IPS 6.X e posterior - Configurar sensores virtuais com IME
Contents
Introduction
Este documento explica a função do Analysis Engine e como criar, editar e excluir sensores virtuais no Cisco Secure Intrusion Prevention System (IPS) com Cisco IPS Manager Express (IME). Também explica como atribuir interfaces a um sensor virtual.
Observação: o AIM-IPS e o NME-IPS não suportam virtualização.
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Dispositivo IPS Cisco 4200 Series que executa o software versão 6.0 e posterior
-
Cisco IPS Manager Express (IME) versão 6.1.1 e posterior
Observação: embora o IME possa ser usado para monitorar dispositivos de sensor que executam o Cisco IPS 5.0 e posterior, alguns dos novos recursos e funcionalidades fornecidos no IME são suportados apenas em sensores que executam o Cisco IPS 6.1 ou posterior.
Observação: o Cisco Secure Intrusion Prevention System (IPS) 5.x suporta apenas o sensor virtual padrão vs0. Sensores virtuais diferentes do padrão vs0 são suportados no IPS 6.x e posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Produtos Relacionados
Essa configuração também pode ser usada com estes sensores:
-
IPS-4240
-
IPS-4255
-
IPS-4260
-
IPS-4270-20
-
AIP-SSM
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Informações de Apoio
Sobre o Analysis Engine
O Analysis Engine realiza análise de pacotes e detecção de alertas. Monitora o tráfego que flui através de interfaces especificadas. Você cria sensores virtuais no Analysis Engine. Cada sensor virtual tem um nome exclusivo com uma lista de interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN associados a ele. Para evitar problemas de pedidos de definição, não são permitidos conflitos ou sobreposições em atribuições. Você atribui interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN a um sensor virtual específico para que nenhum pacote seja processado por mais de um sensor virtual. Cada sensor virtual também está associado a uma definição de assinatura, regras de ação de evento e configuração de detecção de anomalias especificamente nomeadas. Os pacotes de interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN que não estão atribuídos a nenhum sensor virtual são descartados com base na configuração de desvio em linha.
Sobre sensores virtuais
O sensor pode receber entradas de dados de um ou vários fluxos de dados monitorados. Esses fluxos de dados monitorados podem ser portas de interface física ou portas de interface virtual. Por exemplo, um único sensor pode monitorar o tráfego de frente ao firewall, de trás do firewall ou de frente e atrás do firewall simultaneamente. E um único sensor pode monitorar um ou mais fluxos de dados. Nessa situação, uma única política ou configuração de sensor é aplicada a todos os fluxos de dados monitorados. Um sensor virtual é uma coleção de dados definida por um conjunto de políticas de configuração. O sensor virtual é aplicado a um conjunto de pacotes conforme definido pelo componente de interface. Um sensor virtual pode monitorar vários segmentos e você pode aplicar uma política ou configuração diferente para cada sensor virtual em um único sensor físico. Você pode configurar uma política diferente por segmento monitorado em análise. Você também pode aplicar a mesma instância de política, por exemplo, sig0, rules0 ou ad0, a diferentes sensores virtuais. Você pode atribuir interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN a um sensor virtual.
Observação: o Cisco Secure Intrusion Prevention System (IPS) não oferece suporte a mais de quatro sensores virtuais. O sensor virtual padrão é vs0. Não é possível excluir o sensor virtual padrão. A lista de interfaces, o modo operacional de detecção de anomalias, o modo de rastreamento de sessão TCP em linha e a descrição do sensor virtual são os únicos recursos de configuração que você pode alterar para o sensor virtual padrão. Não é possível alterar a definição da assinatura, as regras de ação do evento ou as políticas de detecção de anomalias.
Vantagens e restrições da virtualização
Vantagens da virtualização
A virtualização tem as seguintes vantagens:
-
Você pode aplicar diferentes configurações a diferentes conjuntos de tráfego.
-
Você pode monitorar duas redes com espaços IP sobrepostos com um sensor.
-
Você pode monitorar dentro e fora de um firewall ou dispositivo NAT.
Restrições de virtualização
A virtualização tem estas restrições:
-
Você deve atribuir ambos os lados do tráfego assimétrico ao mesmo sensor virtual.
-
O uso de captura VACL ou SPAN (monitoramento promíscuo) é inconsistente em relação à marcação de VLAN, que causa problemas com grupos de VLAN.
-
Quando você usa o software Cisco IOS, uma porta de captura VACL ou um destino de SPAN nem sempre recebe pacotes marcados, mesmo que esteja configurado para truncamento.
-
Quando você usa o MSFC, a comutação de caminho rápido de rotas aprendidas altera o comportamento das capturas de VACL e do SPAN.
-
-
A loja persistente é limitada.
Requisitos de virtualização
A virtualização tem estes requisitos de captura de tráfego:
-
O sensor virtual deve receber tráfego que tenha cabeçalhos 802.1q, diferentes do tráfego na VLAN nativa da porta de captura.
-
O sensor deve ver as duas direções de tráfego no mesmo grupo de VLANs no mesmo sensor virtual para qualquer sensor específico.
Configurar
Nesta seção, você recebe as informações para adicionar, editar e excluir sensores virtuais.
Adicionar sensores virtuais
Emita o comando virtual-sensor name no submodo de mecanismo de análise de serviço para criar um sensor virtual. Você atribui políticas (detecção de anomalias, regras de ação de eventos e definição de assinatura) ao sensor virtual. Em seguida, você atribui interfaces (pares de interface em linha promíscuos, pares de VLAN em linha e grupos de VLAN) ao sensor virtual. Você deve configurar os pares de interface em linha e os pares de VLANs antes de atribuí-los a um sensor virtual. As seguintes opções se aplicam:
-
Detecção de anomalias — Parâmetros de detecção de anomalias.
-
nome da detecção de anomalias — nome da política de detecção de anomalias
-
modo operacional — modo de detecção de anomalia (inativo, aprendido, detectado)
-
-
description — Descrição do sensor virtual
-
event-action-rules — Nome da política de regras de ação de evento
-
modo de proteção contra evasão TCP em linha—Permite escolher o tipo de modo Normalizador necessário para inspeção de tráfego:
-
assimétrico—Só é possível ver uma direção do fluxo de tráfego bidirecional. A proteção do modo assimétrico relaxa a proteção contra evasão na camada TCP.
Nota: O modo assimétrico permite ao sensor sincronizar o estado com o fluxo e manter a inspeção para os motores que não exigem ambas as direções. O modo assimétrico reduz a segurança porque a proteção total exige que ambos os lados do tráfego sejam vistos.
-
strict —Se um pacote for perdido por qualquer motivo, todos os pacotes após o pacote perdido não serão processados. A proteção contra evasão estrita fornece a aplicação total do estado TCP e o rastreamento de sequência.
Observação: qualquer pacote fora de ordem ou pacote perdido pode produzir assinaturas do mecanismo Normalizer de 1300 ou 1330 disparos, que tentam corrigir a situação, mas podem resultar em conexões negadas.
-
-
modo de rastreamento de sessão TCP em linha — Método avançado que permite identificar sessão TCP duplicada no tráfego em linha. O padrão é o sensor virtual, que é quase sempre a melhor opção.
-
sensor virtual — Todos os pacotes com a mesma chave de sessão (AaBb) dentro de um sensor virtual pertencem à mesma sessão.
-
interface-e-vlan—Todos os pacotes com a mesma chave de sessão (AaBb) na mesma VLAN (ou par de VLAN em linha) e na mesma interface pertencem à mesma sessão. Os pacotes com a mesma chave, mas em VLANs ou interfaces diferentes, são rastreados independentemente.
-
vlan-only —Todos os pacotes com a mesma chave de sessão (AaBb) na mesma VLAN (ou par de VLAN em linha) independentemente da interface pertencem à mesma sessão. Os pacotes com a mesma chave, mas em VLANs diferentes, são rastreados independentemente.
-
-
definição de assinatura — Nome da política de definição de assinatura
-
logical-interfaces — Nome das interfaces lógicas (pares de interface em linha)
-
physical-interfaces — nome das interfaces físicas (pares VLAN inline promíscuos e grupos VLAN)
-
subinterface-number — O número físico da subinterface. Se o tipo de subinterface for nenhum, o valor 0 indica que toda a interface está atribuída no modo promíscuo.
-
no —Remove uma entrada ou seleção
-
Para adicionar um sensor virtual, faça o seguinte:
-
Faça login na CLI com uma conta com privilégios de administrador.
-
Entre no modo de análise de serviço.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)# -
Adicione um sensor virtual.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# -
Adicione uma descrição para este sensor virtual.
sensor(config-ana-vir)# description virtual sensor 2
-
Atribua uma política de detecção de anomalias e um modo operacional a esse sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn -
Atribua uma política de regras de ação de evento a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1 -
Atribua uma política de definição de assinatura a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig1
-
Atribua o modo de rastreamento de sessão TCP em linha.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
O padrão é o modo de sensor virtual, que é quase sempre a melhor opção para escolher.
-
Atribua o modo de proteção contra evasão TCP em linha.
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
O padrão é o modo estrito, que é quase sempre a melhor opção para escolher.
-
Exiba a lista de interfaces disponíveis.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interfacesensor(config-ana-vir)# logical-interface ? <none available> -
Atribua as interfaces de modo promíscuo que deseja adicionar a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
Repita essa etapa para todas as interfaces promíscuas que você deseja atribuir a esse sensor virtual.
-
Atribua os pares de interface em linha que deseja adicionar a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Você já deve ter emparelhado as interfaces.
-
Atribua as subinterfaces dos pares ou grupos de VLAN em linha que deseja adicionar a este sensor virtual, conforme mostrado abaixo:
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Você já deve ter subdividido qualquer interface em pares ou grupos de VLANs.
-
Verifique as configurações do sensor virtual.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)# -
Saia do modo de mecanismo de análise.
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]: -
Pressione Enter para aplicar as alterações ou digite no para descartá-las.
Isso conclui o processo para adicionar um sensor virtual ao Cisco Secure Intrusion Prevention System (IPS). Conclua o mesmo procedimento para adicionar mais sensores virtuais.
Observação: o Cisco Secure Intrusion Prevention System (IPS) não oferece suporte a mais de quatro sensores virtuais. O sensor virtual padrão é vs0.
Adicionar sensor virtual com IME
Conclua estes passos para configurar um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
-
Escolha Configuration > SFO-Sensor> Policies > IPS Policies. Em seguida, clique em Add virtual sensor, conforme mostrado na imagem.
-
Nomeie o sensor virtual (vs2 neste exemplo) e adicione uma descrição ao sensor virtual no espaço fornecido. Atribua também as interfaces de modo promíscuo que deseja adicionar a este sensor virtual. Gigabit Ethernet 0/2 é escolhido aqui. Agora forneça os detalhes nas definições de assinatura, Regra de ação de evento, Detecção de anomalias e opções avançadas, como mostrado na captura de tela.
Em Opções avançadas, forneça os detalhes sobre o modo de rastreamento de sessão TCP e o modo normalizador. Aqui o modo de rastreamento de sessão TCP é o sensor virtual e o modo Normalizador é o modo Proteção contra invasão rígida.
-
Click OK.
-
O sensor virtual adicionado recentemente vs2 é mostrado na lista de sensores virtuais. Clique em Apply para que a nova configuração do sensor virtual seja enviada ao Cisco Secure Intrusion Prevention System (IPS).
Isso conclui a configuração para adicionar um sensor virtual.
Editar sensores virtuais
Estes parâmetros de um sensor virtual podem ser editados:
-
Política de definição de assinatura
-
Política de regras de ação de evento
-
Política de detecção de anomalias
-
Modo operacional de detecção de anomalia
-
Modo de rastreamento de sessão TCP em linha
-
Descrição
-
Interfaces atribuídas
Para editar um sensor virtual, faça o seguinte:
-
Faça login na CLI com uma conta com privilégios de administrador.
-
Entre no modo de análise de serviço.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)# -
Edite o sensor virtual vs1.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# -
Edite a descrição deste sensor virtual.
sensor(config-ana-vir)# description virtual sensor A
-
Altere a política de detecção de anomalias e o modo operacional atribuídos a este sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn -
Altere a política de regras de ação de evento atribuída a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0 -
Altere a política de definição de assinatura atribuída a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig0
-
Alterar o modo de rastreamento de sessão TCP em linha.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
O padrão é o modo de sensor virtual, que é quase sempre a melhor opção para escolher.
-
Exiba a lista de interfaces disponíveis.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interfacesensor(config-ana-vir)# logical-interface ? <none available> -
Altere as interfaces de modo promíscuo atribuídas a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
-
Altere os pares de interface em linha atribuídos a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Você já deve ter emparelhado as interfaces.
-
Altere a subinterface com os pares ou grupos de VLAN em linha atribuídos a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Você já deve ter subdividido qualquer interface em pares ou grupos de VLANs.
-
Verifique as configurações do sensor virtual editado.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)# -
Saia do modo de mecanismo de análise.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]: -
Pressione Enter para aplicar as alterações ou digite no para descartá-las.
Editar sensor virtual com IME
Conclua estes passos para editar um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
-
Escolha Configuration > SFO-Sensor> Policies > IPS Policies.
-
Escolha o sensor virtual a ser editado e clique em Editar conforme mostrado na imagem. Neste exemplo, vs2 é o sensor virtual a ser editado.
-
Na janela Editar sensor virtual, faça alterações nos parâmetros do sensor virtual presente nas seções definição de assinatura, Regra de Ação de Evento, Detecção de Anomalia e Opções Avançadas. Clique em OK e em Aplicar.
Isso conclui o processo para editar um sensor virtual.
Excluir sensores virtuais
Para excluir um sensor virtual, faça o seguinte:
-
Para excluir um sensor virtual, execute o comando no virtual-sensor.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2 -
Verifique o sensor virtual excluído.
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#Somente o sensor virtual padrão, vs0, está presente.
-
Saia do modo de mecanismo de análise.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Excluir sensor virtual com IME
Conclua estes passos para excluir um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
-
Escolha Configuration > SFO-Sensor> Policies > IPS Policies.
-
Escolha o sensor virtual a ser excluído e clique em Excluir, conforme mostrado na captura de tela. Neste exemplo, vs2 é o sensor virtual a ser excluído.
Isso conclui o processo para excluir um sensor virtual. O sensor virtual vs2 é excluído.
Troubleshoot
O IPS Manager Express não é iniciado
Problema
Quando é feita uma tentativa de acessar o IPS pelo IME, o IPS Manager Express não é iniciado e esta mensagem de erro é recebida:
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
Solução
Para resolver isso, recarregue o PC da estação de trabalho IME.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
22-Dec-2009 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)