Este documento explica a função do Analysis Engine e como criar, editar e excluir sensores virtuais no Cisco Secure Intrusion Prevention System (IPS) com Cisco IPS Manager Express (IME). Também explica como atribuir interfaces a um sensor virtual.
Observação: o AIM-IPS e o NME-IPS não suportam virtualização.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Dispositivo IPS Cisco 4200 Series que executa o software versão 6.0 e posterior
Cisco IPS Manager Express (IME) versão 6.1.1 e posterior
Observação: embora o IME possa ser usado para monitorar dispositivos de sensor que executam o Cisco IPS 5.0 e posterior, alguns dos novos recursos e funcionalidades fornecidos no IME são suportados apenas em sensores que executam o Cisco IPS 6.1 ou posterior.
Observação: o Cisco Secure Intrusion Prevention System (IPS) 5.x suporta apenas o sensor virtual padrão vs0. Sensores virtuais diferentes do padrão vs0 são suportados no IPS 6.x e posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Essa configuração também pode ser usada com estes sensores:
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
AIP-SSM
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O Analysis Engine realiza análise de pacotes e detecção de alertas. Monitora o tráfego que flui através de interfaces especificadas. Você cria sensores virtuais no Analysis Engine. Cada sensor virtual tem um nome exclusivo com uma lista de interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN associados a ele. Para evitar problemas de pedidos de definição, não são permitidos conflitos ou sobreposições em atribuições. Você atribui interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN a um sensor virtual específico para que nenhum pacote seja processado por mais de um sensor virtual. Cada sensor virtual também está associado a uma definição de assinatura, regras de ação de evento e configuração de detecção de anomalias especificamente nomeadas. Os pacotes de interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN que não estão atribuídos a nenhum sensor virtual são descartados com base na configuração de desvio em linha.
O sensor pode receber entradas de dados de um ou vários fluxos de dados monitorados. Esses fluxos de dados monitorados podem ser portas de interface física ou portas de interface virtual. Por exemplo, um único sensor pode monitorar o tráfego de frente ao firewall, de trás do firewall ou de frente e atrás do firewall simultaneamente. E um único sensor pode monitorar um ou mais fluxos de dados. Nessa situação, uma única política ou configuração de sensor é aplicada a todos os fluxos de dados monitorados. Um sensor virtual é uma coleção de dados definida por um conjunto de políticas de configuração. O sensor virtual é aplicado a um conjunto de pacotes conforme definido pelo componente de interface. Um sensor virtual pode monitorar vários segmentos e você pode aplicar uma política ou configuração diferente para cada sensor virtual em um único sensor físico. Você pode configurar uma política diferente por segmento monitorado em análise. Você também pode aplicar a mesma instância de política, por exemplo, sig0, rules0 ou ad0, a diferentes sensores virtuais. Você pode atribuir interfaces, pares de interface em linha, pares de VLAN em linha e grupos de VLAN a um sensor virtual.
Observação: o Cisco Secure Intrusion Prevention System (IPS) não oferece suporte a mais de quatro sensores virtuais. O sensor virtual padrão é vs0. Não é possível excluir o sensor virtual padrão. A lista de interfaces, o modo operacional de detecção de anomalias, o modo de rastreamento de sessão TCP em linha e a descrição do sensor virtual são os únicos recursos de configuração que você pode alterar para o sensor virtual padrão. Não é possível alterar a definição da assinatura, as regras de ação do evento ou as políticas de detecção de anomalias.
A virtualização tem as seguintes vantagens:
Você pode aplicar diferentes configurações a diferentes conjuntos de tráfego.
Você pode monitorar duas redes com espaços IP sobrepostos com um sensor.
Você pode monitorar dentro e fora de um firewall ou dispositivo NAT.
A virtualização tem estas restrições:
Você deve atribuir ambos os lados do tráfego assimétrico ao mesmo sensor virtual.
O uso de captura VACL ou SPAN (monitoramento promíscuo) é inconsistente em relação à marcação de VLAN, que causa problemas com grupos de VLAN.
Quando você usa o software Cisco IOS, uma porta de captura VACL ou um destino de SPAN nem sempre recebe pacotes marcados, mesmo que esteja configurado para truncamento.
Quando você usa o MSFC, a comutação de caminho rápido de rotas aprendidas altera o comportamento das capturas de VACL e do SPAN.
A loja persistente é limitada.
A virtualização tem estes requisitos de captura de tráfego:
O sensor virtual deve receber tráfego que tenha cabeçalhos 802.1q, diferentes do tráfego na VLAN nativa da porta de captura.
O sensor deve ver as duas direções de tráfego no mesmo grupo de VLANs no mesmo sensor virtual para qualquer sensor específico.
Nesta seção, você recebe as informações para adicionar, editar e excluir sensores virtuais.
Emita o comando virtual-sensor name no submodo de mecanismo de análise de serviço para criar um sensor virtual. Você atribui políticas (detecção de anomalias, regras de ação de eventos e definição de assinatura) ao sensor virtual. Em seguida, você atribui interfaces (pares de interface em linha promíscuos, pares de VLAN em linha e grupos de VLAN) ao sensor virtual. Você deve configurar os pares de interface em linha e os pares de VLANs antes de atribuí-los a um sensor virtual. As seguintes opções se aplicam:
Detecção de anomalias — Parâmetros de detecção de anomalias.
nome da detecção de anomalias — nome da política de detecção de anomalias
modo operacional — modo de detecção de anomalia (inativo, aprendido, detectado)
description — Descrição do sensor virtual
event-action-rules — Nome da política de regras de ação de evento
modo de proteção contra evasão TCP em linha—Permite escolher o tipo de modo Normalizador necessário para inspeção de tráfego:
assimétrico—Só é possível ver uma direção do fluxo de tráfego bidirecional. A proteção do modo assimétrico relaxa a proteção contra evasão na camada TCP.
Nota: O modo assimétrico permite ao sensor sincronizar o estado com o fluxo e manter a inspeção para os motores que não exigem ambas as direções. O modo assimétrico reduz a segurança porque a proteção total exige que ambos os lados do tráfego sejam vistos.
strict —Se um pacote for perdido por qualquer motivo, todos os pacotes após o pacote perdido não serão processados. A proteção contra evasão estrita fornece a aplicação total do estado TCP e o rastreamento de sequência.
Observação: qualquer pacote fora de ordem ou pacote perdido pode produzir assinaturas do mecanismo Normalizer de 1300 ou 1330 disparos, que tentam corrigir a situação, mas podem resultar em conexões negadas.
modo de rastreamento de sessão TCP em linha — Método avançado que permite identificar sessão TCP duplicada no tráfego em linha. O padrão é o sensor virtual, que é quase sempre a melhor opção.
sensor virtual — Todos os pacotes com a mesma chave de sessão (AaBb) dentro de um sensor virtual pertencem à mesma sessão.
interface-e-vlan—Todos os pacotes com a mesma chave de sessão (AaBb) na mesma VLAN (ou par de VLAN em linha) e na mesma interface pertencem à mesma sessão. Os pacotes com a mesma chave, mas em VLANs ou interfaces diferentes, são rastreados independentemente.
vlan-only —Todos os pacotes com a mesma chave de sessão (AaBb) na mesma VLAN (ou par de VLAN em linha) independentemente da interface pertencem à mesma sessão. Os pacotes com a mesma chave, mas em VLANs diferentes, são rastreados independentemente.
definição de assinatura — Nome da política de definição de assinatura
logical-interfaces — Nome das interfaces lógicas (pares de interface em linha)
physical-interfaces — nome das interfaces físicas (pares VLAN inline promíscuos e grupos VLAN)
subinterface-number — O número físico da subinterface. Se o tipo de subinterface for nenhum, o valor 0 indica que toda a interface está atribuída no modo promíscuo.
no —Remove uma entrada ou seleção
Para adicionar um sensor virtual, faça o seguinte:
Faça login na CLI com uma conta com privilégios de administrador.
Entre no modo de análise de serviço.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
Adicione um sensor virtual.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
Adicione uma descrição para este sensor virtual.
sensor(config-ana-vir)# description virtual sensor 2
Atribua uma política de detecção de anomalias e um modo operacional a esse sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn
Atribua uma política de regras de ação de evento a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1
Atribua uma política de definição de assinatura a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig1
Atribua o modo de rastreamento de sessão TCP em linha.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
O padrão é o modo de sensor virtual, que é quase sempre a melhor opção para escolher.
Atribua o modo de proteção contra evasão TCP em linha.
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
O padrão é o modo estrito, que é quase sempre a melhor opção para escolher.
Exiba a lista de interfaces disponíveis.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
Atribua as interfaces de modo promíscuo que deseja adicionar a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
Repita essa etapa para todas as interfaces promíscuas que você deseja atribuir a esse sensor virtual.
Atribua os pares de interface em linha que deseja adicionar a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Você já deve ter emparelhado as interfaces.
Atribua as subinterfaces dos pares ou grupos de VLAN em linha que deseja adicionar a este sensor virtual, conforme mostrado abaixo:
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Você já deve ter subdividido qualquer interface em pares ou grupos de VLANs.
Verifique as configurações do sensor virtual.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
Saia do modo de mecanismo de análise.
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Pressione Enter para aplicar as alterações ou digite no para descartá-las.
Isso conclui o processo para adicionar um sensor virtual ao Cisco Secure Intrusion Prevention System (IPS). Conclua o mesmo procedimento para adicionar mais sensores virtuais.
Observação: o Cisco Secure Intrusion Prevention System (IPS) não oferece suporte a mais de quatro sensores virtuais. O sensor virtual padrão é vs0.
Conclua estes passos para configurar um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
Escolha Configuration > SFO-Sensor> Policies > IPS Policies. Em seguida, clique em Add virtual sensor, conforme mostrado na imagem.
Nomeie o sensor virtual (vs2 neste exemplo) e adicione uma descrição ao sensor virtual no espaço fornecido. Atribua também as interfaces de modo promíscuo que deseja adicionar a este sensor virtual. Gigabit Ethernet 0/2 é escolhido aqui. Agora forneça os detalhes nas definições de assinatura, Regra de ação de evento, Detecção de anomalias e opções avançadas, como mostrado na captura de tela.
Em Opções avançadas, forneça os detalhes sobre o modo de rastreamento de sessão TCP e o modo normalizador. Aqui o modo de rastreamento de sessão TCP é o sensor virtual e o modo Normalizador é o modo Proteção contra invasão rígida.
Click OK.
O sensor virtual adicionado recentemente vs2 é mostrado na lista de sensores virtuais. Clique em Apply para que a nova configuração do sensor virtual seja enviada ao Cisco Secure Intrusion Prevention System (IPS).
Isso conclui a configuração para adicionar um sensor virtual.
Estes parâmetros de um sensor virtual podem ser editados:
Política de definição de assinatura
Política de regras de ação de evento
Política de detecção de anomalias
Modo operacional de detecção de anomalia
Modo de rastreamento de sessão TCP em linha
Descrição
Interfaces atribuídas
Para editar um sensor virtual, faça o seguinte:
Faça login na CLI com uma conta com privilégios de administrador.
Entre no modo de análise de serviço.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
Edite o sensor virtual vs1.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
Edite a descrição deste sensor virtual.
sensor(config-ana-vir)# description virtual sensor A
Altere a política de detecção de anomalias e o modo operacional atribuídos a este sensor virtual.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn
Altere a política de regras de ação de evento atribuída a este sensor virtual.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0
Altere a política de definição de assinatura atribuída a este sensor virtual.
sensor(config-ana-vir)# signature-definition sig0
Alterar o modo de rastreamento de sessão TCP em linha.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
O padrão é o modo de sensor virtual, que é quase sempre a melhor opção para escolher.
Exiba a lista de interfaces disponíveis.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
Altere as interfaces de modo promíscuo atribuídas a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
Altere os pares de interface em linha atribuídos a este sensor virtual.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
Você já deve ter emparelhado as interfaces.
Altere a subinterface com os pares ou grupos de VLAN em linha atribuídos a este sensor virtual.
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
Você já deve ter subdividido qualquer interface em pares ou grupos de VLANs.
Verifique as configurações do sensor virtual editado.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
Saia do modo de mecanismo de análise.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Pressione Enter para aplicar as alterações ou digite no para descartá-las.
Conclua estes passos para editar um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
Escolha Configuration > SFO-Sensor> Policies > IPS Policies.
Escolha o sensor virtual a ser editado e clique em Editar conforme mostrado na imagem. Neste exemplo, vs2 é o sensor virtual a ser editado.
Na janela Editar sensor virtual, faça alterações nos parâmetros do sensor virtual presente nas seções definição de assinatura, Regra de Ação de Evento, Detecção de Anomalia e Opções Avançadas. Clique em OK e em Aplicar.
Isso conclui o processo para editar um sensor virtual.
Para excluir um sensor virtual, faça o seguinte:
Para excluir um sensor virtual, execute o comando no virtual-sensor.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2
Verifique o sensor virtual excluído.
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#
Somente o sensor virtual padrão, vs0, está presente.
Saia do modo de mecanismo de análise.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Conclua estes passos para excluir um sensor virtual no Cisco Secure Intrusion Prevention System (IPS) com o Cisco IPS Manager Express:
Escolha Configuration > SFO-Sensor> Policies > IPS Policies.
Escolha o sensor virtual a ser excluído e clique em Excluir, conforme mostrado na captura de tela. Neste exemplo, vs2 é o sensor virtual a ser excluído.
Isso conclui o processo para excluir um sensor virtual. O sensor virtual vs2 é excluído.
Quando é feita uma tentativa de acessar o IPS pelo IME, o IPS Manager Express não é iniciado e esta mensagem de erro é recebida:
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
Para resolver isso, recarregue o PC da estação de trabalho IME.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
22-Dec-2009 |
Versão inicial |