De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u de UTD Snort IPS Engine kunt implementeren op de Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-reeks met behulp van de IOx-methode.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De VMAN-methode is nu afgekeurd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De Unified Threat Defense (UTD) Snort IPS-functie maakt een Intrusion Prevention System (IPS) of Intrusion Detection System (IDS) mogelijk voor filialen op Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series. Deze functie maakt gebruik van de open-source Snort om IPS- of IDS-mogelijkheden in te schakelen.
Snort is een open-source IPS die realtime verkeersanalyse uitvoert en waarschuwingen genereert wanneer bedreigingen worden gedetecteerd op IP-netwerken. Het kan ook protocolanalyse uitvoeren, inhoud onderzoeken of marcheren, en een verscheidenheid aan aanvallen en sondes detecteren, zoals bufferoverlopen, stealth-poortscans, enzovoort. De UTD Snort-engine wordt uitgevoerd als een virtuele containerservice op Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series.
De UTD Snort IPS biedt IPS- of IDS-mogelijkheden voor Cisco Integrated Services Routers ISR1K, ISR4K, CSR's en ISRv-series.
Gebaseerd op netwerkvereisten. De UTD Snort IPS kan worden ingeschakeld als IPS of IDS:
De UTD Snort IPS draait als een service op de routers ISR1K, ISR4K, CSR's en ISRv-serie. Servicecontainers maken gebruik van virtualisatietechnologie om een hostingomgeving op Cisco-apparaten voor toepassingen te bieden. Snort-verkeersinspectie is ingeschakeld op een per-interface basis of globaal op alle ondersteunde interfaces.
De UTD snort engine IPS oplossing bestaat uit de volgende entiteiten:
Snurksensor — bewaakt het verkeer om afwijkingen te detecteren op basis van het geconfigureerde beveiligingsbeleid (dat handtekeningen, statistieken, protocolanalyse, enzovoort omvat) en stuurt waarschuwingsberichten naar de server voor waarschuwingen/rapportage. De Snort-sensor wordt ingezet als een virtuele containerservice op de router.
Handtekeningenwinkel — host de Cisco-handtekeningenpakketten die periodiek worden bijgewerkt. Deze handtekeningpakketten worden periodiek of op aanvraag gedownload naar Snort-sensoren. Gevalideerde handtekeningpakketten worden gepost op Cisco.com. Op basis van de configuratie kunnen handtekeningpakketten worden gedownload van Cisco.com of een lokale server.
De volgende domeinen zijn toegankelijk voor de router tijdens het downloaden van het handtekeningenpakket van cisco.com:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Handtekeningspakketten moeten handmatig worden gedownload van Cisco.com naar de lokale server met behulp van Cisco.com-referenties voordat de Snort-sensor ze kan ophalen.
Waarschuwing/meldingsserver — Ontvangt meldingen van de Snort-sensor. Waarschuwingsgebeurtenissen gegenereerd door de Snort-sensor kunnen worden verzonden naar de IOS-syslog of een externe syslog-server of naar zowel IOS-syslog als externe syslog-server. Er worden geen externe logboekservers meegeleverd met de Snort IPS-oplossing.
Beheer — beheert de Snort IPS-oplossing. Het beheer wordt geconfigureerd met behulp van de IOS CLI. De Snort Sensor kan niet rechtstreeks worden geopend en alle configuratie kan alleen worden gedaan met behulp van de IOS CLI.
De volgende zijn de licentievereisten voor de UTD-snortmotor:
a) Pakket voor communautaire handtekeningen: De reeks regels voor communautaire handtekeningen biedt beperkte bescherming tegen bedreigingen.
b) Op abonnees gebaseerd handtekeningenpakket: De op abonnees gebaseerde handtekeningenpakket-regelset biedt de beste bescherming tegen bedreigingen. Het omvat dekking voorafgaand aan exploits en biedt ook de snelste toegang tot bijgewerkte handtekeningen als reactie op een beveiligingsincident of de proactieve ontdekking van een nieuwe dreiging. Dit abonnement wordt volledig ondersteund door Cisco en het pakket wordt voortdurend bijgewerkt op Cisco.com.
Het UTD Snort Subscriber Signature Package kan worden gedownload van software.cisco.com en de snort signature informatie kan worden gevonden op snort.org.
Daarnaast kunt u de volgende snort.org Rule Documentation Search-tool gebruiken om te zoeken naar specifieke snort-IPS-handtekening-ID's.
De volgende zijn de ondersteunde platforms voor de UTD snort engine:
De volgende beperkingen zijn van toepassing op de UTD snort engine:
De volgende beperkingen zijn van toepassing op de UTD snort engine:
Wanneer u de boost-licentie inschakelt op ISR's uit de Cisco 4000-reeks, kunt u de virtuele servicecontainer voor Snort IPS niet configureren.
Niet compatibel met de functie SYN-cookie van de op zone gebaseerde firewall.
Netwerkadresvertaling 64 (NAT64) wordt niet ondersteund.
SnortSnmpPlugin is vereist voor SNMP-polling in open source Snort. Snort IPS biedt geen ondersteuning voor SNMP-pollingmogelijkheden of MIB's omdat de SnortSNMP-plug-in niet op UTD is geïnstalleerd.
Hieronder vindt u de Cisco-koppelingen voor het downloaden van de UTD Snort IPS Engine Software-afbeeldingsbestanden die u kunt gebruiken voor het installeren van de UTD snort-engine op uw Cisco-router. Daarnaast vindt u de UTD Snort Subscriber Signature Package bestanden om de UTD snort IPS-handtekeningen te downloaden, afhankelijk van de UTD snort engine versie draait.
Opmerking: Vereisten waarmee rekening moet worden gehouden voordat u de UTD-snort-engine installeert, Als het een fysieke ISR is, moet deze IOS-XE versie 3.16.1 of hoger uitvoeren. Als het een CSR is, moet het versie 16.3.1 of hoger uitvoeren en als het een ISRv (ENCS) is, moet het versie 16.8.1 of hoger uitvoeren. Voor Catalyst 8300 (startversie 17.3.2 en hoger), 8200 (startversie 17.4.1 en hoger) en voor 8000V (startversie 17.4.1 en hoger).
Opmerking: Als de gebruiker het UTD Snort Subscriber Signature Package handmatig downloadt van de downloadsoftwarepagina, moet de gebruiker ervoor zorgen dat het pakket dezelfde versie heeft als de versie van de Snort-engine. Als de Snort-engine bijvoorbeeld 2982 is, moet de gebruiker dezelfde versie van het handtekeningenpakket downloaden. Als de versie niet overeenkomt, wordt de update van het handtekeningenpakket afgewezen en mislukt deze.
Opmerking: wanneer het handtekeningenpakket wordt bijgewerkt, wordt de engine opnieuw gestart en wordt het verkeer onderbroken of wordt de inspectie voor een korte periode omzeild, afhankelijk van de configuratie van het gegevensvlak fail-open/fail-close.
Stap 1. Configureer de VirtualPortGroup-interfaces voor de UTD-snort-engine en configureer twee poortgroepen:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Opmerking: Zorg ervoor dat u de NAT en Routing configureert die vereist zijn voor de VirtualPortgroup0, zodat de UTD-snort-engine de externe syslog-server en de cisco.com kan bereiken om de update-bestanden voor handtekeningen te pakken.
Stap 2. Schakel de IOx-omgeving in de modus Globale configuratie in.
Router(config)#iox
Stap 3. Activeer vervolgens de virtuele service en configureer gast-IP's, configureer hiervoor de app-hosting met de vnic-configuratie.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Stap 4 (optioneel). Bronprofiel configureren.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Opmerking: De virtuele service van de UTD-snurkengine ondersteunt drie bronprofielen: Laag, Gemiddeld en Hoog. Deze profielen geven de CPU- en geheugenbronnen aan die nodig zijn om de virtuele service uit te voeren. U kunt een van deze bronprofielen configureren. De configuratie van het bronprofiel is optioneel. Als u geen profiel configureert, wordt de virtuele service geactiveerd met het standaardhulpbronnenprofiel. Raadpleeg het Cisco Virtual Service Resource Profile voor ISR4K en CSR1000v voor meer informatie over het bronnenprofiel.
Opmerking: deze optie is niet beschikbaar voor de ISR1K-reeks.
Stap 5. Kopieer het softwarebestand van UTD Snort IPS-engine naar de flash-routers en installeer de app-hosting met het bestand UTD.tar als volgt.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Opmerking: De versie van de UTD-engine is gespecificeerd in de UTD-bestandsnaam, zorg ervoor dat de versie van de UTD-engine die moet worden geïnstalleerd, compatibel is met de IOS-XE-versie die wordt uitgevoerd in de Cisco-router
Volgende syslogs moeten worden gezien die aangeven dat de UTD-service correct is geïnstalleerd.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Opmerking: met 'show app-hosting list' moet de status worden weergegeven als 'geïmplementeerd'
Stap 6. Start de app-hostingservice.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Opmerking: Na het starten van de app-hostingservice moet de status van de app-hosting 'Running' zijn. Gebruik 'toon app-hostinglijst' of 'toon app-hostingdetails' om meer details te zien.
Volgende syslog berichten moeten worden gezien die aangeven dat UTD-service correct is geïnstalleerd.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Na succesvolle installatie moet het servicevlak worden geconfigureerd voor de UTD-snort-engine. De UTD snort engine kan worden geconfigureerd als Intrusion Prevention System (IPS) of als Intrusion Detection System (IDS) voor verkeersinspectie.
Waarschuwing: Bevestig dat de licentiefunctie 'securityk9' is ingeschakeld in de router om door te gaan met de configuratie van het UTD-servicevliegtuig.
Stap 1. De standaardmotor voor Unified Threat Defense (UTD) configureren (Servicevlak)
Router#configure terminal
Router(config)#utd engine standard
Stap 2. Schakel de registratie van de UTD-snort-engine in op een externe server en op de IOSd-syslog.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Opmerking: De UTD Snort IPS bewaakt het verkeer en rapporteert gebeurtenissen aan een externe logserver of de IOS-syslog. Het inschakelen van logboekregistratie op de IOS-syslog kan de prestaties beïnvloeden vanwege het potentiële volume van logberichten. Externe monitoringtools van derden, die Snort-logs ondersteunen, kunnen worden gebruikt voor het verzamelen en analyseren van logs.
Stap 3. Schakel Threat Inspection in voor Snort Engine.
Router(config-utd-eng-std)#threat-inspection
Stap 4. Configureer Threat Detection (IDS) of Intrusion Prevention System (IPS) als de bedrijfsmodus voor de snurkmotor.
Router(config-utd-engstd-insp)#threat [protection,detection]
Opmerking: Gebruik het trefwoord 'bescherming' voor IPS en 'detectie' voor de IDS-modus. De standaardmodus is 'detectie'
Stap 5. Configureer het beveiligingsbeleid voor de snort-engine.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Opmerking: het standaardbeleid is 'gebalanceerd', afhankelijk van het gekozen beleid, zal de snort-engine IPS-handtekeningen activeren of deactiveren voor de snort-engine-beveiliging.
Stap 6 (optioneel). Schakel de UTD allowed-list (Whitelist)-configuratie in.
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Stap 7 (optioneel). Configureer de IPS-handtekening-ID's die in de whitelist moeten worden opgenomen.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Opmerking: De handtekening-ID's kunnen worden gekopieerd van de waarschuwingen die moeten worden onderdrukt, u kunt meerdere handtekening-ID's configureren. Herhaal deze stap voor elke handtekening-ID die moet worden toegevoegd aan de whitelist.
Opmerking: Nadat de toegestane lijst handtekening-ID is geconfigureerd (whitelist), zal de UTD snort motor toestaan dat de stroom door het apparaat zonder waarschuwingen en druppels.
Opmerking: De generator identifier (GID) identificeert het subsysteem dat een inbraakregel evalueert en gebeurtenissen genereert. Standaard inbraakregels hebben een generator-ID van 1 en inbraakregels voor gedeelde objecten hebben een generator-ID van 3. Er zijn ook verschillende regels voor verschillende voorverwerkers. De volgende tabel 1. Generator-ID's verklaren de GID's.
Stap 8 (optioneel). Toegestane lijst inschakelen bij configuratie van bedreigingsinspectie.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Opmerking: Nadat de handtekening-ID voor de whitelist is geconfigureerd, kan de snurkmotor de stroom door het apparaat laten gaan zonder waarschuwingen en druppels
Stap 9. Configureer het bijwerken van de handtekening om de snelkoppelingshandtekeningen automatisch te downloaden.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Opmerking: Het eerste getal definieert het uur in 24-uurs formaat en het tweede getal geeft minuten aan.
Waarschuwing: updates voor UTD-handtekeningen genereren een korte onderbreking van de service op het moment van de update.
Stap 10. Configureer de parameters voor de update van de UTD-server voor de handtekening van de snort-engine.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Opmerking: Gebruik het trefwoord 'cisco' om naar de Cisco-server te verwijzen voor de handtekeningupdates of gebruik het trefwoord 'url' om een aangepast http / https-pad voor de updateserver te definiëren. Voor de Cisco-server moet u uw Cisco-gebruikersnaam en wachtwoordreferenties opgeven.
Opmerking: zorg ervoor dat een DNS-server is geconfigureerd om IPS-snorthandtekeningen van de Cisco-server te downloaden. De Snort-container voert een zoekopdracht uit naar de domeinnaam (op de DNS-server(s) die op de router zijn geconfigureerd) om de locatie voor automatische handtekeningupdates van Cisco.com of op de lokale server op te lossen, als de URL niet is opgegeven als het IP-adres.
Opmerking: het UTD-module MGMT IP-adres dat is toegewezen aan de interface VirtualPortGroup0, moet worden opgenomen in de NAT-configuratie van de router, zodat de module internettoegang krijgt om de Cisco-server te bereiken voor het downloaden van de snort-handtekeningspakketten.
Stap 11. Schakel het registratieniveau van de UTD-snort-engine en de registratie van de waarschuwingsstatistieken voor dreigingsinspecties in:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Opmerking: Als u de Cisco IOS XE Fuji 16.8-release start, kunt u samengevatte details krijgen voor de waarschuwingen voor bedreigingsinspectie bij het uitvoeren van de volgende opdracht 'toon standaard logging threat-inspectie statistieken utd-engine'. Net wanneer de logboekregistratie van de waarschuwingsstatistieken voor dreigingsinspecties is ingeschakeld voor de UTD-snort-engine.
Stap 12. UTD-service inschakelen.
Router#configure terminal
Router(config)#utd
Stap 13 (optioneel). Omleiden van gegevensverkeer van de VirtualPortGroup-interface naar de UTD-service.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Opmerking: als de omleiding niet is geconfigureerd, wordt deze automatisch gedetecteerd.
Stap 14. Stel de UTD IPS-engine in om het verkeer van alle Layer 3-interfaces op de router te inspecteren.
Router(config-utd)#all-interfaces
Stap 15. Schakel de motorstandaard in.
Router(config-utd)#engine standard
Volgende syslog berichten moeten worden gezien die aangeven dat de UTD snort engine goed was ingeschakeld:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Stap 16 (optioneel). Definieer de actie voor UTD snort engine tijdens een storing (UTD Data Plane)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Opmerking: de optie 'fail close' laat al het routerverkeer vallen wanneer de UTD-motor uitvalt en de optie 'fail open' laat het routerverkeer doorgaan zonder IPS / IDS-inspectie tijdens UTD-storingen. De standaard optie is 'fail open'.
Stap 17. Sla de routerconfiguratie op.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
De UTD snort engine heeft Port-Scan mogelijkheden. Een poortscan is een vorm van netwerkverkenning die vaak door aanvallers wordt gebruikt als voorspel voor een aanval. In een poortscan stuurt een aanvaller pakketten die zijn ontworpen om te onderzoeken of netwerkprotocollen en -services op een gerichte host worden gebruikt. Door de pakketten te onderzoeken die als reactie door een host zijn verzonden, kan de aanvaller bepalen welke poorten op de host zijn geopend en, direct of op basis van gevolgtrekking, welke toepassingsprotocollen op deze poorten worden uitgevoerd.
Op zichzelf is een poortscan geen bewijs van een aanval. Legitieme gebruikers op uw netwerk kunnen vergelijkbare poortscantechnieken gebruiken die worden gebruikt door aanvallers.
De inspector por_scan detecteert vier typen poorten en controleert de pogingen tot verbinding met TCP-, UDP-, ICMP- en IP-protocollen. Door activiteitspatronen te detecteren, helpt de port_scan-inspector u te bepalen welke poortscans mogelijk schadelijk zijn.
Poortscans zijn over het algemeen verdeeld in vier typen op basis van het aantal beoogde hosts, het aantal scanhosts en het aantal poorten dat wordt gescand.
In tabel 3 hieronder worden de regels voor de poortscancontrole weergegeven.
De port_scan-inspector biedt drie standaardscangevoelige niveaus voor de UTD-snort-engine:
Stap 1. De standaardmotor voor Unified Threat Defense (UTD) configureren (Servicevlak)
Router#configure terminal
Router(config)#utd engine standard
Stap 2. Schakel Threat Inspection in voor de UTD snort Engine.
Router(config-utd-eng-std)#threat-inspection
Stap 3. Schakel vervolgens de port_scan in.
Router(config-utd-engstd-insp)#port-scan
Stap 4. Stel het gevoelige niveau port_scan in en de beschikbare opties zijn hoog, gemiddeld of laag.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Stap 5. Zodra de port_scan is ingeschakeld en geconfigureerd met een gevoelig niveau voor de UTD-snort-engine, gebruikt u de opdracht 'show utd engine standard config' om de port_scan-configuratie te verifiëren.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Geef de opdracht 'Toon app-hostingdetails' uit om de status van de UTD-snurkengine, de actieve softwareversie, het RAM-, CPU- en schijfgebruik, de netwerkstatistieken en de aanwezige DNS-configuratie te bevestigen.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Gebruik de opdracht 'show utd engine standard version' om de compatibiliteitsversie van de UTD snort engine te bevestigen, in tegenstelling tot de actieve versie van de IOS-XE router.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Optie 1. Geef de 'show utd engine standard status' opdracht, om de status van de UTD snort engine te bevestigen, Status in 'Groen', Gezondheid in 'Groen' en de Algemene systeemstatus in 'Groen', geven aan dat de UTD snort engine operationeel is.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Opmerking: Wanneer de UTD-snurkengine is overtekend, verandert de status van het afweerkanaal van de dreiging tussen groen en rood. Het UTD-dataplane laat alle verdere pakketten vallen als fail-close is geconfigureerd of stuurt de pakketten ongeïnspecteerd door als fail-close niet is geconfigureerd (standaard). Wanneer het UTD-serviceplane herstelt van overinschrijving, reageert het op het UTD-dataplane met de groene status.
Optie 2. Geef de 'show platform software utd global' opdracht, om een korte samenvatting van de UTD snort engine werking staat te krijgen.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Optie 1. Geef de opdracht 'show utd engine standard config' op om de configuratiedetails van de UTD-snort-engine, de werkingsmodus, de beleidsmodus, de configuratie voor het bijwerken van handtekeningen, de logboekregistratie, de whitelist en de poortscanstatus weer te geven.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Optie 2. Geef de opdracht 'show running-config | b engine' op om de configuratie van de UTD snort engine weer te geven.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Geef de opdracht 'show utd engine standard threat-inspection signature update status' op om de status van de IPS snort signature update te controleren.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Geef de opdracht 'utd threat-inspection signature update' uit om een handmatige IPS snort signature update uit te voeren met behulp van de bestaande serverconfiguratie die is toegepast op de UTD snort engine voor het downloaden van de handtekening.
Router#utd threat-inspection signature update
3. Geef de opdracht 'utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force' uit om een handmatige IPS snort signature update te forceren met de opgegeven serverparameters.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Gebruik de volgende show-opdrachten om het verkeer te controleren dat wordt verwerkt door de UTD-snort-engine en om de statistieken met betrekking tot de verkeersinspectie te controleren.
Optie 1. Uit de onderstaande 'toon utd motor standaard statistieken' output, de 'ontvangen' en 'geanalyseerd' tellers toename, wanneer het verkeer wordt verwerkt door de UTD snort motor:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Optie 2. Van de onderstaande 'show platform hardware qfp active feature utd stats' output, de 'decaps' en 'Divert' tellers verhogen, wanneer het verkeer wordt omgeleid van de Router naar de UTD snort motor voor verkeersinspectie en de 'encaps' en 'Reject' tellers verhogen, wanneer het verkeer wordt omgeleid van de UTD snort motor naar de Router:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Optie 3. Uit de onderstaande 'tonen utd motor standaard statistieken interne' output, de 'ontvangen' en 'geanalyseerd' tellers verhogen, wanneer het verkeer wordt omgeleid van de Router naar de UTD snort motor voor verkeersinspectie. Daarnaast zal deze output verdere details en statistieken weergeven over het verkeer dat wordt geïnspecteerd door de UTD snort engine:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Gebruik de volgende show-opdrachten om de geactiveerde snort-IPS-handtekeningen, de gegenereerde IPS/IDS-gebeurtenissen en de betrokken bron- en bestemmings-IP-adressen te controleren.
Optie 1. Gebruik de opdracht 'show utd engine standard logging events [threat-inspection]' om te zoeken naar IPS/IDS-gebeurtenissen:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Optie 2. Gebruik de opdracht 'show utd engine standard logging statistics threat-inspection' om te zoeken naar de beste IPS-snorthandtekeningen die in de afgelopen 24 uur zijn geactiveerd en hoe vaak elke handtekening is geactiveerd:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Optie 3. Gebruik de opdracht 'show utd engine standard logging statistics threat-inspection detail' om te zoeken naar de belangrijkste IPS-snorthandtekeningen die in de afgelopen 24 uur zijn geactiveerd, hoe vaak elke handtekening is geactiveerd en de bron- en bestemmings-IP-adressen die de handtekening hebben geactiveerd:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Optie 4. De UTD snort-engine bewaakt het verkeer en rapporteert gebeurtenissen aan een externe logserver of de IOS-syslog. Het inschakelen van logboekregistratie op de IOS-syslog kan de prestaties beïnvloeden vanwege het potentiële volume van logberichten. Externe monitoringtools van derden, die Snort-logs ondersteunen, kunnen worden gebruikt voor het verzamelen en analyseren van logs.
Wanneer de UTD snort-engine een IPS/IDS-gebeurtenis genereert, geeft de router een syslog-bericht weer zoals het volgende:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Opmerking: De logboeken van de UTD-snort-engine worden weergegeven in de IOSd-CLI van de router, net wanneer de logboekregistratie is ingeschakeld onder de standaard configuratie van de utd-engine voor de UTD-snort-engine.
Wanneer de UTD snort engine is geconfigureerd om logs uit te sturen naar een externe syslog server, dan moet u de UTD snort engine logs zien in uw externe syslog server als volgt:
Gebruik de volgende opdrachten om de Active, Drop en Alert IPS snort-handtekeningen weer te geven voor de UTD snort engine, afhankelijk van de gebruikte beleidsconfiguratie (Evenwichtig, Connectiviteit of Beveiliging).
Optie 1. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het beveiligingsbeleid weer te geven.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Optie 2. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het connectiviteitsbeleid weer te geven.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Optie 3. Ga als volgt te werk om de lijst met actieve IPS-snorthandtekeningen voor het beleid Gebalanceerd weer te geven.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Opmerking: Als u de actieve IPS-snelkoppelingen wilt weergeven voor het beleid Gebalanceerd, Connectiviteit of Beveiliging, moet de UTD-snelkoppeling-engine de corresponderende beleidsmodus uitvoeren die u wilt bekijken.
1. Zorg ervoor dat de Cisco Integrated Services Router (ISR) XE 16.10.1a en hoger uitvoert (voor IOx-methode).
2. Zorg ervoor dat de Cisco Integrated Services Router (ISR) is gelicentieerd met de functie SecurityK9 ingeschakeld.
3. Controleer of het hardwaremodel van de ISR voldoet aan het minimumhulpbronnenprofiel.
4. De UTD snort engine is niet compatibel met de Zone-Based Firewall SYN-cookie en de Network Address Translation 64 (NAT64)
5. Bevestig dat de UTD snort engine service is gestart na de installatie.
6. Zorg er tijdens het downloaden van het handmatige handtekeningenpakket voor dat het pakket dezelfde versie heeft als de versie van de Snort-engine. De update van het handtekeningenpakket kan mislukken als de versie niet overeenkomt.
7. Gebruik in geval van prestatieproblemen de "show app-hosting resource" en de "show app-hosting utilization applied "UTD-NAME" voor het controleren van de UTD CPU, geheugen en opslagruimte.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
Waarschuwing: Neem contact op met Cisco TAC als u bevestigt dat de UTD Snort-engine een hoog CPU-, geheugen- of schijfgebruik ervaart.
Voor het oplossen van problemen kunt u de onderstaande foutopsporingsopdrachten gebruiken om meer informatie te verzamelen van de UTD snort engine.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
Waarschuwing: het uitvoeren van foutopsporingsopdrachten tijdens de productie-uren kan het CPU-, geheugen- of schijfgebruik op de UTD Snort-engine of de router aanzienlijk verhogen, wat mogelijk van invloed is op het verkeer en de stabiliteit van het systeem. Gebruik foutopsporingsopdrachten spaarzaam, bij voorkeur tijdens een onderhoudsvenster, en schakel ze onmiddellijk uit na het verzamelen van de vereiste gegevens. Als een verhoogd gebruik van bronnen of een impact op de service wordt waargenomen, stopt u het foutopsporingsonderzoek en neemt u contact op met Cisco TAC.
Aanvullende documentatie met betrekking tot de UTD Snort IPS-implementatie vindt u hier:
Cisco Snort IPS-beveiligingsconfiguratiehandleiding
Cisco Virtual Service Resource Profile voor ISR4K en CSR1000v
IPS op routers snuiven - stapsgewijze configuratie
Cisco Guide - Problemen oplossen met snort IPS
Naslaggids voor Port-Scan Inspector
Open Source Intrusion Prevention System (IPS)-webpagina afbreken
UTD Security Virtual Image installeren op cEdge-routers
CSCwf57595 ISR4K Snort IPS wordt niet geïmplementeerd omdat HW niet over voldoende platformbronnen beschikt
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
17-Sep-2025
|
Eerste vrijgave |
1.0 |
11-Jul-2023
|
Eerste vrijgave |