Este documento contém perguntas frequentes (FAQs) sobre o Cisco Secure Intrusion Detection System (IDS), anteriormente conhecido como NetRanger, versões 3.1 e anteriores.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A. Consulte o conjunto completo de documentação do produto para obter mais informações sobre o Cisco Secure IDS.
A. Você precisa atualizar as assinaturas do Sensor e da Plataforma de Gerenciamento separadamente. Observe que o Software de Gerenciamento não pode aprender assinaturas do Sensor, portanto ele também deve ser atualizado. Baixe o arquivo de atualização de assinatura mais recente para cada aplicativo do Cisco Secure Downloads (somente clientes registrados) . Os arquivos readme disponíveis no mesmo local contêm instruções para o procedimento de atualização.
A. A lista de assinaturas IDS está disponível através da Cisco Secure Encyclopedia (somente clientes registrados) .
A. No Sensor autônomo UNIX IDS e no Software de Gerenciamento IDS, a senha padrão é "ataque" para o netrangr e a raiz dos usuários. Quando você emite o comando su para se tornar o usuário raiz, a senha padrão é "ataque". No blade IDSM (Intrusion Detection System Module, módulo de sistema de detecção de intrusão), a senha padrão é "ataque" para ciscoids de nome de usuário.
A. Você precisa de um servidor FTP local para poder carregar as configurações.
- Insira este comando no modo de diagnóstico no blade.
report systemstatus siteuser dir - Digite y para continuar quando for solicitado "Continue gerando o relatório do sistema?".
- Digite a senha do FTP do usuário especificado quando for solicitado. Quando o processo estiver concluído, você receberá uma mensagem informando se o processo falhou ou se o arquivo foi enviado.
A. Os registros de instalação/atualização podem ser encontrados nestes locais:
Os registros de instalação do Diretor estão em /var/adm/nrInstall.log.
Os registros de atualização do Service Pack do sensor estão em /usr/nr/sp-update/.
Os registros de atualização de assinatura estão em /usr/nr/sig-update/.
A. O IDS está disponível somente para o PIX 6.0 e posterior. As assinaturas estão contidas nas mensagens de syslog 400000 a 400051, chamadas de mensagens de assinatura do Cisco Secure IDS. Consulte a documentação PIX System Log Messages para obter mais informações sobre cada assinatura.
A. Inscreva-se nas Notificações de Atualização Ativa do Cisco IDS para receber alertas por e-mail sobre notícias de produto relacionadas ao Cisco Secure IDS.
A. Antes da versão 3.1, as opções de gerenciamento são usar o Cisco Secure Policy Manager (CSPM) ou UNIX Diretor. A principal diferença entre os dois é que o CSPM é executado como um aplicativo independente em um servidor Windows, enquanto o UNIX Diretor é executado sobre o HP OpenView em um servidor UNIX Solaris. Com o IDS 3.1, os sensores também podem ser gerenciados através do IDS Event Viewer (IEV) instalado em um PC ou usando o IDS Device Manager, que faz parte do sensor versão 3.1. O Gerenciador de dispositivos é ativado por padrão usando SSL (Secure Socket Layer) após configurar o Sensor.
A. O software SDK não está disponível para o público.
A. A versão 4.0 oferece vários novos recursos. O novo recurso mais notável é uma interface de linha de comando (CLI) semelhante ao Cisco IOS®.
A. Não há suporte para a configuração de hardware para a velocidade/duplex nos códigos 3.x e 4.0 e há um bug na solicitação de recurso (ID de bug da Cisco CSCdy43054 (somente clientes registrados) ). O recurso está disponível no código 5.0, que agora está disponível em Configuring Interfaces.
A. Os clientes podem baixar o arquivo de atualização da versão 3.1 do Cisco Secure Downloads (somente clientes registrados) .
A. Os clientes podem baixar o arquivo de atualização da versão 3.0 do Cisco Secure Downloads (somente clientes registrados) . Instale a atualização do software da mesma forma que o service pack e as atualizações de assinatura estão instalados na versão 2.5. O procedimento é descrito em detalhes na Nota de Configuração do Cisco IDS Sensor Versão 3.0.
A. O arquivo de atualização do 3.0 pode ser baixado do Cisco Secure Downloads (somente clientes registrados) , mas esse arquivo não pode atualizar versões antes do 2.5. Você deve usar o CD de atualização/recuperação disponível na Ferramenta de atualização de produto (somente clientes registrados) para atualizar da versão de software 2.2 para 3.0. O número da peça desse CD é IDS-SW-U.
Observação: você deve ter um contrato de suporte válido para solicitar o CD de atualização/recuperação.
A. Verifique se você está usando um teclado e um monitor suportados. Algumas marcas e modelos não são compatíveis com o Cisco Secure IDS e impedem que o IDS Sensor seja inicializado corretamente. Consulte Falha de inicialização do dispositivo Cisco Secure IDS para obter detalhes específicos da marca.
A. Cada um desses arquivos contém um conjunto específico de atualizações ou adições de software, conforme indicado pelas convenções de nomenclatura explicadas aqui.
A atualização do service pack para o software IDS Sensor Appliance contém aprimoramentos para o software de aplicativo principal do IDS Sensor, bem como correções de bugs. Por exemplo, um arquivo chamado IDSk9-sp-3.0-5-S17.bin inclui atualizações para a versão de software 3.0(5) mais o número do conjunto de assinaturas 17.
O arquivo de atualização da assinatura contém apenas atualizações das assinaturas (impressões digitais de ataque). Por exemplo, um arquivo chamado IDSk9-sig-3.0-5-S18.bin contém o número 18 do conjunto de assinaturas para o software do sensor 3.0(5).
Os clientes podem fazer o download desses arquivos do site Cisco Secure Downloads (somente clientes registrados).
A. Efetue login no sensor como netrangr de usuário e execute este comando:
nrgetbulk
Você deve receber uma resposta semelhante a "<IP_address> Ativo", que mostra o endereço IP do dispositivo de execução usado para bloquear ataques. Esta saída mostra um exemplo da sintaxe de comando e resposta esperada:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessVocê também pode fazer login no roteador e emitir o comando who para ver se o Sensor está conectado.
A. Essa mensagem de erro indica possíveis problemas com os arquivos /usr/nr/etc/routes e/ou /usr/nr/etc/hosts no seu sensor. O ...Os arquivos /route definem comunicações postofficed entre o Sensor e o Diretor. O ...Os arquivos /hosts definem os nomes e os endereços IP de Sensores e Diretores.
Você também pode fazer login como raiz do usuário, executar o comando sysconfig-sensor e inserir novamente suas informações de IDS Communications Infrastructure.
A. Consulte Copiando arquivos de log IP a serem vistos para obter mais informações sobre este procedimento.
A. Configd é o daemon que processa todos os comandos nos UNIX Diretors e Sensores na base de código 2.2.x. Na base de códigos 2.5 e 3.0, essa funcionalidade foi absorvida nos outros daemons e o daemon configurado não existe mais.
A. Edite o arquivo /usr/nr/etc/daemons no Sensor para garantir que nr.packetd esteja na lista de daemon. Em seguida, pare e inicie os serviços.
A. A interface de controle na parte superior é iprb1: e a interface de farejamento na parte inferior é iprb0:.
A. O comando ifconfig deve mostrar apenas a interface de controle. A outra interface (a interface de farejamento) ainda é usada pelo sensor, mas os usuários não devem poder vê-la. Se precisar ver essa interface, faça login como root e emita o ifconfig -a comando para determinar os nomes das interfaces. Emita o comando ifconfig <interface> plumb para verificar o status de uma interface específica.
A. A codificação de hardware da velocidade da interface no sensor não deve ser necessária e não é suportada pelo Suporte Técnico da Cisco. Se o switch estiver configurado para autonegociação, a interface negociará a velocidade com o switch ao qual ele está conectado. O tráfego da rede para o sensor é unidirecional (em outras palavras, o sensor recebe). Portanto, geralmente é adequado se o switch mostrar que 100 half-duplex foi negociado (supondo-se que a porta do switch seja 100 M).
A. Sim, mas você deve atualizar o software Diretor para a versão 2.2.3 ou posterior. Os clientes registrados podem fazer download desses arquivos a partir dos Cisco Secure Downloads (somente clientes registrados) .
A. Emita o comando cat /usr/nr/VERSION e verifique o número da versão que a saída contém.
Observação: o resultado do comando nrvers no Diretor informa a versão dos daemons executados no Diretor, mas não informa a versão do software do Diretor em si.
A. Efetue login como netrangr do usuário e execute o script /usr/nr/bin/diretor/nrCollectInfo para enviar informações de configuração para um arquivo chamado /usr/nr/var/tmp/Report_For_Director.html.
A. Se o IDS Diretor for inundado com erros e não puder exibi-los todos, ele começa a fazer o buffer em um arquivo. Pare os daemons IDS e saia dos mapas do OpenView abertos para se livrar do arquivo. Exclua o arquivo /usr/nr/var/nrDirmap.buffer.default e reinicie os daemons IDS e o mapa do OpenView.
A. Nas versões IDS anteriores à 2.2.2, a coisa mais fácil a fazer é limpar o banco de dados do OpenView. O banco de dados vive em /var/opt/OV/share/database/openview. Conclua estes passos para excluir o banco de dados do OpenView.
- Feche todos os mapas abertos do OpenView com o comando ovstop e, em seguida, pare os serviços IDS com o comando nrstop.
- Efetue login como raiz do usuário e problema /usr/nr/bin/diretor/nrDeleteOVwDb.
- Remova todos os arquivos "error.*" no diretório /usr/nr/var (por exemplo, errors.configd).
- Reinicie os serviços com o comando nrstart e reinicie o OpenView com o comando ovstart.
Observação: no Diretor versão 2.2.2, você pode remover apenas a parte IDS do banco de dados do OpenView em vez de todo o banco de dados. Este procedimento está descrito no Guia de configuração do IDS Diretor.
A. Execute este comando.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesCertifique-se de que o netrangr de utilizador possui os ficheiros e, em seguida, reinicie os serviços IDS.
A. O problema ocorre porque nrConfigure vê o processo do pacote no arquivo daemons do Diretor (o que não deve ser feito). Quando nrConfigure consulta o Diretor para sua versão como se fosse um Sensor, o Diretor não pode responder com uma versão do Sensor.
Conclua estas etapas para resolver esse problema.
- Edite o arquivo /usr/nr/etc/daemons e remova entradas para nr.packetd, nr.sensord e nr.managed, pois esses processos devem ser executados somente no Sensor.
- Pare os serviços com o comando nrstop e reinicie os serviços com o comando nrstart.
- Verifique se nrConfigure foi desligado.
- Inicie o OpenView com o comando ovw.
- Selecione Security > Advanced > nrConfigure DB > Delete para excluir o banco de dados nrConfigure corrompido.
- Digite yes quando solicitado a prosseguir.
- Destaque seu Diretor e todos os seus Sensores na janela principal do OpenView.
- Selecione Security > Advanced > nrConfigure DB > Create para criar um novo banco de dados nrConfigure com as versões de configuração atuais das máquinas.
A. Os usuários que executam o aplicativo IDS no UNIX Diretor também podem executar outros aplicativos no OpenView. Isso não é recomendado, mas em alguns casos não pode ser evitado. O problema é que o nrdirmap é ativado por padrão para cada mapa do OpenView, o que não é desejável quando outros aplicativos são executados no OpenView.
Conclua estes passos no UNIX Diretor para alterar o padrão, de modo que você possa escolher quais mapas têm o nrdirmap ativado neles.
- Efetue login como netrangr de usuário.
- Digite cd $OV_REGISTRATION/C. (OV_REGISTRATION faz parte da sua variável ambiental. O caminho comum é /etc/opt/OV/share/registration/C.)
- Digite su root.
- Edite o arquivo nrdirmap e altere a linha "Command" conforme mostrado nesta saída:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Salve o arquivo nrdirmap.
- Reciclar OpenView. Agora, quando um mapa é criado com o comando ovw, digitar ps -ef | grep dirmap deve produzir uma saída semelhante à mostrada aqui. Observe o nrdirmap com o switch -d.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dNovos mapas criados no OpenView agora não têm o nrdirmap habilitado por padrão. Se quiser criar um mapa com o nrdirmap instalado, você deve fazer isso na GUI do OpenView, como explica este procedimento.
- No menu principal do OpenView, escolha Mapa > Novo e insira um nome para o novo mapa.
- Nos aplicativos configuráveis, você deve ver o NetRanger/Diretor. Escolha NetRanger/Diretor e clique em Configurar para este Mapa.
- Para a opção que diz "O nrdirmap deve ser ativado para este mapa?", escolha True se quiser habilitar o nrdirmap.
- Escolha Verificar e clique em OK.
A. Os níveis de gravidade foram alterados na versão 2.2.3 do Diretor para suportar apenas o intervalo de 1 a 5.
A. Atualmente, a versão 2.3i do CSPM é a que pode gerenciar o IDS Sensor, enquanto o CSPM 3.0 não pode. Se você usar o CSPM para gerenciar o Sensor e outros dispositivos Cisco Secure (como PIXes, roteadores), deverá instalar as duas versões diferentes do CSPM (2.3i e 3.x) em dois servidores Windows separados. Você pode usar cada um dos servidores para gerenciar os dispositivos correspondentes: CSPM 2.3i para Sensores e CSPM 3.x para PIXes, roteadores e assim por diante.
A. Consulte Configurando um Cisco Secure IDS Sensor no CSPM para obter mais informações sobre como configurar o CSPM para gerenciar seu IDS Sensor e garantir que a comunicação funcione.
A. O ajuste envolve alterar o que é necessário para uma assinatura ser disparada (como o número de hosts em uma varredura) e não significa definir ações e níveis de gravidade.
O CSPM não pode (em nenhuma versão) ajustar assinaturas para o dispositivo. Só pode definir as ações e as severidades de uma assinatura. Em outras palavras, o CSPM pode definir qual gravidade e qual ação associar à assinatura, mas não pode definir o que dispara essa assinatura. O SigWizMenu no sensor precisa ser usado para ajustar os sensores. O SigWizMenu e o CSPM podem ser usados para configurar o mesmo Sensor, pois afetam partes diferentes da configuração.
Observação: se você usar o UNIX Diretor versão 2.2.3 ou posterior, o utilitário nrConfigure poderá configurar tudo que o SigWizMenu configura. Depois de atualizar para 2.2.3, use nrConfigure em vez de SigWizMenu para ajustar as assinaturas.