O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como implantar o UTD Snort IPS Engine nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv usando o método IOx.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
O método VMAN foi preterido agora.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O recurso Unified Threat Defense (UTD) Snort IPS permite o Intrusion Prevention System (IPS) ou o Intrusion Detection System (IDS) para filiais nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv. Este recurso usa o Snort de código aberto para ativar os recursos de IPS ou IDS.
O Snort é um IPS de código aberto que executa análise de tráfego em tempo real e gera alertas quando são detectadas ameaças em redes IP. Ele também pode executar análise de protocolo, pesquisa de conteúdo ou marcação e detectar uma variedade de ataques e testes, como estouros de buffer, varreduras de porta furtiva e assim por diante. O mecanismo UTD Snort é executado como um serviço de contêiner virtual nos Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv.
O IPS Snort UTD fornece recursos de IPS ou IDS para Cisco Integrated Services Routers séries ISR1K, ISR4K, CSRs e ISRv.
Com base nos requisitos de rede. O UTD Snort IPS pode ser habilitado como IPS ou IDS:
O UTD Snort IPS é executado como um serviço nos roteadores ISR1K, ISR4K, CSRs e séries ISRv. Os contêineres de serviço usam a tecnologia de virtualização para fornecer um ambiente de hospedagem em dispositivos Cisco para aplicativos. A inspeção de tráfego Snort é habilitada por interface ou globalmente em todas as interfaces suportadas.
A solução IPS do mecanismo de snort UTD consiste nas seguintes entidades:
Sensor Snort — Monitora o tráfego para detectar anomalias com base nas políticas de segurança configuradas (que incluem assinaturas, estatísticas, análise de protocolo, etc.) e envia mensagens de alerta para o servidor de alerta/relatório. O sensor Snort é implantado como um serviço de contêiner virtual no roteador.
Signature store — Hospeda os pacotes Cisco Signature que são atualizados periodicamente. Esses pacotes de assinatura são baixados para sensores Snort periodicamente ou sob demanda. Os pacotes de assinatura validados são publicados em Cisco.com. Com base na configuração, os pacotes de assinatura podem ser baixados de Cisco.com ou de um servidor local.
Os domínios a seguir são acessados pelo roteador no processo de download do pacote de assinatura de cisco.com:
api.cisco.com
apx.cisco.com
cloudsso.cisco.com
cloudsso-test.cisco.com
cloudsso-test3.cisco.com
cloudsso-test4.cisco.com
cloudsso-test5.cisco.com
cloudsso-test6.cisco.com
cloudsso.cisco.com
download-ssc.cisco.com
dl.cisco.com
resolver1.opendns.com
resolver2.opendns.com
Os pacotes de assinatura devem ser baixados manualmente de Cisco.com para o servidor local usando as credenciais Cisco.com antes que o sensor Snort possa recuperá-los.
Servidor de alerta/relatório — Recebe eventos de alerta do sensor Snort. Os eventos de alerta gerados pelo sensor Snort podem ser enviados para o syslog IOS ou para um servidor syslog externo ou para o syslog IOS e o servidor syslog externo. Nenhum servidor de log externo é fornecido com a solução Snort IPS.
Gerenciamento — Gerencia a solução Snort IPS. O gerenciamento é configurado usando a CLI do IOS. O Snort Sensor não pode ser acessado diretamente, e toda a configuração pode ser feita somente usando o CLI IOS.
A seguir estão os requisitos de licenciamento para o mecanismo de snort UTD:
a) Pacote de assinatura comunitária: o conjunto de regras do pacote de assinatura comunitária oferece cobertura limitada contra ameaças.
b) Pacote de Assinatura Baseado em Assinante: O conjunto de regras do pacote de assinatura baseado em assinante oferece a melhor proteção contra ameaças. Ele inclui a cobertura antes das explorações e também oferece o acesso mais rápido a assinaturas atualizadas em resposta a um incidente de segurança ou à descoberta proativa de uma nova ameaça. Essa assinatura é totalmente suportada pela Cisco e o pacote será atualizado constantemente em Cisco.com.
O Pacote de Assinatura de Assinante do Snort UTD pode ser baixado de software.cisco.com e as informações de assinatura do Snort podem ser encontradas em snort.org.
Além disso, você pode usar a seguinte ferramenta snort.org Rule Documentation Search para procurar IDs de assinatura IPS do Snort específicos.
A seguir estão as plataformas suportadas para o mecanismo de snort UTD:
As seguintes limitações se aplicam ao mecanismo de snort UTD:
As seguintes restrições se aplicam ao mecanismo de snort UTD:
Quando você habilita a licença de aumento em ISRs Cisco 4000 Series, não pode configurar o contêiner de serviço virtual para Snort IPS.
Incompatível com o recurso de cookie SYN do firewall baseado em zona.
Não há suporte para Network Address Translation 64 (NAT64).
SnortSnmpPlugin é necessário para interrogação de SNMP em Snort de código aberto. O Snort IPS não oferece suporte a recursos de sondagem SNMP ou MIBs, pois o plug-in SnortSnmp não está instalado no UTD.
A seguir estão os links da Cisco para fazer o download dos arquivos de imagem do software UTD Snort IPS Engine para usar na instalação do mecanismo UTD Snort em seu roteador Cisco. Além disso, você encontrará os arquivos do Pacote de Assinatura de Assinante Snort UTD para baixar as assinaturas IPS snort UTD, dependendo da versão do mecanismo snort UTD em execução.
Note: Pré-requisitos a serem considerados antes da instalação do mecanismo de snort UTD. Se for um ISR físico, ele deverá estar executando o IOS-XE versão 3.16.1 ou superior. Se for um CSR, ele deverá estar executando a versão 16.3.1 ou superior e, se for um ISRv (ENCS), deverá estar executando a versão 16.8.1 ou superior. Para o Catalyst 8300 (a partir da versão 17.3.2 e acima), 8200 (a partir da versão 17.4.1 e acima) e para o 8000V (a partir da versão 17.4.1 e acima).
Note: Se o usuário fizer o download do UTD Snort Subscriber Signature Package manualmente na página de download do software, o usuário deverá se certificar de que o pacote tem a mesma versão que a versão do mecanismo Snort. Por exemplo, se a versão do mecanismo Snort for 2982, o usuário deverá baixar a mesma versão do pacote de assinatura. Se houver uma incompatibilidade de versões, a atualização do pacote de assinatura será rejeitada e falhará.
Note: Quando o pacote de assinatura for atualizado, o mecanismo será reiniciado e o tráfego será interrompido ou ignorado pela inspeção por um curto período, dependendo da configuração de fail-open/fail-close do plano de dados.
Etapa 1. Configure as interfaces VirtualPortGroup para o mecanismo de snort UTD, configure dois grupos de porta:
Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit
Observação: certifique-se de configurar o NAT e o roteamento necessários para o VirtualPortgroup0, para que o mecanismo de snort UTD possa acessar o servidor syslog externo, bem como o cisco.com para obter os arquivos de atualização de assinatura.
Etapa 2. Ative o ambiente IOx no modo de configuração global.
Router(config)#iox
Etapa 3. Em seguida, ative o serviço virtual e configure os IPs convidados. Para isso, configure a hospedagem de aplicativos com a configuração da vnic.
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit
Etapa 4 (opcional). Configure o Perfil de Recurso.
Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end
Note: O serviço virtual do mecanismo de snort UTD oferece suporte a três perfis de recursos: Baixa, Média e Alta. Esses perfis indicam os recursos de CPU e memória necessários para executar o serviço virtual. Você pode configurar um desses perfis de recurso. A configuração do perfil de recurso é opcional. Se você não configurar um perfil, o serviço virtual será ativado com seu perfil de recurso padrão. Verifique o Perfil de recurso de serviço virtual da Cisco para ISR4K e CSR1000v para obter mais detalhes do perfil de recurso.
Note: Essa opção não está disponível para a série ISR1K.
Etapa 5. Copie o arquivo de software do mecanismo UTD Snort IPS para a memória flash do roteador e Instale a hospedagem de aplicativos usando o arquivo UTD.tar da seguinte maneira.
Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar
Note: A versão do mecanismo UTD é especificada no nome do arquivo UTD, verifique se a versão do mecanismo UTD a ser instalada é compatível com a versão do IOS-XE em execução no roteador Cisco
Os próximos syslogs devem ser vistos indicando que o serviço UTD foi instalado corretamente.
Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed
Note: Usando 'show app-hosting list' o status deve ser exibido como 'Deployed'
Etapa 6. Inicie o serviço de hospedagem de aplicativos.
Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end
Note: Depois de iniciar o serviço de hospedagem de aplicativos, o status de hospedagem de aplicativos deve ser 'Em Execução'. Use 'show app-hosting list' ou 'show app-hosting detail' para ver mais detalhes.
As próximas mensagens de syslog devem ser vistas indicando que o serviço UTD foi instalado corretamente.
*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running
Após a instalação bem-sucedida, o plano de serviço deve ser configurado para o mecanismo de snort UTD. O mecanismo de snort UTD pode ser configurado como IPS (Sistema de prevenção de intrusão) ou como IDS (Sistema de detecção de intrusão) para inspeção de tráfego.
aviso: Confirme se o recurso de licença 'securityk9' está habilitado no Roteador para continuar com a configuração do plano de serviço UTD.
Etapa 1. Configurar o mecanismo padrão do Unified Threat Defense (UTD) (Plano de Serviço)
Router#configure terminal
Router(config)#utd engine standard
Etapa 2. Ative o registro do mecanismo de snort UTD para um servidor remoto e para o syslog IOSd.
Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog
Note: O IPS UTD Snort monitora o tráfego e relata eventos a um servidor de registro externo ou ao syslog do IOS. Ativar o registro no registro de eventos do sistema IOS pode afetar o desempenho devido ao volume potencial de mensagens de registro. Ferramentas externas de monitoramento de terceiros, que oferecem suporte a logs do Snort, podem ser usadas para coleta e análise de logs.
Etapa 3. Ativar a Inspeção de Ameaças para o Mecanismo Snort.
Router(config-utd-eng-std)#threat-inspection
Etapa 4. Configure a Detecção de Ameaças (IDS) ou o Sistema de Prevenção de Intrusões (IPS) como o modo de operação para o mecanismo snort.
Router(config-utd-engstd-insp)#threat [protection,detection]
Note: Use a palavra-chave 'protection' para IPS e 'detectionpara o modo IDS. O modo padrão é 'detection'
Etapa 5. Configurar a política de segurança para o mecanismo de snort.
Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Note: A política padrão é 'balance', dependendo da política escolhida, o mecanismo de snort ativará ou desativará assinaturas IPS para a proteção do mecanismo de snort.
Etapa 6 (opcional). Habilite a configuração da lista permitida de UTD (Whitelist).
Router#configure terminal
Router(config)#utd threat-inspection whitelist
Etapa 7 (opcional). Configure as IDs de assinatura do IPS snort a serem incluídas na lista branca.
Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic
or
Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"
Note: As IDs de assinatura podem ser copiadas dos alertas que precisam ser suprimidos. Você pode configurar várias IDs de assinatura. Repita essa etapa para cada ID de assinatura que precise ser adicionada à lista branca.
Note: Depois que o ID de assinatura da lista permitida for configurado (whitelist), o mecanismo de snort UTD permitirá que o fluxo passe pelo dispositivo sem alertas e quedas.
Note: O identificador do gerador (GID) identifica o subsistema que avalia uma regra de intrusão e gera eventos. As regras de intrusão de texto padrão têm um ID de gerador igual a 1 e as regras de intrusão de objeto compartilhado têm um ID de gerador igual a 3. Há também vários conjuntos de regras para vários pré-processadores. A seguinte Tabela 1. IDs do Gerador explica os GIDs.
Etapa 8 (opcional). Habilitar lista de permitidos na configuração de Inspeção de ameaças.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist
Note: Depois que o ID de assinatura da lista branca for configurado, o mecanismo de snort permitirá que o fluxo passe pelo dispositivo sem nenhum alerta e descarte
Etapa 9. Configure o intervalo de atualização da assinatura para fazer o download de assinaturas Snort automaticamente.
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0
Note: O primeiro número define a hora no formato de 24 horas e o segundo número indica minutos.
aviso: As atualizações de Assinatura UTD geram uma breve interrupção de serviço no momento da atualização.
Etapa 10. Configurar os parâmetros do servidor de atualização de assinatura do mecanismo de snort UTD.
Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx
Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx
or
Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg
Note: Use a palavra-chave 'cisco' para apontar para o servidor Cisco para as atualizações de assinatura ou use a palavra-chave 'url' para definir um caminho http/https personalizado para o servidor de atualização. Para o servidor Cisco, você deve fornecer suas credenciais de nome de usuário e senha da Cisco.
Note: Verifique se um servidor DNS está configurado para baixar assinaturas de snort IPS do servidor Cisco. O contêiner Snort executa uma pesquisa de nome de domínio (nos servidores DNS configurados no roteador) para resolver o local para atualizações automáticas de assinatura de Cisco.com ou no servidor local, se a URL não estiver especificada como o endereço IP.
Note: O endereço IP de GERENCIAMENTO do módulo UTD atribuído à interface VirtualPortGroup0 deve ser incluído na configuração do NAT do Roteador para permitir que o módulo obtenha acesso à Internet para acessar o servidor Cisco para fazer download dos pacotes de assinatura do Snort.
Etapa 11. Ative o nível de log do mecanismo de snort UTD e o log das estatísticas de alerta de inspeção de ameaças:
Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit
Note: Iniciando o Cisco IOS XE Fuji versão 16.8, você pode obter detalhes resumidos para os alertas de inspeção de ameaças ao executar o próximo comando 'show utd engine standard logging threat-inspection statistics'. Apenas quando o registro das estatísticas de alerta de inspeção de ameaças estiver habilitado para o mecanismo de snort UTD.
Etapa 12. Ativar o serviço utd.
Router#configure terminal
Router(config)#utd
Etapa 13 (opcional). Redirecione o tráfego de dados da interface VirtualPortGroup para o serviço UTD.
Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup
Note: Se o redirecionamento não estiver configurado, ele será detectado automaticamente.
Etapa 14. Ative o mecanismo UTD IPS para inspecionar o tráfego de todas as interfaces de Camada 3 no Roteador.
Router(config-utd)#all-interfaces
Etapa 15. Ative o padrão do mecanismo.
Router(config-utd)#engine standard
As próximas mensagens de syslog devem ser vistas indicando que o mecanismo de snort UTD foi habilitado corretamente:
*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red
Etapa 16 (opcional). Definir a ação para o mecanismo de snort UTD durante uma falha (Plano de Dados UTD)
Router(config-engine-std)#fail open
Router(config-engine-std)#end
Note: A opção 'fail close' descarta todo o tráfego do Roteador quando o mecanismo UTD falha e a opção 'fail open' permite que o tráfego do roteador continue fluindo sem inspeção de IPS/IDS durante falhas de UTD. A opção padrão é 'fail open'.
Etapa 17. Salvar a configuração do roteador.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#
O mecanismo de snort UTD tem recursos de Varredura de Portas. Uma varredura de portas é uma forma de reconhecimento de rede que é frequentemente usada pelos invasores como prelúdio para um ataque. Em uma verificação de porta, um invasor envia pacotes projetados para investigar protocolos e serviços de rede em um host de destino. Examinando os pacotes enviados em resposta por um host, o invasor pode determinar quais portas estão abertas no host e, diretamente ou por inferência, quais protocolos de aplicação estão sendo executados nessas portas.
Por si só, uma varredura de porta não é evidência de um ataque. Usuários legítimos em sua rede podem empregar técnicas semelhantes de varredura de portas usadas por invasores.
O inspetor por_scan detecta quatro tipos de verificação de portas e monitora tentativas de conexão em protocolos TCP, UDP, ICMP e IP. Ao detectar padrões de atividade, o inspetor port_scan o ajuda a determinar quais varreduras de porta podem ser mal-intencionadas.
As varreduras de porta são geralmente divididas em quatro tipos com base no número de hosts de destino, no número de hosts de varredura e no número de portas que são examinadas.
A Tabela 3. abaixo exibe as regras do inspetor de verificação de porta.
O inspetor port_scan fornece três níveis padrão sensíveis à varredura para o mecanismo de snort UTD:
Etapa 1. Configurar o mecanismo padrão do Unified Threat Defense (UTD) (Plano de Serviço)
Router#configure terminal
Router(config)#utd engine standard
Etapa 2. Ativar a Inspeção de Ameaças para o Mecanismo de Snort UTD.
Router(config-utd-eng-std)#threat-inspection
Etapa 3. Em seguida, ative o port_scan.
Router(config-utd-engstd-insp)#port-scan
Etapa 4. Defina o nível sensível de port_scan; as opções disponíveis são alta, média ou baixa.
Router(config-utd-threat-port-scan)# sense level [high | low | medium]
Example:
Router(config-utd-threat-port-scan)# sense level high
Etapa 5. Uma vez que port_scan esteja habilitado e configurado com um nível sensível para o mecanismo de snort UTD, use o comando 'show utd engine standard config' para verificar a configuração port_scan.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled
Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up
Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252
Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end
Router#show running-config | i iox
iox
Router#show app-hosting list
App id State
---------------------------------------------------------
UTD RUNNING
Emita o comando 'show app-hosting detail' para confirmar o estado do mecanismo de snort UTD, a versão do software em execução, a RAM, a utilização da CPU e do Disco, as estatísticas da rede e a configuração DNS em vigor.
Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :
Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0
Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------
Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3
Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :
----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0
Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65
DNS server:
domain cisco.com
nameserver 192.168.90.92
Coredump file(s): core, lost+found
Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30
Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1
Use o comando 'show utd engine standard version' para confirmar a versão de compatibilidade do mecanismo de snort UTD em relação à versão do roteador IOS-XE em execução.
Router#show utd engine standard version
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12
Opção 1. Emita o comando 'show utd engine standard status', para confirmar o status do mecanismo de snort UTD, Status em 'Green', Health em 'Green' e o status geral do sistema em 'Green', indique se o mecanismo de snort UTD está operacional.
Router#show utd engine standard status Engine version : 1.1.11_SV3.1.81.0_XE17.12 Profile : Low System memory : Usage : 31.80 % Status : Green Number of engines : 1 Engine Running Health Reason ======================================================= Engine(#1): Yes Green None ======================================================= Overall system status: Green Signature update status: ========================= Current signature package version: 31810.155.s Last update status: Failed Last successful update time: Wed Sep 3 12:51:56 2025 CST Last failed update time: Wed Sep 3 17:55:02 2025 CST Last failed update reason: File not found Next update scheduled at: Thursday Sep 04 17:55 2025 CST Current status: Idle
Note: Quando o mecanismo de snort UTD tem excesso de assinaturas, o estado do canal de defesa contra ameaças muda entre verde e vermelho. O plano de dados UTD descarta todos os outros pacotes se o fail-close estiver configurado ou encaminha os pacotes não inspecionados se o fail-close não estiver configurado (padrão). Quando o plano de serviço do UTD se recupera do excesso de assinaturas, ele responde ao plano de dados do UTD com o status verde.
Opção 2. Emita o comando 'show platform software utd global' para obter um breve resumo do estado de operação do mecanismo de snort UTD.
Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces
Opção 1. Emita o comando 'show utd engine standard config' para exibir os detalhes de configuração do mecanismo de snort UTD, o modo de operação, o modo de política, a configuração de atualização de assinatura, a configuração de registro, a whitelist e o status de verificação de porta.
Router#show utd engine standard config
UTD Engine Standard Configuration:
IPS/IDS : Enabled
Operation Mode : Intrusion Prevention
Policy : Security
Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0
Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set
Whitelist : Enabled
Whitelist Signature IDs:
54621, 40
Port Scan : Enabled
Web-Filter : Disabled
Opção 2. Execute o comando 'show running-config | b engine' para exibir a configuração atual do mecanismo de snort UTD.
Router#show running-config | b engine
utd engine standard
logging host 192.168.10.5
logging syslog
threat-inspection
threat protection
policy security
signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
signature update occur-at daily 0 0
logging level info
whitelist
logging statistics enable
utd threat-inspection whitelist
generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
all-interfaces
redirect interface VirtualPortGroup1
engine standard
1. Emita o comando 'show utd engine standard threat-inspection signature update status' para verificar o status de atualização da assinatura de snort do IPS.
Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
2. Emita o comando 'utd threat-inspection signature update' para executar uma atualização manual de assinatura de snort IPS usando a configuração de servidor existente aplicada ao mecanismo de snort UTD para os downloads de assinatura.
Router#utd threat-inspection signature update
3. Emita o comando 'utd threat-inspection signature update server [cisco, url] username xxxx password xxxx force' para forçar uma atualização de assinatura de snort IPS manual com os parâmetros de servidor especificados.
Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force
Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067
Router#show utd engine standard signature update status
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle
Use os seguintes comandos show para monitorar o tráfego processado pelo mecanismo de snort UTD e para verificar as estatísticas relacionadas à inspeção de tráfego.
Opção 1. Na saída abaixo de 'show utd engine standard statistics', os contadores 'received' e 'analyzed' são incrementados, quando o tráfego está sendo processado pelo mecanismo de snort UTD:
Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069 <------------
analyzed: 62069 <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------
Opção 2. Na saída abaixo de 'show platform hardware qfp ative feature utd stats', os contadores 'decaps' e 'Divert' são incrementados quando o tráfego é redirecionado do Roteador para o mecanismo de snort UTD para inspeção de tráfego e os contadores 'encaps' e 'Reinject' são incrementados quando o tráfego é redirecionado do mecanismo de snort UTD para o Roteador:
Router#show platform hardware qfp active feature utd stats Summary Statistics: Policy Active Connections 3 TCP Connections Created 83364 UDP Connections Created 532075 ICMP Connections Created 494 Channel Summary Active Connections 3 decaps 1156574 <------------ encaps 1157144 <------------ Expired Connections 615930 Packet stats - Policy Pkts dropped pkt 15802 byt 14111880 Pkts entered policy feature pkt 1306750 byt 363602774 Pkts slow path pkt 615933 byt 25317465 Packet stats - Channel Summary Bypass pkt 25368 byt 4459074 Divert pkt 1157144 <------------ byt 301046050 Reinject pkt 1156574 <------------ byt 301015446 Would Drop Statistics (fail-open): Policy TCP SYN w/data packet 15802 Channel Summary Stats were all zero General Statistics: Non Diverted Pkts to/from divert interface 2725 Inspection skipped - UTD policy not applicable 111161 Pkts Skipped - New pkt from RP 33139 Response Packet Seen 64766 Feature memory allocations 615933 Feature memory free 615930 Feature Object Delete 615930 Skipped - First-in-flow RST packets of a TCP flow 55 Diversion Statistics Summary: SN offloaded flow 3282 Flows Bypassed as SN Unhealthy 25368 Service Node Statistics: SN down 1 SN health green 13 SN health red 12 SN Health: Channel: Threat Defense : Green AppNAV registration 2 AppNAV deregister 1 SN Health: Channel: Service : Down Stats were all zero TLS Decryption policy not enabled Appnav Statistics: No FO Drop pkt 0 byt 0
Opção 3. Na saída abaixo de 'show utd engine standard statistics internal', os contadores 'received' e 'analyse' são incrementados, quando o tráfego é redirecionado do Roteador para o mecanismo de snort UTD para inspeção de tráfego. Além disso, esta saída exibirá mais detalhes e estatísticas sobre o tráfego inspecionado pelo mecanismo de snort UTD:
Router# show utd engine standard statistics internal
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099 <------------
analyzed: 62099 <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred
chrome: 0 101 0 0 0 0
dns: 1448 1449 0 0 0 0
firefox: 0 139 0 0 0 0
http: 2449 0 0 0 0 0
microsoft_update: 0 0 0 34 0 0
squid: 0 0 0 1144 0 0
unknown: 1 0 0 2416 0 0
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504
Use os seguintes comandos show para monitorar as assinaturas IPS de snort disparadas, os eventos IPS/IDS gerados e os endereços IP origem e destino envolvidos.
Opção 1. Use o comando 'show utd engine standard logging events [threat-inspection]' para procurar eventos IPS/IDS:
Router#show utd engine standard logging events [threat-inspection] 2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184 2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10
Opção 2. Use o comando 'show utd engine standard logging statistics threat-inspection' para procurar as principais assinaturas de snort de IPS disparadas nas últimas 24 horas e quantas vezes cada assinatura foi disparada:
Router# show utd engine standard logging statistics threat-inspection Top Signatures Triggered in the past 24 hours --------------------------------------------------------------------- Signature-id Count Description --------------------------------------------------------------------- 122:7:2 137 portscan: TCP Filtered Portsweep 122:1:2 5 portscan: TCP Portscan 122:3:2 1 portscan: TCP Portsweep
Opção 3. Use o comando 'show utd engine standard logging statistics threat-inspection detail' para procurar as principais assinaturas de snort de IPS disparadas nas últimas 24 horas, quantas vezes cada assinatura foi disparada e os endereços IP de origem e destino que dispararam a assinatura:
Router#show utd engine standard logging statistics threat-inspection detail Top Signatures Triggered in the past 24 hours Signature-id:122:7:2 Count: 137 Description:portscan: TCP Filtered Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 x.x.157.3 0 7 172.16.2.2 x.x.157.14 0 6 172.16.2.2 x.x.29.13 0 6 172.16.2.2 x.x.104.78 0 6 172.16.2.2 x.x.29.14 0 5 172.16.2.2 x.x.157.15 0 5 172.16.2.2 x.x.28.23 0 5 172.16.2.2 x.x.135.19 0 5 172.16.2.2 x.x.135.3 0 4 172.16.2.2 x.x.157.11 0 4 Signature-id:122:1:2 Count: 5 Description:portscan: TCP Portscan --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.1.3 172.16.2.2 0 5 Signature-id:122:3:2 Count: 1 Description:portscan: TCP Portsweep --------------------------------------------------------------------- Source IP Destination IP VRF Count --------------------------------------------------------------------- 172.16.2.2 172.16.1.3 0 1
Opção 4. O mecanismo de snort UTD monitora o tráfego e relata eventos a um servidor de registro externo ou ao syslog IOS. Ativar o registro no registro de eventos do sistema IOS pode afetar o desempenho devido ao volume potencial de mensagens de registro. Ferramentas externas de monitoramento de terceiros, que oferecem suporte a logs do Snort, podem ser usadas para coleta e análise de logs.
Sempre que o mecanismo de snort UTD gera um evento IPS/IDS, o roteador exibe uma mensagem de syslog como a seguinte:
Router# *Sep 3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
Note: Os registros do mecanismo de snort UTD serão exibidos na CLI do IOSd do Roteador, exatamente quando o syslog de registro estiver habilitado na configuração padrão do mecanismo de snort UTD para o mecanismo de snort UTD.
Quando o mecanismo de snort UTD estiver configurado para enviar logout para um servidor syslog externo, você deverá ver os logs do mecanismo de snort UTD em seu servidor syslog remoto da seguinte maneira:
Utilize os seguintes comandos para exibir as assinaturas de snort IPS Ativo, Eliminado e Alerta para o mecanismo de snort UTD, dependendo da configuração de política usada (Balanceada, Conectividade ou Segurança).
Opção 1. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política de segurança.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Security Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_security Router#more bootflash:siglist_security ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Security Total no. of active signatures: 23398 Total no. of drop signatures: 22625 Total no. of alert signatures: 773 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 13418, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt; sigid: 13897, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt; sigid: 14263, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt; sigid: 15968, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt; sigid: 15975, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 15976, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt; sigid: 16232, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt; sigid: 16343, gid:3, log-level:3, action: drop, class-type: misc-activity, Descr: FILE-PDF PDF header obfuscation attempt; sigid: 16394, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt; sigid: 16728, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt; sigid: 17647, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt; sigid: 17665, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt; sigid: 17741, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]
Opção 2. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política de conectividade.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Connectivity Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity Router#more bootflash:siglist_connectivity ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Connectivity Total no. of active signatures: 597 Total no. of drop signatures: 494 Total no. of alert signatures: 103 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30942, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 30943, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt; sigid: 35897, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35898, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35902, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt; sigid: 35903, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt; sigid: 35926, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt; sigid: 35927, gid:3, log-level:1, action: drop, class-type: policy-violation, Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt; sigid: 38671, gid:3, log-level:1, action: drop, class-type: attempted-user,
[omitted output]
Opção 3. Siga este procedimento para exibir a lista de assinaturas de snort IPS ativas para a política Equilibrada.
Router#show utd engine standard config UTD Engine Standard Configuration: VirtualPortGroup Id: 1 IPS/IDS : Enabled Operation Mode : Intrusion Prevention Policy : Balanced Signature Update: Server : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg Occurs-at : daily ; Hour: 17; Minute: 55 Logging: Server : IOS Syslog; 172.16.2.2 Level : debug Statistics : Enabled Hostname : router System IP : Not set Whitelist : Disabled Whitelist Signature IDs: Port Scan : Enabled Sense level : High Web-Filter : Disabled Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced Router#more bootflash:siglist_balanced ================================================================================= Signature Package Version: 31810.156.s Signature Ruleset: Balanced Total no. of active signatures: 10033 Total no. of drop signatures: 9534 Total no. of alert signatures: 499 For more details of each signature please go to www.snort.org/rule_docs to lookup ================================================================================= List of Active Signatures: -------------------------- sigid: 30282, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30283, gid:3, log-level:2, action: drop, class-type: attempted-dos, Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt; sigid: 30887, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30888, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco Tshell command injection attempt; sigid: 30902, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30903, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ; sigid: 30912, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30913, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt; sigid: 30921, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30922, gid:3, log-level:1, action: drop, class-type: attempted-user, Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt; sigid: 30929, gid:3, log-level:1, action: drop, class-type: attempted-admin, Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]
Note: Para exibir as assinaturas IPS Snort ativas para as políticas Balanced, Connectivity ou Security, o mecanismo UTD Snort deve estar executando o modo de política correspondente que você deseja exibir.
1. Verifique se o Cisco Integrated Services Router (ISR) executa o XE 16.10.1a e superior (para o método IOx).
2. Verifique se o Cisco Integrated Services Router (ISR) está licenciado com o recurso Securityk9 habilitado.
3. Verifique se o modelo de hardware do ISR está em conformidade com o perfil de recursos mínimos.
4. O mecanismo de snort UTD não é compatível com o cookie SYN do firewall baseado em zona e com o Network Address Translation 64 (NAT64)
5. Confirme se o serviço do mecanismo de snort UTD foi iniciado após a instalação.
6. Durante o download manual do pacote Signature, certifique-se de que o pacote tenha a mesma versão que a versão do mecanismo Snort. A atualização do pacote de assinatura pode falhar se houver uma incompatibilidade de versão.
7. Em caso de problemas de desempenho, use os comandos 'show app-hosting resource' e 'show app-hosting usage appid''UTD-NAME' para verificar o espaço de CPU, Memória e Armazenamento em UTD.
Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)
Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB
aviso: Entre em contato com o TAC da Cisco se você confirmar que o mecanismo UTD Snort está com alta utilização de CPU, memória ou disco.
Para fins de Troubleshooting, use os comandos de depuração listados abaixo para coletar mais detalhes do mecanismo de snort UTD.
debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all
aviso: A execução de comandos de depuração durante as horas de produção pode aumentar significativamente a utilização da CPU, da memória ou do disco no mecanismo UTD Snort ou no roteador, causando um impacto potencial no tráfego e na estabilidade do sistema. Use os comandos debug moderadamente, de preferência durante uma janela de manutenção, e desative-os imediatamente após a coleta dos dados necessários. Se o uso elevado de recursos ou o impacto no serviço for observado, pare a depuração e entre em contato com o TAC da Cisco.
A documentação adicional relacionada à implantação do Snort IPS UTD pode ser encontrada aqui:
Guia de configuração de segurança do Cisco Snort IPS
Perfil de recurso de serviço virtual da Cisco para ISR4K e CSR1000v
Snort IPS em roteadores - Configuração passo a passo
Guia da Cisco - Identificação e solução de problemas do Snort IPS
Guia de referência do Snort Port-Scan Inspetor
Página da Web do Snort Open Source Intrusion Prevention System (IPS)
Instalar Imagem Virtual de Segurança UTD em Roteadores cEdge
CSCwf57595 O ISR4K Snort IPS não está implantado, pois o HW não tem recursos de plataforma suficientes
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
17-Sep-2025
|
Versão inicial |
1.0 |
11-Jul-2023
|
Versão inicial |