Dit document bevat vaak gestelde vragen (FAQ’s) over het Cisco Secure Inbraakdetectiesysteem (IDS), voorheen bekend als NetRanger, versies 3.1 en eerder.
A. Raadpleeg de volledige reeks productdocumentatie voor meer informatie over Cisco Secure IDS.
A. U moet de handtekeningen van het Sensor- en Management Platform afzonderlijk upgraden. Merk op dat de Management Software geen handtekeningen van de Sensor kan leren, en dat deze dus ook moet worden bijgewerkt. Download het nieuwste bestand voor het bijwerken van handtekeningen voor elke toepassing van de Cisco Secure Downloads (alleen geregistreerde klanten). De leesbestanden op dezelfde locatie bevatten instructies voor de upgradeprocedure.
A. De lijst met IDS-handtekeningen is beschikbaar via Cisco Secure Encyclopedia (alleen geregistreerde klanten).
A. Op de standalone UNIX IDS-sensor en IDS Management Software is het defaultwachtwoord "aanval" voor gebruikers in netwerk en wortel. Wanneer u de opdracht SU geeft om de basisgebruiker te worden, is het standaardwachtwoord "aanval". Op het lemma van de Inbraakdetectiesysteem Module (IDSM) is het standaardwachtwoord "aanval" voor ciscoïden van de gebruikersnaam.
A. U hebt een lokale FTP server nodig zodat u de configuraties kunt uploaden.
- Voer deze opdracht in vanuit de diagelmodus op het blad.
report systemstatus siteuser dir - Typ y om verder te gaan wanneer u wordt gevraagd "Doorgaan met het genereren van het systeemrapport?".
- Typ het FTP-wachtwoord van de opgegeven gebruiker wanneer u een waarschuwing krijgt. Wanneer het proces is voltooid, ontvangt u een bericht waarin staat of de procedure is mislukt of of het bestand is verzonden.
A. De installatie/update logbestanden zijn op deze locaties te vinden:
De installatielogbestanden van de directeur zijn in /var/adm/nrInstall.log.
Sensor Service Pack update-logbestanden zijn in /usr/nr/sp-update/.
Handtekeningen voor update-logbestanden zijn te vinden in /usr/nr/sig-update/.
A. IDS is alleen beschikbaar voor PIX 6.0 en later. De handtekeningen zijn vervat in syslog-berichten 400000 tot en met 400051, die de Cisco Secure IDS-handtekeningen worden genoemd. Raadpleeg de documentatie bij het PIX-systeem voor logberichten voor meer informatie over elke handtekening.
A. Meld u aan voor Cisco IDS Active Update Notes om e-mailwaarschuwingen te ontvangen voor productnieuws dat betrekking heeft op Cisco Secure IDS.
A. Vóór versie 3.1 moeten de beheeropties Cisco Secure Policy Manager (CSPM) of UNIX Director gebruiken. Het belangrijkste verschil tussen deze twee is dat CSPM als een onafhankelijke toepassing op een Windows server draait, terwijl UNIX Director boven HP OpenView op een UNIX Solaris server draait. Met IDS 3.1 kunnen de sensoren ook worden bestuurd via het IDS Event Viewer (IEV), die op een pc is geïnstalleerd of gebruik maakt van IDS ApparaatManager, dat deel uitmaakt van de versie 3.1 Sensor. Apparaatbeheer is standaard ingeschakeld met Secure Socket Layer (SSL) nadat u de Sensor hebt ingesteld.
A. De SDK-software is niet voor het publiek beschikbaar.
A. Versie 4.0 biedt verschillende nieuwe functies. De opmerkelijkste nieuwe functie is een opdracht-lijn interface (CLI) gelijkend op Cisco IOS®.
A. Harde instelling van de snelheid/duplex in 3.x en 4.0 code wordt niet ondersteund en er is een bug tegen het functieverzoek (Cisco bug ID CSCdy43054 (alleen geregistreerde klanten)). Deze optie is beschikbaar in 5.0-code, die nu beschikbaar is bij Interfaces configureren.
A. Klanten kunnen het update-bestand voor versie 3.1 downloaden van de Cisco Secure Downloads (alleen geregistreerde klanten).
A. Klanten kunnen het update-bestand voor versie 3.0 downloaden van de Cisco Secure Downloads (alleen geregistreerde klanten). Installeer de software update op dezelfde manier dat het servicepakket en de updates van de handtekening zijn geïnstalleerd in versie 2.5. De procedure wordt in detail beschreven in Cisco IDS Sensor Configuration Notes versie 3.0.
A. Het upgradebestand 3.0 kan van de Cisco Secure Downloads (alleen geregistreerde klanten) worden gedownload, maar dit bestand kan versies niet vóór 2.5 bijwerken. U moet de upgrade-cd gebruiken die via het product-upgrade-programma (alleen geregistreerde klanten) beschikbaar is, maar van softwareversie 2.2.2.2 U.
Opmerking: U moet een geldig ondersteuningscontract hebben voor het bestellen van de CD voor upgrade/herstel.
A. Controleer dat u een ondersteund toetsenbord en monitor gebruikt. Sommige merken en modellen zijn niet compatibel met Cisco Secure IDS en voorkomen dat de IDS-sensor wordt gestart. Raadpleeg Cisco Secure IDS-applicatie en opblaasfout voor specifieke merkdetails.
A. Elk van deze bestanden bevat een specifieke reeks softwareupdates of toevoegingen, zoals aangegeven door de hier beschreven naamgevingsconventies.
Het servicepakket waarmee de software van de IDS Sensor-applicatie wordt bijgewerkt, bevat verbetering van de belangrijkste toepassingssoftware van de IDS-sensor en bug-fixes. Een bestand met de naam IDSk9-sp-3.0-5-S17.bin bevat bijvoorbeeld updates voor softwareversie 3.0(5) plus signatuur ingesteld nummer 17.
Het bestand voor de bijwerking van de handtekening bevat alleen updates van de handtekeningen (vingerafdrukken). Een bestand met de naam IDSk9-sig-3.0-5-S18.bin bevat bijvoorbeeld voor de software van de 3.0(5) Sensor het instelnummer 18.
Klanten kunnen deze bestanden downloaden van de Cisco Secure Downloads (alleen geregistreerde klanten).
A. Meld u aan bij de Sensor als gebruikersnetwerk en voert u deze opdracht uit:
nrgetbulk
U zou een reactie gelijkend op "<IP_adres> Active" moeten ontvangen die het IP-adres van het shunning-apparaat weergeeft dat wordt gebruikt om aanvallen te blokkeren. Deze uitvoer toont een voorbeeld van de opdrachtsyntaxis en de verwachte respons:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessU kunt ook inloggen op de router en de who-opdracht uitgeven om te zien of de sensor is inlogd.
A. Deze foutmelding geeft aan dat er problemen zijn met de bestanden /usr/nr/etc/routes en/of /usr/nr/etc/hosts/bestanden op uw sensor. De.../routebestanden definiëren gestoffeerde communicatie tussen de sensor en de directeur. De.../hosts bestanden definiëren de namen en IP-adressen van sensoren en directeuren.
U kunt ook inloggen als wortel van de gebruiker, de systeem-configuratie-sensor opdracht uitvoeren en de informatie over de infrastructuur van de IDS-communicatie opnieuw invoeren.
A. Raadpleeg IP-logbestanden kopiëren die moeten worden bekeken voor meer informatie over deze procedure.
A. Configureer is de datum die alle opdrachten op zowel UNIX-directors als sensoren in de 2.2.x-codebasis verwerkt. In de 2.5 en 3.0 codebasis is deze functionaliteit opgenomen in de andere datums en bestaat de ingestelde datum niet langer.
A. Bewerk het bestand /usr/nr/etc/daemons in de Sensor om er zeker van te zijn dat nr.packetd in de daemon-lijst staat. Stop en start de diensten.
A. De controle-interface bovenaan is iprb1: en de snuifinterface onderaan is iprb0:.
A. Het opdracht iffig dient alleen de regelinterface te tonen. De andere interface (de snuifinterface) wordt nog steeds gebruikt door de sensor, maar de gebruikers zouden het niet moeten kunnen zien. Als u deze interface wilt zien, logt u in als wortel en geeft de opdracht iffig - om de interfacenamen te bepalen. Geef het iffig <interface>plumb opdracht uit om de status van een bepaalde interface te controleren.
A. De interfacesnelheid op de sensor moet niet nodig zijn en wordt niet ondersteund door Cisco Technical Support. Als de schakelaar voor autonome onderhandeling wordt ingesteld, onderhandelt de interface snelheid met de schakelaar waar het aan is verbonden. Het verkeer van het netwerk naar de sensor is uniek (met andere woorden: de sensor ontvangt). Daarom is het in het algemeen toereikend als de switch aantoont dat 100 halfduplex is onderhandeld (aangenomen wordt dat de switchpoort 100 M is).
A. Ja, maar u dient de Director-software te upgraden naar versie 2.2.3 of hoger. Geregistreerde klanten kunnen deze bestanden downloaden van de Cisco Secure Downloads (alleen geregistreerde klanten).
A. Geef de opdracht cat/usr/nr/VERSIE uit en controleer het versienummer dat de uitvoer bevat.
Opmerking: Uitvoer van de opdracht van de nrvers op de Director vertelt u de versie van de daders op de Director-software, maar hij vertelt u niet de versie van de Director-software zelf.
A. Meld u aan als gebruikersnetwerk en voer het script/usr/nr/bin/regisseur/nrCollectInfo uit om configuratieinformatie naar een bestand met de naam /usr/nr/var/tmp/Report_For_Director.html te verzenden.
A. Als IDS Director overstroomd wordt met fouten en niet alle fouten kan weergeven, wordt er begonnen met de buffer van een bestand. Stop de IDS-datums en verlaat alle OpenView-kaarten die u hebt geopend om het bestand te verwijderen. Verwijdert het bestand /usr/nr/var/nrDirmap.buffer.standaard, start de IDS-datums en uw OpenView-kaart opnieuw.
A. In IDS versies eerder dan 2.2.2, is het makkelijkste om te doen het OpenView gegevensbestand uit te wissen. De databank leeft in /var/opt/OV/sharing/databases/open view. Voltooi deze stappen om de OpenView database te verwijderen.
- Sluit alle open OpenView kaarten met de ovstop-opdracht en stop de IDS-services met de opdracht.
- Meld u aan als wortel van de gebruiker en geeft u/usr/nr/bin/director/nr DeleteOVwDb.
- Verwijder alle "error.*" bestanden in de /usr/nr/var folder (bijvoorbeeld foutmelding.configuratie).
- Start de services opnieuw met de opdracht Start en start OpenView opnieuw met de opdracht ovstart.
Opmerking: In Director versie 2.2.2 kunt u alleen het IDS-gedeelte van de OpenView-database verwijderen in plaats van de gehele database. Deze procedure wordt beschreven in de IDS Director Configuration Guide.
A. Voer deze opdracht uit.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesZorg ervoor dat het gebruikersnetwerk de bestanden bezit, en start de IDS-services opnieuw.
A. Het probleem doet zich voor omdat geenConfigure het verpakte proces in het daemonbestand van de Directeur ziet (wat het niet zou moeten). Wanneer nrConfigure de Director voor zijn versie zoekt alsof het een Sensor is, kan de Director niet reageren met een Sensor-versie.
Voltooi deze stappen om dit probleem op te lossen.
- Bewerk het bestand/usr/nr/etc/daemons en verwijder de gegevens voor nr.packetd, nr.sensord, en nr.managed, aangezien deze processen alleen op de Sensor mogen lopen.
- Stop de services met de opdracht Instop en start de services opnieuw met de opdracht nrstart.
- Zorg ervoor dat nrConfigure is afgesloten.
- Start OpenView met de ovw-opdracht.
- Selecteer Beveiliging > Geavanceerd > Stationele DB > Verwijderen om de gecorrumpeerde database te verwijderen en te configureren.
- Voer ja in wanneer u wilt doorgaan.
- Markeer uw Director en al uw sensoren in het hoofdvenster van OpenView.
- Selecteer Beveiliging > Geavanceerd > Stormd OB > Maken om een nieuwe nrConfigure database te maken met de huidige configuratie versies van de machines.
A. Gebruikers die de IDS-toepassing uitvoeren op UNIX Director kunnen ook andere toepassingen uitvoeren op OpenView. Dit wordt niet aangeraden, maar kan in sommige gevallen niet worden vermeden. Het probleem is dat nrdirmap door standaard voor elke OpenView map is ingeschakeld. Dit is niet wenselijk wanneer andere toepassingen op OpenView worden uitgevoerd.
Voltooi deze stappen op de UNIX Director om het standaard te veranderen zodat je kunt kiezen welke kaarten op die kaarten staan.
- Meld u aan als gebruikersnetwerk.
- Type cd $OV_REGISTRATION/C. (OV_REGISTRATION is onderdeel van uw milieuvariabele. Het gebruikelijke pad is /etc/opt/OV/share/registration/C.)
- Typ su root.
- Bewerk het filmbestand en wijzig de regel "Opdracht" zoals in deze uitvoer wordt weergegeven:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Bewaar het nrdirmap-bestand.
- OpenView recyclen. Wanneer een kaart met de ovw opdracht is, typt hij ps-ef | grep dirmap moet een productie opleveren die vergelijkbaar is met de resultaten die hier worden getoond. Merk op dat de nrdirmap met de d-schakelaar is gebruikt.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dNieuwe kaarten die in OpenView zijn gemaakt, hebben standaard geen verstrooikaart ingeschakeld. Als u een kaart wilt maken met geïnstalleerde nrmap, moet u dit doen vanuit de OpenView GUI, zoals deze procedure uitlegt.
- Kies in het hoofdmenu OpenView Kaart > Nieuw en voer een naam voor de nieuwe map in.
- Onder de configureerbare toepassingen moet u NetRanger/Director bekijken. Kies NetRanger/Director en klik op Configureren voor deze map.
- Voor de optie die zegt "Zou nrdirmap moeten worden ingeschakeld voor deze kaart?", kies True als u nrdirmap wilt inschakelen.
- Kies Verifiëren en klik op OK.
A. De ernst is gewijzigd in versie 2.2.3 van de directeur om alleen het bereik 1 tot en met 5 te ondersteunen.
A. Momenteel is versie 2.3i van CSPM degene die IDS-sensor kan beheren, terwijl CSPM 3.0 dat niet kan. Als u CSPM gebruikt om de sensor en andere Cisco Secure-apparaten (zoals PIX’s, routers) te beheren, moet u de twee verschillende CSPM-versies (2.3i en 3.x) op twee afzonderlijke Windows-servers installeren. U kunt elk van de servers gebruiken om de corresponderende apparaten te beheren: CSPM 2.3i voor de sensoren en CSPM 3.x voor PIX’s, routers, enzovoort.
A. Raadpleeg Een Cisco beveiligde IDS-sensor in CSPM configureren voor meer informatie over hoe u CSPM kunt configureren om uw IDS-sensor te beheren en communicatie te garanderen.
A. Tuning betekent het veranderen van wat nodig is voor het branden van een handtekening (zoals het aantal hosts tijdens een veger) en betekent niet het instellen van acties en ernst.
CSPM kan (in geen enkele versie) de handtekeningen voor het apparaat aanpassen. Het kan alleen maar een handtekening zetten en een handtekening plaatsen. Met andere woorden: CSPM kan de ernst van de brand bepalen en welke actie er wordt ondernomen om de handtekening te koppelen, maar kan niet vaststellen welke branden die handtekening hebben. Het SigWiz-menu op de Sensor moet worden gebruikt om de sensor aan te passen. SigWizMenu en CSPM kunnen beide worden gebruikt om dezelfde sensor te configureren, aangezien ze verschillende delen van de configuratie beïnvloeden.
Opmerking: Als u UNIX Director versie 2.2.3 of hoger gebruikt, kan de nrConfigure alle configuratie applicatie aanpassen die SigWizMenu aansluit. Nadat u hebt geupgrade naar 2.2.3, kunt u beter de optie Configuration in plaats van SigWizMenu gebruiken om de handtekeningen af te stemmen.