Implantar IPS Snort UTD nos Cisco Integrated Services Routers séries 1000, 4000, CSRs e ISRv

Introdução

Este documento descreve como implantar o UTD Snort IPS Engine nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv usando o método IOx.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Roteadores de Serviços Integrados da Cisco séries ISR1K, ISR4K, CSRs e ISRv com pelo menos 8 GB de DRAM
• Conhecimento básico do comando IOS-XE
• Conhecimento básico de IPS Snort UTD
• É necessária uma assinatura de IPS snort de assinatura de 1 ou 3 anos
• IOS-XE 16.10.1a e superior

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Séries ISR1K, ISR4K, CSRs e ISRv executando a versão 17.9.3a
• UTD snort engine versão 17.9.3a
• Licença do Securityk9 para séries ISR1K, ISR4K, CSRs e ISRv

O método VMAN foi preterido agora.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O recurso Unified Threat Defense (UTD) Snort IPS permite o Intrusion Prevention System (IPS) ou o Intrusion Detection System (IDS) para filiais nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv. Este recurso usa o Snort de código aberto para ativar os recursos de IPS ou IDS.

O Snort é um IPS de código aberto que executa análise de tráfego em tempo real e gera alertas quando são detectadas ameaças em redes IP. Ele também pode executar análise de protocolo, pesquisa de conteúdo ou marcação e detectar uma variedade de ataques e testes, como estouros de buffer, varreduras de porta furtiva e assim por diante. O mecanismo UTD Snort é executado como um serviço de contêiner virtual nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv.

O IPS Snort UTD fornece recursos de IPS ou IDS para Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv. 

• O UTD monitora o tráfego de rede e o analisa em relação a um conjunto de regras definido.
• O UTD executa a classificação de anexação.
• O UTD invoca ações contra regras correspondentes.

Com base nos requisitos de rede. O UTD Snort IPS pode ser habilitado como IPS ou IDS:

• No modo IDS: O mecanismo de snort UTD inspeciona o tráfego e relata alertas, mas não toma nenhuma ação para evitar ataques.
• No modo IPS: O mecanismo de snort UTD inspeciona o tráfego e relata alertas como faz o IDS, mas são tomadas ações para evitar ataques.

O UTD Snort IPS é executado como um serviço nos roteadores ISR1K, ISR4K, CSRs e séries ISRv. Os contêineres de serviço usam a tecnologia de virtualização para fornecer um ambiente de hospedagem em dispositivos Cisco para aplicativos. A inspeção de tráfego Snort é habilitada por interface ou globalmente em todas as interfaces suportadas.

Solução UTD Snort Engine IPS

A solução IPS do mecanismo de snort UTD consiste nas seguintes entidades:

• Sensor Snort — Monitora o tráfego para detectar anomalias com base nas políticas de segurança configuradas (que incluem assinaturas, estatísticas, análise de protocolo, etc.) e envia mensagens de alerta para o servidor de alerta/relatório. O sensor Snort é implantado como um serviço de contêiner virtual no roteador.

• Signature store — Hospeda os pacotes Cisco Signature que são atualizados periodicamente. Esses pacotes de assinatura são baixados para sensores Snort periodicamente ou sob demanda. Os pacotes de assinatura validados são publicados em Cisco.com. Com base na configuração, os pacotes de assinatura podem ser baixados de Cisco.com ou de um servidor local.

  Os domínios a seguir são acessados pelo roteador no processo de download do pacote de assinatura de cisco.com:

  • api.cisco.com

  • apx.cisco.com

  • cloudsso.cisco.com

  • cloudsso-test.cisco.com

  • cloudsso-test3.cisco.com

  • cloudsso-test4.cisco.com

  • cloudsso-test5.cisco.com

  • cloudsso-test6.cisco.com

  • cloudsso.cisco.com

  • download-ssc.cisco.com

  • dl.cisco.com

  • resolver1.opendns.com

  • resolver2.opendns.com

  Os pacotes de assinatura devem ser baixados manualmente de Cisco.com para o servidor local usando as credenciais Cisco.com antes que o sensor Snort possa recuperá-los. 

• Servidor de alerta/relatório — Recebe eventos de alerta do sensor Snort. Os eventos de alerta gerados pelo sensor Snort podem ser enviados para o syslog IOS ou para um servidor syslog externo ou para o syslog IOS e o servidor syslog externo. Nenhum servidor de log externo é fornecido com a solução Snort IPS.

• Gerenciamento — Gerencia a solução Snort IPS. O gerenciamento é configurado usando a CLI do IOS. O Snort Sensor não pode ser acessado diretamente, e toda a configuração pode ser feita somente usando o CLI IOS.

Requisitos de licença

A seguir estão os requisitos de licenciamento para o mecanismo de snort UTD:

• A licença Security K9 é necessária nos roteadores ISR1K, ISR4K, CSRs e ISRv. Além disso, uma assinatura de assinatura de 1 ou 3 anos também é necessária, há dois tipos de assinatura:

a) Pacote de assinatura comunitária: o conjunto de regras do pacote de assinatura comunitária oferece cobertura limitada contra ameaças.

b) Pacote de Assinatura Baseado em Assinante: O conjunto de regras do pacote de assinatura baseado em assinante oferece a melhor proteção contra ameaças.  Ele inclui a cobertura antes das explorações e também oferece o acesso mais rápido a assinaturas atualizadas em resposta a um incidente de segurança ou à descoberta proativa de uma nova ameaça. Essa assinatura é totalmente suportada pela Cisco e o pacote será atualizado constantemente em Cisco.com.

O Pacote de Assinatura de Assinante do Snort UTD pode ser baixado de software.cisco.com e as informações de assinatura do Snort podem ser encontradas em snort.org.

Além disso, você pode usar a seguinte ferramenta snort.org Rule Documentation Search para procurar IDs de assinatura IPS do Snort específicos.

• A licença do DNA-Essentials é necessária nos roteadores de borda Catalyst 8000 mencionados na seção Plataformas suportadas para poder usar o IPS/Snort.

Plataformas suportadas 

A seguir estão as plataformas suportadas para o mecanismo de snort UTD:

• ISR 4461, 4451, 4431, 4351, 4331, 4321, 4221X, 4221, CSR, ISRv e ISR 1K (X PIDs como 1111X, 1121X, 1161X etc. que suportam apenas 8GB de DRAM, a partir da versão 17.2.1r)

• Catalyst 8500L, 8300, 8200, 8000V

Limitações

As seguintes limitações se aplicam ao mecanismo de snort UTD:

• Somente pacotes tcp, udp e icmp serão desviados para o mecanismo de snort UTD para inspeção

• Somente através do tráfego de caixa será desviado para o mecanismo de snort UTD para inspeção

Restrições

As seguintes restrições se aplicam ao mecanismo de snort UTD:

• Quando você habilita a licença de aumento em ISRs Cisco 4000 Series, não pode configurar o contêiner de serviço virtual para Snort IPS.

• Incompatível com o recurso de cookie SYN do firewall baseado em zona.

• Não há suporte para Network Address Translation 64 (NAT64).

• SnortSnmpPlugin é necessário para interrogação de SNMP em Snort de código aberto. O Snort IPS não oferece suporte a recursos de sondagem SNMP ou MIBs, pois o plug-in SnortSnmp não está instalado no UTD.

• O syslog do IOS tem taxa limitada e, como resultado, todos os alertas gerados pelo Snort podem não estar visíveis através do Syslog do IOS. No entanto, você pode exibir todas as mensagens de Syslog se exportá-las para um Servidor syslog externo.

Links para Download de IPS do Mecanismo de Snort UTD

A seguir estão os links da Cisco para fazer o download dos arquivos de imagem do software UTD Snort IPS Engine para usar na instalação do mecanismo UTD Snort em seu roteador Cisco. Além disso, você encontrará os arquivos do Pacote de Assinatura de Assinante Snort UTD para baixar as assinaturas IPS snort UTD, dependendo da versão do mecanismo snort UTD em execução.

• ISR1K - https://software.cisco.com/download/home/286315006/type

• ISR4K -https://software.cisco.com/download/home/284389362/type

• CSR -https://software.cisco.com/download/home/284364978/type

• ISRv -https://software.cisco.com/download/home/286308693/type

• Catalyst 8500L -https://software.cisco.com/download/home/286324574/type

• Catalyst 8300 -https://software.cisco.com/download/home/286324476/type

• Catalyst 8200 -https://software.cisco.com/download/home/286324472/type

• Catalyst 8000V -https://software.cisco.com/download/home/286327102/type

Note: Pré-requisitos a serem considerados antes da instalação do mecanismo de snort UTD. Se for um ISR físico, ele deverá estar executando o IOS-XE versão 3.16.1 ou superior. Se for um CSR, ele deverá estar executando a versão 16.3.1 ou superior e, se for um ISRv (ENCS), deverá estar executando a versão 16.8.1 ou superior. Para o Catalyst 8300 (a partir da versão 17.3.2 e acima), 8200 (a partir da versão 17.4.1 e acima) e para o 8000V (a partir da versão 17.4.1 e acima).

Note: Se o usuário fizer o download do UTD Snort Subscriber Signature Package manualmente na página de download do software, o usuário deverá se certificar de que o pacote tem a mesma versão que a versão do mecanismo Snort. Por exemplo, se a versão do mecanismo Snort for 2982, o usuário deverá baixar a mesma versão do pacote de assinatura. Se houver uma incompatibilidade de versões, a atualização do pacote de assinatura será rejeitada e falhará.

Note: Quando o pacote de assinatura for atualizado, o mecanismo será reiniciado e o tráfego será interrompido ou ignorado pela inspeção por um curto período, dependendo da configuração de fail-open/fail-close do plano de dados.

Diagrama de Rede

Configurar

Instalação do Mecanismo Snort UTD

Etapa 1. Configure as interfaces VirtualPortGroup para o mecanismo de snort UTD, configure dois grupos de porta:

• O VirtualPortGroup0 para tráfego de gerenciamento: Este VirtualPortGroup será usado para gerar logs para o coletor de logs, bem como para receber atualizações de assinatura de Cisco.com.

• O VirtualPortGroup1 para tráfego de dados: Este VirtualPortGroup será usado para enviar e receber pacotes marcados para inspeção que chegam ao plano de dados para inspeção de IPS.

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Observação: certifique-se de configurar o NAT e o roteamento necessários para o VirtualPortgroup0, para que o mecanismo de snort UTD possa acessar o servidor syslog externo, bem como o cisco.com para obter os arquivos de atualização de assinatura.

Etapa 2.  Ative o ambiente IOx no modo de configuração global.

Router(config)#iox

Etapa 3. Em seguida, ative o serviço virtual e configure os IPs convidados. Para isso, configure a hospedagem de aplicativos com a configuração da vnic.

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Etapa 4 (opcional). Configure o Perfil de Recurso.

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

Note: O serviço virtual do mecanismo de snort UTD oferece suporte a três perfis de recursos: Baixa, Média e Alta. Esses perfis indicam os recursos de CPU e memória necessários para executar o serviço virtual. Você pode configurar um desses perfis de recurso. A configuração do perfil de recurso é opcional. Se você não configurar um perfil, o serviço virtual será ativado com seu perfil de recurso padrão. Verifique o Perfil de recurso de serviço virtual da Cisco para ISR4K e CSR1000v para obter mais detalhes do perfil de recurso.

Note: Essa opção não está disponível para a série ISR1K.

Etapa 5. Copie o arquivo de software do mecanismo UTD Snort IPS para a memória flash do roteador e Instale a hospedagem de aplicativos usando o arquivo UTD.tar da seguinte maneira.

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

Note: A versão do mecanismo UTD é especificada no nome do arquivo UTD, verifique se a versão do mecanismo UTD a ser instalada é compatível com a versão do IOS-XE em execução no roteador Cisco

Os próximos syslogs devem ser vistos indicando que o serviço UTD foi instalado corretamente.

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

Note: Usando 'show app-hosting list' o status deve ser exibido como 'Deployed'

Etapa 6. Inicie o serviço de hospedagem de aplicativos.

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

Note: Depois de iniciar o serviço de hospedagem de aplicativos, o status de hospedagem de aplicativos deve ser 'Em Execução'. Use 'show app-hosting list' ou 'show app-hosting detail' para ver mais detalhes.

As próximas mensagens de syslog devem ser vistas indicando que o serviço UTD foi instalado corretamente.

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

Configurar o Mecanismo de Snort UTD como IPS ou IDS

Após a instalação bem-sucedida, o plano de serviço deve ser configurado para o mecanismo de snort UTD. O mecanismo de snort UTD pode ser configurado como IPS (Sistema de prevenção de intrusão) ou como IDS (Sistema de detecção de intrusão) para inspeção de tráfego.

aviso: Confirme se o recurso de licença 'securityk9' está habilitado no Roteador para continuar com a configuração do plano de serviço UTD.

Etapa 1. Configurar o mecanismo padrão do Unified Threat Defense (UTD) (Plano de Serviço)

Router#configure terminal
Router(config)#utd engine standard

Etapa 2. Ative o registro do mecanismo de snort UTD para um servidor remoto e para o syslog IOSd.

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

Note: O IPS UTD Snort monitora o tráfego e relata eventos a um servidor de registro externo ou ao syslog do IOS. Ativar o registro no registro de eventos do sistema IOS pode afetar o desempenho devido ao volume potencial de mensagens de registro. Ferramentas externas de monitoramento de terceiros, que oferecem suporte a logs do Snort, podem ser usadas para coleta e análise de logs.

Etapa 3. Ativar a Inspeção de Ameaças para o Mecanismo Snort.

Router(config-utd-eng-std)#threat-inspection

Etapa 4. Configure a Detecção de Ameaças (IDS) ou o Sistema de Prevenção de Intrusões (IPS) como o modo de operação para o mecanismo snort.

Router(config-utd-engstd-insp)#threat [protection,detection]

Note: Use a palavra-chave 'protection' para IPS e 'detectionpara o modo IDS. O modo padrão é 'detection'

Etapa 5. Configurar a política de segurança para o mecanismo de snort.

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Note: A política padrão é 'balance', dependendo da política escolhida, o mecanismo de snort ativará ou desativará assinaturas IPS para a proteção do mecanismo de snort.

Etapa 6 (opcional). Habilite a configuração da lista permitida de UTD (Whitelist).

Router#configure terminal
Router(config)#utd threat-inspection whitelist

Etapa 7 (opcional). Configure as IDs de assinatura do IPS snort a serem incluídas na lista branca.

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

Note: As IDs de assinatura podem ser copiadas dos alertas que precisam ser suprimidos. Você pode configurar várias IDs de assinatura. Repita essa etapa para cada ID de assinatura que precise ser adicionada à lista branca.

Note: Depois que o ID de assinatura da lista permitida for configurado (whitelist), o mecanismo de snort UTD permitirá que o fluxo passe pelo dispositivo sem alertas e quedas.

Note: O identificador do gerador (GID) identifica o subsistema que avalia uma regra de intrusão e gera eventos. As regras de intrusão de texto padrão têm um ID de gerador igual a 1 e as regras de intrusão de objeto compartilhado têm um ID de gerador igual a 3. Há também vários conjuntos de regras para vários pré-processadores. A seguinte Tabela 1. IDs do Gerador explica os GIDs.

Etapa 8 (opcional). Habilitar lista de permitidos na configuração de Inspeção de ameaças.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

Note: Depois que o ID de assinatura da lista branca for configurado, o mecanismo de snort permitirá que o fluxo passe pelo dispositivo sem nenhum alerta e descarte

Etapa 9. Configure o intervalo de atualização da assinatura para fazer o download de assinaturas Snort automaticamente.

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

Note: O primeiro número define a hora no formato de 24 horas e o segundo número indica minutos.

aviso: As atualizações de Assinatura UTD geram uma breve interrupção de serviço no momento da atualização.

Etapa 10. Configurar os parâmetros do servidor de atualização de assinatura do mecanismo de snort UTD.

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

Note: Use a palavra-chave 'cisco' para apontar para o servidor Cisco para as atualizações de assinatura ou use a palavra-chave 'url' para definir um caminho http/https personalizado para o servidor de atualização. Para o servidor Cisco, você deve fornecer suas credenciais de nome de usuário e senha da Cisco.

Note: Verifique se um servidor DNS está configurado para baixar assinaturas de snort IPS do servidor Cisco. O contêiner Snort executa uma pesquisa de nome de domínio (nos servidores DNS configurados no roteador) para resolver o local para atualizações automáticas de assinatura de Cisco.com ou no servidor local, se a URL não estiver especificada como o endereço IP.

Note: O endereço IP de GERENCIAMENTO do módulo UTD atribuído à interface VirtualPortGroup0 deve ser incluído na configuração do NAT do Roteador para permitir que o módulo obtenha acesso à Internet para acessar o servidor Cisco para fazer download dos pacotes de assinatura do Snort.

Etapa 11. Ative o nível de log do mecanismo de snort UTD e o log das estatísticas de alerta de inspeção de ameaças:

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

Note: Iniciando o Cisco IOS XE Fuji versão 16.8, você pode obter detalhes resumidos para os alertas de inspeção de ameaças ao executar o próximo comando 'show utd engine standard logging threat-inspection statistics'. Apenas quando o registro das estatísticas de alerta de inspeção de ameaças estiver habilitado para o mecanismo de snort UTD.

Etapa 12. Ativar o serviço utd.

Router#configure terminal
Router(config)#utd

Etapa 13 (opcional). Redirecione o tráfego de dados da interface VirtualPortGroup para o serviço UTD.

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup 

Note: Se o redirecionamento não estiver configurado, ele será detectado automaticamente.

Etapa 14. Ative o mecanismo UTD IPS para inspecionar o tráfego de todas as interfaces de Camada 3 no Roteador.

Router(config-utd)#all-interfaces

Etapa 15. Ative o padrão do mecanismo.

Router(config-utd)#engine standard

As próximas mensagens de syslog devem ser vistas indicando que o mecanismo de snort UTD foi habilitado corretamente:

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

Etapa 16 (opcional). Definir a ação para o mecanismo de snort UTD durante uma falha (Plano de Dados UTD)

Router(config-engine-std)#fail open
Router(config-engine-std)#end

Note: A opção 'fail close' descarta todo o tráfego do Roteador quando o mecanismo UTD falha e a opção 'fail open' permite que o tráfego do roteador continue fluindo sem inspeção de IPS/IDS durante falhas de UTD. A opção padrão é 'fail open'.

Etapa 17. Salvar a configuração do roteador.

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

Inspetor de verificação de porta para o mecanismo Snort UTD

O mecanismo de snort UTD tem recursos de Varredura de Portas. Uma varredura de portas é uma forma de reconhecimento de rede que é frequentemente usada pelos invasores como prelúdio para um ataque. Em uma verificação de porta, um invasor envia pacotes projetados para investigar protocolos e serviços de rede em um host de destino. Examinando os pacotes enviados em resposta por um host, o invasor pode determinar quais portas estão abertas no host e, diretamente ou por inferência, quais protocolos de aplicação estão sendo executados nessas portas.

Por si só, uma varredura de porta não é evidência de um ataque. Usuários legítimos em sua rede podem empregar técnicas semelhantes de varredura de portas usadas por invasores.

O inspetor por_scan detecta quatro tipos de verificação de portas e monitora tentativas de conexão em protocolos TCP, UDP, ICMP e IP. Ao detectar padrões de atividade, o inspetor port_scan o ajuda a determinar quais varreduras de porta podem ser mal-intencionadas.

As varreduras de porta são geralmente divididas em quatro tipos com base no número de hosts de destino, no número de hosts de varredura e no número de portas que são examinadas.

Regras do inspetor de verificação de porta

A Tabela 3. abaixo exibe as regras do inspetor de verificação de porta.

Níveis confidenciais de verificação de porta

O inspetor port_scan fornece três níveis padrão sensíveis à varredura para o mecanismo de snort UTD:

• Varredura de porta alta
• Varredura de porta baixa
• Varredura de porta média

Configurar o Inspetor de Port-Scan para o Mecanismo de Snort UTD

Etapa 1. Configurar o mecanismo padrão do Unified Threat Defense (UTD) (Plano de Serviço)

Router#configure terminal
Router(config)#utd engine standard

Etapa 2. Ativar a Inspeção de Ameaças para o Mecanismo de Snort UTD.

Router(config-utd-eng-std)#threat-inspection

Etapa 3. Em seguida, ative o port_scan.

Router(config-utd-engstd-insp)#port-scan 

Etapa 4. Defina o nível sensível de port_scan; as opções disponíveis são alta, média ou baixa.

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

Etapa 5. Uma vez que port_scan esteja habilitado e configurado com um nível sensível para o mecanismo de snort UTD, use o comando 'show utd engine standard config' para verificar a configuração port_scan.

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Verificar

Verificar o status das interfaces e dos endereços IP do VirtualPortGroup

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

Verifique a configuração das interfaces do VirtualPortGroup

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

Verificar a configuração de hospedagem de aplicativos

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

Verificar a ativação do iox

Router#show running-config | i iox
iox

Verificar o estado de hospedagem do aplicativo

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

Verifique os detalhes de hospedagem de aplicativos

Emita o comando 'show app-hosting detail' para confirmar o estado do mecanismo de snort UTD, a versão do software em execução, a RAM, a utilização da CPU e do Disco, as estatísticas da rede e a configuração DNS em vigor.

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

Verificar a versão de compatibilidade do mecanismo de snort UTD em relação à versão do IOS-XE do Roteador em execução

Use o comando 'show utd engine standard version' para confirmar a versão de compatibilidade do mecanismo de snort UTD em relação à versão do roteador IOS-XE em execução.

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

Verificar o status do mecanismo de snort UTD

Opção 1. Emita o comando 'show utd engine standard status', para confirmar o status do mecanismo de snort UTD, Status em 'Green', Health em 'Green' e o status geral do sistema em 'Green', indique se o mecanismo de snort UTD está operacional.

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

Note: Quando o mecanismo de snort UTD tem excesso de assinaturas, o estado do canal de defesa contra ameaças muda entre verde e vermelho. O plano de dados UTD descarta todos os outros pacotes se o fail-close estiver configurado ou encaminha os pacotes não inspecionados se o fail-close não estiver configurado (padrão). Quando o plano de serviço do UTD se recupera do excesso de assinaturas, ele responde ao plano de dados do UTD com o status verde.

Opção 2. Emita o comando 'show platform software utd global' para obter um breve resumo do estado de operação do mecanismo de snort UTD. 

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

Verificar a configuração do mecanismo de snort UTD

Opção 1. Emita o comando 'show utd engine standard config' para exibir os detalhes de configuração do mecanismo de snort UTD, o modo de operação, o modo de política, a configuração de atualização de assinatura, a configuração de registro, a whitelist e o status de verificação de porta.  

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

Opção 2. Execute o comando 'show running-config | b engine' para exibir a configuração atual do mecanismo de snort UTD.

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

Verificar o status de atualização da assinatura de Snort IPS do mecanismo de snort UTD

1. Emita o comando 'show utd engine standard threat-inspection signature update status' para verificar o status de atualização da assinatura de snort do IPS.

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. Emita o comando 'utd threat-inspection signature update' para executar uma atualização manual de assinatura de snort IPS usando a configuração de servidor existente aplicada ao mecanismo de snort UTD para os downloads de assinatura.

Router#utd threat-inspection signature update

3. Emita o comando 'utd threat-inspection signature update server [cisco, url] username xxxx password xxxx force' para forçar uma atualização de assinatura de snort IPS manual com os parâmetros de servidor especificados.

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

Como confirmar se o mecanismo de snort UTD está inspecionando o tráfego

Use os seguintes comandos show para monitorar o tráfego processado pelo mecanismo de snort UTD e para verificar as estatísticas relacionadas à inspeção de tráfego. 

Opção 1. Na saída abaixo de 'show utd engine standard statistics', os contadores 'received' e 'analyzed' são incrementados, quando o tráfego está sendo processado pelo mecanismo de snort UTD:

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

Opção 2. Na saída abaixo de 'show platform hardware qfp ative feature utd stats', os contadores 'decaps' e 'Divert' são incrementados quando o tráfego é redirecionado do Roteador para o mecanismo de snort UTD para inspeção de tráfego e os contadores 'encaps' e 'Reinject' são incrementados quando o tráfego é redirecionado do mecanismo de snort UTD para o Roteador:

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

Opção 3. Na saída abaixo de 'show utd engine standard statistics internal', os contadores 'received' e 'analyse' são incrementados, quando o tráfego é redirecionado do Roteador para o mecanismo de snort UTD para inspeção de tráfego. Além disso, esta saída exibirá mais detalhes e estatísticas sobre o tráfego inspecionado pelo mecanismo de snort UTD:

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

Como confirmar se o mecanismo de snort UTD acionou uma assinatura de snort IPS 

Use os seguintes comandos show para monitorar as assinaturas IPS de snort disparadas, os eventos IPS/IDS gerados e os endereços IP origem e destino envolvidos. 

Opção 1. Use o comando 'show utd engine standard logging events [threat-inspection]' para procurar eventos IPS/IDS:

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

Opção 2. Use o comando 'show utd engine standard logging statistics threat-inspection' para procurar as principais assinaturas de snort de IPS disparadas nas últimas 24 horas e quantas vezes cada assinatura foi disparada:

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

Opção 3. Use o comando 'show utd engine standard logging statistics threat-inspection detail' para procurar as principais assinaturas de snort de IPS disparadas nas últimas 24 horas, quantas vezes cada assinatura foi disparada e os endereços IP de origem e destino que dispararam a assinatura: 

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1      
 

Opção 4. O mecanismo de snort UTD monitora o tráfego e relata eventos a um servidor de registro externo ou ao syslog IOS. Ativar o registro no registro de eventos do sistema IOS pode afetar o desempenho devido ao volume potencial de mensagens de registro. Ferramentas externas de monitoramento de terceiros, que oferecem suporte a logs do Snort, podem ser usadas para coleta e análise de logs.

Sempre que o mecanismo de snort UTD gera um evento IPS/IDS, o roteador exibe uma mensagem de syslog como a seguinte:

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

Note: Os registros do mecanismo de snort UTD serão exibidos na CLI do IOSd do Roteador, exatamente quando o syslog de registro estiver habilitado na configuração padrão do mecanismo de snort UTD para o mecanismo de snort UTD.

Quando o mecanismo de snort UTD estiver configurado para enviar logout para um servidor syslog externo, você deverá ver os logs do mecanismo de snort UTD em seu servidor syslog remoto da seguinte maneira:

Como exibir as assinaturas de snort de IPS ativas

Utilize os seguintes comandos para exibir as assinaturas de snort IPS Ativo, Eliminado e Alerta para o mecanismo de snort UTD, dependendo da configuração de política usada (Balanceada, Conectividade ou Segurança). 

Opção 1. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política de segurança. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

Opção 2. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política de conectividade. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

Opção 3. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política Equilibrada. 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

Note: Para exibir as assinaturas IPS Snort ativas para as políticas Balanced, Connectivity ou Security, o mecanismo UTD Snort deve estar executando o modo de política correspondente que você deseja exibir.

Troubleshooting

1. Verifique se o Cisco Integrated Services Router (ISR) executa o XE 16.10.1a e superior (para o método IOx).

2. Verifique se o Cisco Integrated Services Router (ISR) está licenciado com o recurso Securityk9 habilitado.

3. Verifique se o modelo de hardware do ISR está em conformidade com o perfil de recursos mínimos.

4. O mecanismo de snort UTD não é compatível com o cookie SYN do firewall baseado em zona e com o Network Address Translation 64 (NAT64)

5. Confirme se o serviço do mecanismo de snort UTD foi iniciado após a instalação.

6. Durante o download manual do pacote Signature, certifique-se de que o pacote tenha a mesma versão que a versão do mecanismo Snort. A atualização do pacote de assinatura pode falhar se houver uma incompatibilidade de versão.

7. Em caso de problemas de desempenho, use os comandos 'show app-hosting resource' e 'show app-hosting usage appid''UTD-NAME' para verificar o espaço de CPU, Memória e Armazenamento em UTD.

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

aviso: Entre em contato com o TAC da Cisco se você confirmar que o mecanismo UTD Snort está com alta utilização de CPU, memória ou disco.

Depuração

Para fins de Troubleshooting, use os comandos de depuração listados abaixo para coletar mais detalhes do mecanismo de snort UTD.

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

aviso: A execução de comandos de depuração durante as horas de produção pode aumentar significativamente a utilização da CPU, da memória ou do disco no mecanismo UTD Snort ou no roteador, causando um impacto potencial no tráfego e na estabilidade do sistema. Use os comandos debug moderadamente, de preferência durante uma janela de manutenção, e desative-os imediatamente após a coleta dos dados necessários. Se o uso elevado de recursos ou o impacto no serviço for observado, pare a depuração e entre em contato com o TAC da Cisco.

Informações Relacionadas

A documentação adicional relacionada à implantação do Snort IPS UTD pode ser encontrada aqui:

Guia de configuração de segurança do Cisco Snort IPS

Perfil de recurso de serviço virtual da Cisco para ISR4K e CSR1000v

Snort IPS em roteadores - Configuração passo a passo

Guia da Cisco - Identificação e solução de problemas do Snort IPS

Guia de referência do Snort Port-Scan Inspetor

Página da Web do Snort Open Source Intrusion Prevention System (IPS)

Instalar Imagem Virtual de Segurança UTD em Roteadores cEdge

CSCwf57595 O ISR4K Snort IPS não está implantado, pois o HW não tem recursos de plataforma suficientes