Dit document beantwoordt de meest frequent gestelde vragen (FAQ’s) die betrekking hebben op Cisco Secure Inbraakdetectiesysteem (IDS) 4.0, Advanced Inspection and Prevention Security Services Module (AIP SSM) en Cisco Inbraakpreventiesysteem (IPS) 5.0 en hoger.
A. De makkelijkste manier om dit uit te voeren is om je nieuwe VMS server op te halen en dan de sensoren te ontdekken met dit nieuwe vak.
N.B.: Voeg de sensor niet handmatig toe. Controleer het vakje instellingen zoeken.
Als de sensor is ontdekt, importeren ze die naar SecMon. Alle configuraties worden opgeslagen op de sensor. De signatuur instellingen, filters, enzovoort moeten overkomen nadat je je nieuwe server bouwt. Zorg ervoor dat u IDS MC in de laatste handtekeningen bijwerkt.
A. Dit is een fabricageprobleem. Sommige klanten ontvingen IDS-4215s met een slecht basisbeeld (4.0). Volg deze stappen.
- Download het herstelverdelingsbeeld (alleen geregistreerde klanten).
- Pas de upgrade van de herstelverdelingsafbeelding toe via CLI:
sensor#configure terminal sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/ IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg- Zodra het herstelverdelingsbeeld is toegepast, wordt de 4215 hersteld naar een normale actieve 4.1(1) 4215-basis.
sensor(config)#recover application-partition
Opmerking: Cisco VMS en CLI-klanten ondervinden deze kwestie niet.
De oorzaak van het probleem is de sorteerlogica die wordt gebruikt wanneer de bestandsnaam wordt geparsed. Het is een alfanumerieke soort wanneer het numeriek zou moeten zijn. De tijdelijke oplossing is om CLI (of VMS) te gebruiken om pakketten met drie cijfers, zoals S100 of hoger, te upgraden. Nadat dit is voltooid, wordt de automatische update weer ingeschakeld. Raadpleeg Cisco bug-ID CSCef07999 (alleen geregistreerde klanten) voor meer informatie.
A. Om deze kwestie op te lossen, gebruik tweemaal het defaultwachtwoord (cisco) en verander dan het wachtwoord van de configuratiewijze. De IDS moet het defaultwachtwoord twee keer worden ingevoerd.
Bijvoorbeeld:
login:cisco Password:cisco Enter current password:cisco Enter new password: *** Re-enter new password: ***
A. De module mag alleen worden verwijderd nadat u de stroom hebt uitgeschakeld. Voer de volgende stappen uit:
- Geef vanuit de sensor CLI de opdracht resetten uit.
- Zodra de sensor shutdown, van de switch CLI voltooit, geef of de opdracht Geen machtigingsmodule (module_number) voor Cisco IOS of de ingestelde module uitzet (module_number) opdracht voor CatOS.
- Druk op de sluitknop op het mes.
- Stel het chassis fysiek uit. Wanneer het statuslicht een langer groen weergeeft, kunt u de module veilig verwijderen.
A. Blokhost blokkeert alle pakketten van dat bronadres. Blokverbinding blokkeert alleen de één verbinding die is gebaseerd op bron en bestemming IP/poort. De PIX werkt op een iets andere manier. Voor automatische shuns, stuurt de Sensor de bron IP, bestemming IP, bronpoort en doelpoort. De PIX blokkeert alle pakketten die uit dat IP adres afkomstig zijn. De extra informatie wordt door PIX gebruikt om die verbinding uit zijn verbindingstabellen te verwijderen. Als de verbinding niet uit de verbindingstabel is verwijderd, is het theoretisch mogelijk dat als de slang kort nadat deze is toegepast wordt verwijderd, de oorspronkelijke verbinding dan nog niet is uitgezet. Dit staat de aanvaller toe om de aanval op de originele verbinding voort te zetten. Verwijdering van de verbinding uit de tabel zorgt ervoor dat de oorspronkelijke verbinding niet kan worden gebruikt om de aanval voort te zetten nadat de slang is verwijderd. De sensor kan geen enkele verbinding op de PIX afleiden omdat de PIX het gebruik van de shun opdracht niet ondersteunt om één verbinding te blokkeren. De PIX shun opdracht geeft altijd het bronadres weer, ongeacht of de extra verbindingsinformatie al dan niet wordt verstrekt.
A. Deze fout betekent dat uw standaardgateway niet correct is of een generisch foutbericht dat betekent dat of de IP, netmask of standaardgateway onjuist zijn. Het dodelijke gedeelte van het bericht betekent dat na de eerste storing de vorige configuratie was toegepast en ook mislukt. De Sensor geeft iffig en route opdrachten uit en een of beide mislukt.
A. Dit probleem kan de automatische update optie zijn, die niet werkt, omdat deze op een even uur tijd is ingesteld om te downloaden. Probeer de automatische update op een willekeurige tijd in te stellen; zelfs een kleine offset van acht of een nachtelijke minuut kan dit probleem oplossen .
In het algemeen wordt de kwestie opgelost en fout: http error response: De foutmelding 500 wordt weergegeven als u de herkenningstijd in een niet-uursgrens verandert.
Opmerking: IPS mislukt de automatische update van handtekeningen en keert terug met deze foutmelding:
Uitzondering voor AutoUpdate: HTTP-verbinding mislukt [1.110] naam=errSystemError
Controleer deze items om dit probleem op te lossen:
Controleer of een firewall verhindert dat de sensor Cisco.com bereikt.
Controleer of de routing een probleem is.
Controleer of NATing op de juiste manier op het gateway-apparaat voor het downstreamapparaat is ingesteld.
Controleer of de gebruikersreferenties correct zijn.
Verander de update begintijd in oneven uren.
A. Probeer om dit probleem op te lossen de sensor opnieuw te laden of om de sensor te vervangen.
A. Voltooi deze taken om dit probleem op te lossen:
Schakel globale correlatie uit.
Voeg de proxy/dns configuratie toe.
A. IPS is niet in staat om via internet te komen door een poortprobleem, bijvoorbeeld een firewall in een pad dat niet de juiste poorten heeft die open zijn voor internettoegang of dat een NAT-probleem kan zijn.
Om de mondiale correlatie volledig te laten functioneren, neemt de sensor eerst contact op met https update-manifest-manifests.ironport.com om de gebruiker te authentiseren en dan een HTTP verbinding om GC updates te downloaden. De bestanden die de sensor downloads van de HTTP (updates.ironport.com) heeft, zijn de reputatiegegevens die de wereldwijde correlatie gebruikt. Het https update-manifest-manifests.ironport.com moet altijd een oplossing vinden voor het X.X.82.127-adres, maar het IP-adres van http updates.ironport.com kan veranderen, wat afhankelijk is van het internet dat u benadert. Controleer dus het IP-adres. Als URL-filtering is ingeschakeld, voegt u een uitzondering toe voor de IPS-beheerinterface in het URL-filter, zodat IPS op internet kan worden aangesloten.
Deze fout treedt op wanneer er corruptie is in een vorige GC-update:
collaborationApp[459] rep/e.a. wereldwijde correlatie update mislukt: Downloaden van ibrs/1.1/drop/default/1296529950 is mislukt: URI bevat geen geldig ip-adres
Dit probleem kan meestal worden opgelost door de GC-service uit te schakelen en dan weer in te schakelen. Kies in IDM Configuration > Policy > Global Correlatie > Inspection/Reputation, stel Global Correlatie-inspectie (en Reputation Filtering indien On) in op Off, pas de wijzigingen toe, wacht 10 minuten, schakel de functies in en controleer deze.
A. Controleer de volgende punten:
U moet een geldige IPS-licentie hebben om wereldwijde correlatie-functies te kunnen functioneren.
U moet een HTTP-proxy-server of een DNS-server hebben geconfigureerd om wereldwijde correlatie-functies te kunnen laten functioneren.
Omdat er wereldwijde correlatie-updates plaatsvinden via de interface voor sensorbeheer, moeten firewalls TCP 443/80 en udp 53 verkeer mogelijk maken.
Zorg ervoor dat je sensor de globale correlatie functies ondersteunt. Als u dit niet wilt, schakelt u de globale samenwerkingsoptie van IDM uit:
Ga naar Configuration > Policy > Global Correlatie > Inspection/Reputation, en stel Global Correlatie Inspection (en Reputation Filtering indien Aan) in op Off.
A. Als u wereldwijde correlatie gebruikt (GC), zorg er dan voor dat de naamresolutie werkt, bijvoorbeeld, DNS is bereikbaar. Controleer ook of er een firewallgeblokkeerde poort 5.3 is. Anders kunt u de GC-functie uitschakelen als u dit bericht wilt verwijderen.
A. Dit probleem doet zich meestal voor wanneer de klant IME probeert te gebruiken op niet-ondersteunde besturingssystemen, zoals Windows 7.
A. Schakel de browser cache uit om dit probleem op te lossen.
A. In versie 6.0 is Asymmetric mode op IPS-systemen die alleen met CLI kan worden ingesteld en niet op GUI beschikbaar is. In versie 6.1 is deze optie echter ook in GUI beschikbaar.
A. Om dit probleem op te lossen, de asymmetrische modale verwerking mogelijk te maken, zodat de sensor de toestand kan synchroniseren met de stroom en de controle kan handhaven voor motoren die niet beide richtingen nodig hebben. Gebruik deze configuratie:
IPS_Sensor#configure terminal IPS_Sensor(config)#service analysis-engine IPS_Sensor(config-ana)#virtual-sensor vs0 IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetricHet latentieprobleem doet zich voor wanneer de ontkenningsactie online en ontkenningspakket voor elke handtekening in VS0 wordt geactiveerd. Het inschakelen van alle handtekeningen zal in latentie resulteren aangezien IPS elk pakje dat door komt inspecteert. Het is goed alleen de specifieke handtekening mogelijk te maken die vereist is volgens de verkeersstroom van het netwerk om het latentieprobleem op te lossen.
A. De PIX/ASA kan het skype niet blokkeren. Skype heeft de mogelijkheid om dynamische poorten te onderhandelen en versleuteld verkeer te gebruiken. Met gecodeerd verkeer is het vrijwel onmogelijk om het te ontdekken aangezien er geen patronen te vinden zijn.
U kunt uiteindelijk een Cisco IPS (Inbraakpreventiesysteem)/AIP-SSM gebruiken. Het heeft een aantal handtekeningen die een Windows Skype-client kunnen detecteren die met de Skype-server verbonden is om de versie ervan te synchroniseren. Dit gebeurt meestal wanneer de client de verbinding start. Als de sensor de eerste Skype-verbinding pakt, kun je de persoon vinden die de service gebruikt en alle verbindingen blokkeren die geïnitieerd worden vanuit hun IP-adres.
A. Tijdens het bijwerken van een handtekening en het opnieuw samenstellen, stopt SensorApp om pakketten te verwerken zoals het de nieuwe handtekeningen in de update verwerkt. De netwerkstuurprogramma detecteert dat sensorApp is gestopt en alle nieuwe pakketten van de buffer ontvangt. Het netwerkstuurprogramma doet dus verschillende dingen, die afhankelijk zijn van het configuratie- en sensormodel:
Promiscuous Interface-It brengt de link naar beneden op de interfaces, en brengt de link naar voren zodra de sensorApp weer begint te controleren.
Inline interface of inline VLAN-paneel - Het is afhankelijk van de instelling Bypass:
Auto-passeren - het stuurprogramma houdt de link omhoog en begint pakketten door te geven zonder analyse. De machine keert dan terug naar het verzenden van de pakketten door sensorApp zodra de sensorApp weer begint te controleren.
Uitschakelen-het stuurprogramma brengt de link naar beneden op de interfaces, dezelfde als in de veelbelovende modus, en brengt deze terug zodra de sensorApp weer begint te controleren.
Dus als de sensorapp geen pakketten van de buffer trekt, wat mogelijk gebeurt omdat er geen interface is ingesteld om pakketten te verwerken, dan kan de bestuurder de interface in een lagere toestand plaatsen.
Deze logs worden gezien wanneer de sensatieinterface knippert:
28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass has stopped. 28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass has stopped.
A. Nee, de sensor heeft geen wachtwoordgeschiedenis. De wachtwoorden zijn op geen enkel moment zichtbaar.
A. Nee.
A. De lokale gebeurtenis van de sensor slaat slechts 30 MB op en overschrijft zichzelf zodra de grens van 30 MB is bereikt. Deze limiet is niet aanpasbaar.
A. Gebruik STRING.TCP om een handtekening te schrijven die de bijlage detecteert. Zoek iets gelijkaardigs:
Engine STRING.TCP Enabled True Severity informational AlarmThrottle Summarize CapturePacket False Direction ToService MinHits 1 Protocol =TCP RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo] [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] ResetAfterIdle 15 ServicePorts 25 StorageKey =STREAM
A. Opdracht geven:
configure terminal service host networkParams ftpTimeout 300 <timeout is in seconds>
A. Deze uitvoer is een decimale weergave van de huidige tijd sinds UNIX epoc. Gebruik een UNIX-epoc-calculator zoals deze op de UNIX Datum/Tijd Calculator . Voer de eerste 10 cijfers in omdat deze rekenmachine granulair is tot slechts seconden en de IDS nanoseconden opslaat. Dit betekent dat de laatste negen cijfers zijn verwijderd. Vanaf het begintijdstip in deze uitvoer is 1084798479 = 17 mei 12:54:39 (GMT) wat u ontvangt.
Voer vanuit de CLI de iplog-status in om deze uitvoer te ontvangen:
" Log ID: 138343946 IP Address: xxx.xxx.xxx.xxx Group: 0 Status: completed Start Time: 1084798479512524000 End Time: 1084798510136582000 Bytes Captured: 2833 Packets Captured: 14 "
A. Om deze foutmelding op te lossen, logt u in op AIP-SSM en geeft u de sleutel van TTS op in de bevoorrechte EXEC-modus zoals in dit voorbeeld:
sensor#tls generate-keyOpmerking: Deze resolutie van het gebruik van de opdrachttabellen genereert ook een oplossing voor het probleem van AIP-SSM dat niet op de IME kan worden aangesloten.
A. Om deze foutmelding op te lossen, kiest u Configuratiescherm > Gereedschappen > Services en start u de IME-services opnieuw.
A. Dit duidt op een verbroken communicatie tussen de IME en de IPS-sensor. Zorg dat er geen software is die de SDEE blokkeert.
A. Om deze foutmelding op te lossen, controleert u of het juiste IP-adres wordt gebruikt wanneer u IPS in IME toevoegt en controleert u ook alle softwarefirewall die op IME-computer werkt en die de verbinding kan blokkeren.
A. De IDS-sensor is niet in staat om e-mailwaarschuwingen op zichzelf te verzenden. Security Monitor bij gebruik met IDS heeft de mogelijkheid e-mailberichten te verzenden als een Event Rule door de sensor wordt geactiveerd.
Zie E-mailmeldingen configureren voor meer informatie over het configureren van e-mailberichten met Security Monitor.
Cisco IPS Manager Express (IME) kan worden ingesteld om het e-mailwaarschuwing (waarschuwingen) te verzenden wanneer Event Regels worden geactiveerd door Cisco IPS-sensoren. Raadpleeg IPS 6.X en hoger: E-mailmeldingen met behulp van IME-configuratievoorbeeld voor meer informatie.
A. Herstart de sensor om dit probleem op te lossen.
A. Vermeld de handtekeningen die niet zijn gebruikt om dit probleem op te lossen en het aantal klanthandtekeningen met regexes moet worden verminderd. Het wordt ook niet aanbevolen om * en + metacharacters in regexes te gebruiken.
A. De latentiekwestie kan zich voordoen door de assymetrische routing. Probeer handtekening 1330 uit te schakelen om dit probleem op te lossen.
A. Op dit moment is het niet mogelijk SSHv1 uit te schakelen en alleen SSHv2 ingeschakeld te laten. Zowel SSHv1 als SSHv2 worden samen ingeschakeld en kunnen niet afzonderlijk worden uitgeschakeld.
A. Deze foutmelding wordt veroorzaakt door onvoldoende geheugen in de sensor.
Voltooi deze taken om dit probleem op te lossen:
- Inloggen op servicerekening en wortel worden
- Verwijder de volgende gidsen zoals hieronder weergegeven:
# rm -rf /usr/cids/idsRoot/var/updates/files/S69 # rm -rf /usr/cids/idsRoot/var/updates/files/common # rm /usr/cids/idsRoot/var/virtualSensor/* # rm /usr/cids/idsRoot/var/.tmp/*- Probeer nu de sensor te verbeteren. Raadpleeg Cisco bug-ID CSCsb81288 (alleen geregistreerde klanten) voor meer informatie.
A. De mainApp[396] cplane/E Error - Accepteer() oproep teruggegeven -1 foutmelding geeft aan dat webserver het bestand niet kan lezen en dat het bestand niet kan accepteren() programma mislukt, wat bestandsdescriptoren oplevert wanneer TLS-verbindingen bestaan. Maar dit bestand is niet nodig voor normaal gedrag. Het is onschadelijk.
A. Deze foutmelding geeft aan dat het certificaat niet langer geldig is in de module. Voltooi deze stappen om het probleem op te lossen:
Reinig het certificaat van de CLI:
Meld u aan bij de opdrachtregel van de sensor.
Geef de tapes uit en druk op binnenkomen. Let op de weergegeven vingerafdrukken.
Trek het nieuwe certificaat naar IME:
Open de IME-toets en plaats de naam van de sensor in de lijst op de startpagina.
Klik met de rechtermuisknop op de sensor en klik op Bewerken.
Wanneer u het scherm Apparaat bewerken bereikt, klikt u op OK. omzeilen elke waarschuwing dat de sensortijd niet kan worden hersteld.
Het nieuwe beveiligingscertificaat geeft u weer (het certificaat dat u zojuist hebt gegenereerd). Controleer of de vingerafdrukken overeenkomen en klik op Ja.
Na enkele seconden dient de sensor "Connected" in de Event Status weer te geven.
A. Om deze fout op te lossen, gebruikt u de opdracht reset om de IPS opnieuw op te starten.
A. Gebruik de NTP-server om de tijd op de Cisco adaptieve security applicatie (ASA) en AIP-SSM te synchroniseren om dit probleem op te lossen.
Zie NTP configureren op IPS-sensoren voor meer informatie.
A. Virtuele sensoren op AIP-SSM kunnen niet per interface worden toegepast, omdat AIP-SSM slechts één interface heeft. Wanneer u meerdere virtuele sensoren maakt, moet u deze interface aan slechts één virtuele sensor toewijzen. U hoeft geen interface aan te wijzen voor de andere virtuele sensoren.
Nadat u virtuele sensoren hebt gemaakt, moet u deze in kaart brengen naar een beveiligingscontext op de adaptieve security applicatie (ASA) met behulp van de opdracht toewijzings-ips. U kunt veel beveiligingscontexten op veel virtuele sensoren in kaart brengen. Raadpleeg het gedeelte Virtuele sensoren toewijzen aan adaptieve security applicatie contexten van AIP-SSM voor meer informatie.
A. Er kunnen maximaal vier virtuele sensoren worden ondersteund.
A. Het is niet mogelijk met een TACACS+ server maar RADIUS wordt ondersteund door de IPS 7.0.(4)E4 release. Raadpleeg de delen Nieuwe en gewijzigde informatie en beperkingen en beperkingen van de release Notes voor Cisco inbraakpreventiesysteem 7.0(4)E4 voor meer informatie. Raadpleeg ook IPS 7.X: Login-verificatie van gebruiker met ACS 5.X als voorbeeld voor configuratie van RADIUS-server voor een voorbeeldconfiguratie.
A. De enige impact die een verlopen licentie heeft op de sensor is dat de signatuur niet bijgesteld wordt.
A. Nee. De IPS-handtekeningen-updates hebben geen invloed op de diensten of de netwerkconnectiviteit.
A. De koppeling die vereist is om de IPS-module in staat te stellen automatisch bij te werken met de nieuwste handtekening is: https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl.
U moet uw Cisco gebruikers-id en -wachtwoord gebruiken om de update van de IPS-module te voltooien.
Opmerking: In de 6.x-serie van code worden automatische updates van Cisco.com niet ondersteund. U moet de bestanden handmatig downloaden en op de sensor toepassen. Er is een auto-update functie in de 6.x code; dit is echter alleen mogelijk vanaf een lokale bestandserver waarin de bestanden met handtekeningen ook handmatig moeten worden gedownload .
A. Nee. Het is om deze redenen niet kwetsbaar:
De sensor heeft geen X11-bibliotheken. Daarom zijn er geen sessies om een hijack te sluiten.
X11 port expanderen is niet ingeschakeld in de SSH-configuratie.
IPv6 wordt niet in de sensorkern gecompileerd. Dit is nodig om de kwetsbaarheid te benutten.
A. Dit gebeurt omdat wanneer de ASA iets blokkeert, het niet wordt doorgegeven aan de IPS voor dubbele inspectie. Daarom kunt u geen duplicaten zien van logbestanden op de ASA en IPS.
A. Dit is de volledige foutmelding:
evError: eventId=1284051856322985135 vendor=Cisco severity=warning originator: hostId: vbintestids03 appName: sensorApp appInstanceId: 700 time: offset=-240 timeZone=GMT-05:00 1286305251136551000 errorMessage: name=errWarning invalidValue:Editing string-xl-tcp sig 21619 has NO effectDeze kwestie komt naar voren omdat de string-xl-tcp of string-tcp-xl motor niet ondersteund wordt op de hardware. Raadpleeg voor meer informatie de IPS Engine E4 release Notes.
A. Deze uitvoer toont de volledige foutmelding:
autoUpgradeServerCheck: uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl packageFileName: result: No installable auto update package found on server status=trueDeze fout is gemaakt en de handtekeningen werken niet automatisch bij omdat de definitie van de handtekeningen na S479 de E4-motor vereist. U moet de sensor handmatig upgraden naar 7.0(2)E4 om dit op te lossen.
N.B.: De sensor kan zichzelf niet automatisch tot E4 upgraden omdat deze 7.0(2) vereist en de sensor opnieuw opgestart is.
A. Deze uitvoer toont de volledige foutmelding:
autoUpgradeServerCheck: uri: ftp://hfcu-inet01@192.168.1.12//ips-update/ packageFileName: result: No installable auto update package found on server status=trueDit probleem doet zich voor vanwege een ongeschikte stijl voor het maken van een folder met de FTP server. Om dit op te lossen, switch aan UNIX-achtige folder lijsten van de bestaande MS-DOS stijl folder.
Als u de instellingen voor de folder wilt wijzigen, selecteert u Start > Programma-bestanden > Beheertools om Internet Services Manager te openen. Ga dan naar het tabblad Home Directory en wijzig de stijl van de folder van MS-DOS in UNIX.
A. Dit probleem is te wijten aan de defect van de analysekotor en wordt aangepakt in Cisco bug ID CSCtb39179 (alleen geregistreerde klanten). upgrade van de sensor naar versie 7.0(4)E4 om dit probleem op te lossen.
A. Deze kwestie doet zich voor wanneer het ontvangen licentieserverbestand ongeldig is. Om een geldig licentieserbestand te verkrijgen, logt u in op Cisco.com als een geregistreerde gebruiker en download u het juiste licentiebestand. Nadat u het juiste licentiebestand hebt aangeschaft, installeert u het op uw sensor.
Als u het nieuwe licentibestand installeert en u nog steeds een fout ontvangt, wordt er mogelijk een probleem met het bestaande ongeldige licentieserbestand weergegeven. Voltooi de volgende stappen om het bestaande ongeldige licentieserbestand te verwijderen om deze kwestie op te lossen:
Meld u aan bij de servicerekening door de naam van de servicerekening te typen.
Als u geen serviceaccount hebt, opent u de IPS-opdrachtregel, zet u de configuratie-modus in en voert u deze opdracht in
gebruikersnaam voor voorkeurswachtwoord wachtwoord voor service
ciscoasa# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: Password: IPS# IPS#conf t IPS(config)# username name privilege service password passwordAls u eenmaal hebt aangemeld bij uw servicerekening, voert u de su-opdracht in om naar wortel te gaan (met hetzelfde wachtwoord als de servicerekening).
Verwijdert de bestanden in de /usr/cids/ids/idsRoot/Shared/folder.
Opmerking: wis het host.conf-bestand niet.
Voer de cd /usr/cids/ids/idsRoot/Shared/opdracht in om naar de gedeelde map te gaan.
Voer de opdracht LS in om de bestanden in de map weer te geven.
Typ de opdracht rm file_name om de bestanden te verwijderen.
Opmerking: wis het host.conf-bestand niet.
Voer de /etc/init.d/cids start de opdracht opnieuw op om de sensor opnieuw op te starten.
Installeer de nieuwe licentie.
Er is een Cisco-bug ingeschakeld om dit gedrag aan te pakken. Raadpleeg voor meer informatie CSCtg76339 (alleen geregistreerde klanten).
A. Deze fout wordt veroorzaakt door een excessief aantal pakketten op IP-vastlegging. Schakel de IP-logfunctie uit om dit probleem op te lossen. IP-vastlegging is alleen bedoeld voor probleemoplossing; Cisco raadt u aan het niet voor alle handtekeningen in te schakelen.
A. Wijziging van ondertekening 23899.0 veroorzaakt deze kwestie. Raadpleeg Cisco bug-ID CSCtn8452 (alleen geregistreerde klanten) voor meer informatie.
A. Controleer of er URL-filtering, contentfiltering of een proxy server aanwezig is die de autoUpdate blokkeert. Zorg dat autoUpdate niet wordt geblokkeerd en controleer ook of de opgegeven gebruikersreferenties correct zijn.
A. Dit gedrag is aangepakt door Cisco bug-ID CSCsq50873 (alleen geregistreerde klanten). Dit is een cosmetisch probleem en leidt niet tot operationele overheadkosten, behalve de overmatige hoeveelheid stammen die worden ontvangen. Een tijdelijke oplossing is het verwijderen van de NTP-gerelateerde configuratie op de sensor. Voor een permanente oplossing, upgrade naar een versie waarin dit bug is gerepareerd.
A. IME functioneert als twee Windows services en de GUI client. Wanneer de client gesloten is, blijven de twee Windows services (Cisco IPS Manager Express en MySQL-IME) gebeurtenissen uitvoeren en verzamelen van de beheerde sensoren en opslaan ze in de lokale MySQL-database; hierdoor kan historische rapportage plaatsvinden .
De IME-client moet één SDEE-abonnement openen op de beheerde sensor en deze abonnement opnieuw gebruiken voor de volgende activiteit om gebeurtenissen te herstellen. De constante verbinding van het IME-werkstation naar de beheerde sensoren wordt verwacht.
A. Nee. De AIP-SSM-module kan niet worden gebruikt als een SPAN-doel, aangezien hij alleen wordt gebruikt om het verkeer te controleren dat door de ASA-interface stroomt.
A. Met E3 motorupdates gebruikt IPS een ander algoritme om zijn nutteloze tijd te beheren en meer tijd te besteden aan pakketten om latentie te verminderen. Deze toegenomen controle veroorzaakt een corresponderende toename van het CPU-gebruik. De juiste manier om de CPU in E3 te meten, is niet door CPU-gebruik, maar door het percentage van de pakketbelasting dat het juiste gebruik van de CPU laat zien.
A. Dit zou kunnen gebeuren door een onjuist certificaat op het beheersstation op afstand, door software te gebruiken zoals CS-MARS, CSM, IEV, VMS-IDS/IPSMC, enz. Voer de volgende stappen uit om dit probleem op te lossen:
Pas het TLS-certificaat van de sensor aan op het afstandsbediening.
Configureer een geldige DNS-server.
A. Door de sensor te configureren om in asymmetrische modus te werken, wordt het probleem opgelost. Voltooi de volgende stappen om de sensor in asymmetrische stand te plaatsen:
Ga naar Configuratie > Beleid > IPS-beleid.
Dubbelklik op virtuele sensor.
Ga naar geavanceerde opties.
Selecteer onder normale omstandigheden de optie Asymmetric Mode Protection.
Klik op OK.
Reinig de eenheid opnieuw zodat de wijzigingen van kracht kunnen worden.