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Balanced
Signature Update:
Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Occurs-at : daily ; Hour: 17; Minute: 55
Logging:
Server : IOS Syslog; 172.16.2.2
Level : debug
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Disabled
Whitelist Signature IDs:
Port Scan : Enabled
Sense level : High
Web-Filter : Disabled
Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499
For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
List of Active Signatures:
--------------------------
sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos,
Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user,
Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin,
Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]Probleemoplossing
1. Zorg ervoor dat de Cisco Integrated Services Router (ISR) XE 16.10.1a en hoger uitvoert (voor IOx-methode).
2. Zorg ervoor dat de Cisco Integrated Services Router (ISR) is gelicentieerd met de functie SecurityK9 ingeschakeld.
3. Controleer of het hardwaremodel van de ISR voldoet aan het minimumhulpbronnenprofiel.
4. De UTD snort engine is niet compatibel met de Zone-Based Firewall SYN-cookie en de Network Address Translation 64 (NAT64)
5. Bevestig dat de UTD snort engine service is gestart na de installatie.
6. Zorg er tijdens het downloaden van het handmatige handtekeningenpakket voor dat het pakket dezelfde versie heeft als de versie van de Snort-engine. De update van het handtekeningenpakket kan mislukken als de versie niet overeenkomt.
7. Gebruik in geval van prestatieproblemen de "show app-hosting resource" en de "show app-hosting utilization applied "UTD-NAME" voor het controleren van de UTD CPU, geheugen en opslagruimte.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
foutopsporing
Voor het oplossen van problemen kunt u de onderstaande foutopsporingsopdrachten gebruiken om meer informatie te verzamelen van de UTD snort engine.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Waarschuwing: het uitvoeren van foutopsporingsopdrachten tijdens de productie-uren kan het CPU-, geheugen- of schijfgebruik op de UTD Snort-engine of de router aanzienlijk verhogen, wat mogelijk van invloed is op het verkeer en de stabiliteit van het systeem. Gebruik foutopsporingsopdrachten spaarzaam, bij voorkeur tijdens een onderhoudsvenster, en schakel ze onmiddellijk uit na het verzamelen van de vereiste gegevens. Als een verhoogd gebruik van bronnen of een impact op de service wordt waargenomen, stopt u het foutopsporingsonderzoek en neemt u contact op met Cisco TAC.
Gerelateerde informatie
Aanvullende documentatie met betrekking tot de UTD Snort IPS-implementatie vindt u hier:
Cisco Snort IPS-beveiligingsconfiguratiehandleiding
Cisco Virtual Service Resource Profile voor ISR4K en CSR1000v
IPS op routers snuiven - stapsgewijze configuratie
Cisco Guide - Problemen oplossen met snort IPS
Naslaggids voor Port-Scan Inspector
Open Source Intrusion Prevention System (IPS)-webpagina afbreken
UTD Security Virtual Image installeren op cEdge-routers
CSCwf57595 ISR4K Snort IPS wordt niet geïmplementeerd omdat HW niet over voldoende platformbronnen beschikt
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
17-Sep-2025
|
Eerste vrijgave |
1.0 |
11-Jul-2023
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)