Este documento contém as perguntas mais frequentes (FAQ) sobre o Cisco Secure Intrusion Detection System (IDS), conhecido anteriormente como Netranger, versões 3.1 e anterior.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A. Consulte ao máximo ajustado da documentação do produto para obter mais informações sobre do Cisco Secure IDS.
A. Você tem que promover as assinaturas do sensor e da plataforma de gerenciamento separadamente. Note que o software de gestão não pode aprender assinaturas do sensor, assim que deve ser atualizado também. Transfira o arquivo de atualização de assinatura o mais atrasado para cada aplicativo dos downloads seguros de Cisco (clientes registrados somente). Os arquivos de leia-me disponíveis no mesmo lugar contêm instruções para o procedimento de upgrade.
A. A lista de assinaturas de IDS está disponível através da enciclopédia segura de Cisco (clientes registrados somente).
A. No sensor independente dos ID DE UNIX e no software de gestão IDS, a senha padrão é “ataque” para o netrangr e a raiz dos usuários. Quando você emite o comando su se transformar o usuário de raiz, a senha padrão é “ataque.” Na lâmina do módulo intrusion detection system (IDSM), a senha padrão é “ataque” para ciscoids username.
A. Você precisa um servidor FTP local assim que você pode transferir arquivos pela rede as configurações.
- Incorpore este comando do modo do diag na lâmina.
report systemstatus site <ftp_target_ip_address> user <ftpusername> dir <directoryname>- Datilografe y a fim continuar quando perguntado “Continue que gerencie o relatório do sistema?”.
- Datilografe a senha de FTP de seu usuário especificado quando você é alertado. Quando o processo está completo, você recebe uma mensagem que indique se o processo falhou ou se o arquivo foi enviado.
A. Os logs da instalação/atualização podem ser encontrados nestes lugar:
Os log de instalação do diretor estão em /var/adm/nrInstall.log.
Os logs da atualização do pacote de serviços do sensor estão em /usr/nr/sp-update/.
Os logs da atualização de assinatura estão em /usr/nr/sig-update/.
A. O IDS está disponível somente para PIX 6.0 e mais atrasado. As assinaturas são contidas nos mensagens do syslog 400000 a 400051, referido como os mensagens de assinatura do Cisco Secure IDS. Refira a documentação dos mensagens de Log de sistema PIX para obter mais informações sobre de cada assinatura.
A. Assine acima para Notificações de atualização ativa do Cisco IDS a fim receber alertas do email para as notícias de produto relativas ao Cisco Secure IDS.
A. Antes da versão 3.1, as opções de gerenciamento são usar o Cisco Secure Policy Manager (CSPM) ou o UNIX Diretor. O principal diferença entre os dois é que o CSPM é executado como um aplicativo independente em um Windows Server, quando o UNIX Diretor for executado sobre o HP OpenView em um servidor solaris de UNIX. Com IDS 3.1, os sensores podem igualmente ser controlados com o IDS Event Viewer (IEV) instalados em um PC ou que usam o gerenciador de dispositivo ids, que seja parte do sensor da versão 3.1. O gerenciador de dispositivo está permitido à revelia usando o Secure Socket Layer (SSL) depois que você estabelece o sensor.
A. O software SDK não está disponível ao público.
A. A versão 4.0 oferece diversos novos recursos. Os novos recursos os mais visíveis são um comando line interface(cli) similar a Cisco IOS®.
A. O ajuste duro a velocidade/duplex em 3.x e em código 4.0 não é apoiado e há um erro contra o pedido da característica (identificação de bug Cisco CSCdy43054 (clientes registrados somente)). A característica está disponível no código 5.0, que está agora disponível em configurar relações.
A. Os clientes podem transferir o arquivo da atualização para a versão 3.1 dos downloads seguros de Cisco (clientes registrados somente).
A. Os clientes podem transferir o arquivo da atualização para a versão 3.0 dos downloads seguros de Cisco (clientes registrados somente). Instale a atualização de software da mesma forma que o pacote de serviços e as atualizações de assinatura são instalados na versão 2.5. O procedimento é descrito em detalhe na versão 3.0 da nota da configuração de sensor do Cisco IDS.
A. O arquivo da elevação do 3.0 pode ser transferido dos downloads seguros de Cisco (clientes registrados somente), mas este arquivo não pode atualizar versões antes de 2.5. Você deve usar o CD da elevação/recuperação disponível através da ferramenta de upgrade de produto (clientes registrados somente) para promover da versão de software 2.2 ao 3.0. O part number para este CD é IDS-SW-U.
Note: Você deve ter um contrato de suporte válido pedir o CD da elevação/recuperação.
A. Verifique que você está usando um teclado e um monitor apoiados. Alguns tipos e modelos não são compatíveis com Cisco Secure IDS e impedem que o sensor de IDS carreg corretamente. Refira a falha de inicialização do equipamento do Cisco secure IDs para detalhes específicos do tipo.
A. Cada um destes arquivos contém um grupo específico de atualizações de software ou de adições, como indicado pelas convenções de nomeação explicadas aqui.
A atualização do pacote de serviços para o software do equipamento do sensor de IDs contém a melhoria ao software assim como às correções de bug do aplicativo central do sensor de IDS. Por exemplo, um arquivo nomeado IDSk9-sp-3.0-5-S17.bin inclui atualizações ao número ajustado 17 da assinatura positiva da versão de software 3.0(5).
O arquivo de atualização de assinatura contém somente atualizações das assinaturas (impressões digitais do ataque). Por exemplo, um arquivo nomeado IDSk9-sig-3.0-5-S18.bin contém o número ajustado 18 da assinatura para 3.0(5) o software de sensor.
Os clientes podem transferir estes arquivos do local dos downloads seguros de Cisco (clientes registrados somente).
A. Entre ao sensor como o netrangr do usuário e execute este comando:
nrgetbulk <appID> <sensorHostID> <sensorOrgID> <priority> <token>
Você deve receber uma resposta similar do “ao Active <IP_address>”, esse mostras o endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo evitando usado para obstruir ataques. Esta saída mostra um exemplo da sintaxe de comando e da resposta esperada:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessVocê pode igualmente entrar ao roteador e emitir o comando who ver se o sensor é entrado.
A. Este Mensagem de Erro indica problemas potenciais com os arquivos de /usr/nr/etc/routes e/ou de /usr/nr/etc/hosts em seu sensor. … Os arquivos /routes definem comunicações de correspondência entre o sensor e o diretor. … Os arquivos /hosts definem os nomes e os endereços IP de Um ou Mais Servidores Cisco ICM NT dos sensores e dos diretores.
Você pode igualmente entrar como a raiz de usuário, executa o comando sysconfig-sensor, e incorpora sua informação de Infraestrutura de Comunicações de IDS outra vez.
A. Refira o copi dos arquivos de registro IP a ser vistos para obter mais informações sobre deste procedimento.
A. O configd é o demônio que processa comandos all em diretores assim como em sensores de UNIX na base de código 2.2.x. Na base de código de 2.5 e de 3.0, esta funcionalidade foi absorvida nos outros demônios e o demônio do configd já não existe.
A. Edite o arquivo de /usr/nr/etc/daemons no sensor para assegurar-se de que o nr.packetd esteja na lista do demônio. Então pare e enfie os serviços.
A. A interface de controle na parte superior é iprb1: , e o farejando interface na parte inferior é iprb0:.
A. O comando ifconfig deve mostrar somente a interface de controle. A outra relação (o farejando interface) é usada ainda pelo sensor, mas por usuários não é suposta para poder considerá-lo. Se você precisa de ver esta relação, entre como a raiz e emita o comando ifconfig -a determinar os nomes da relação. Emita o comando ifconfig <interface> plumb verificar o estado de uma interface particular.
A. Codificar a velocidade da relação no sensor não deve ser necessário e não é apoiado pelo Suporte técnico de Cisco. Se o interruptor é ajustado para a negociação automática, a relação negocia a velocidade com o interruptor a que é anexada. O tráfego da rede ao sensor é unidirecional (ou seja o sensor recebe). Consequentemente, é geralmente adequado se o interruptor mostra que 100 metade-frente e verso estiveram negociados (a suposição é que a porta de switch é 100 M).
A. Sim, mas você deve promover seu software de diretor à versão 2.2.3 ou mais recente. Os clientes registrados podem transferir estes arquivos dos downloads seguros de Cisco (clientes registrados somente).
A. Emita o comando de /usr/nr/VERSION do gato e verifique o número de versão que a saída contém.
Note: A saída do comando nrvers no diretor di-lo que a versão dos demônios que executam no diretor, mas não lhe diz a versão do software de diretor própria.
A. Entre como o netrangr do usuário e execute o script /usr/nr/bin/director/nrCollectInfo para enviar a informação de configuração a um arquivo nomeado /usr/nr/var/tmp/Report_For_Director.html.
A. Se o IDS diretor obtém inundado com os erros e não pode os indicar todos, começa proteger a um arquivo. Pare os daemons de IDS e retire todos os mapas do OpenView que você tiver aberto a obter livrado do arquivo. Suprima do arquivo /usr/nr/var/nrDirmap.buffer.default, a seguir reinicie os daemons de IDS e seu mapa do OpenView.
A. Nas versões de IDS antes de 2.2.2, a coisa a mais fácil a fazer é limpar para fora o base de dados openview. As vidas úteis do base de dados em /var/opt/OV/share/databases/openview. Termine estas etapas para suprimir do base de dados openview.
- Feche tudo mapas abertos do OpenView com o comando ovstop, a seguir pare os serviços IDS com o comando nrstop.
- Entre como a raiz de usuário e a edição /usr/nr/bin/director/nrDeleteOVwDb.
- Remova todos os arquivos “error.*” no diretório de /usr/nr/var (por exemplo, errors.configd).
- Reinicie os serviços com o comando nrstart, a seguir o OpenView do reinício com o comando ovstart.
Note: Na versão de diretor 2.2.2, você pode remover somente o IDS parte do base de dados openview em vez do base de dados inteiro. Este procedimento é descrito no manual de configuração do IDS diretor.
A. Execute este comando.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesAssegure-se de que o netrangr do usuário possua os arquivos, a seguir reiniciam os serviços IDS.
A. O problema ocorre porque o nrConfigure vê o processo do packetd nos demônios do diretor arquivar (que não deve). Quando o nrConfigure pergunta o diretor para sua versão como se era um sensor, o diretor não pode responder com uma versão do sensor.
Termine estas etapas para resolver esta edição.
- Edite o arquivo de /usr/nr/etc/daemons e remova as entradas para o nr.packetd, o nr.sensord, e o nr.managed, desde que estes processos devem somente ser executado no sensor.
- Pare os serviços com o comando nrstop, a seguir reinicie os serviços com o comando nrstart.
- Assegure-se de que o nrConfigure esteja fechado.
- Comece o OpenView com o comando ovw.
- Selecione Security > Advanced > Nrconfigure Db > Delete para suprimir do base de dados corrompido do nrConfigure.
- Entre sim quando pedido para continuar.
- Destaque seu diretor e todos seus sensores na janela principal do OpenView.
- Selecione a Segurança > avançou > nrConfigure DB > criam para criar um base de dados novo do nrConfigure com as versões da configuração atual das máquinas.
A. Os usuários que executam o aplicativo de IDS no UNIX Diretor podem igualmente executar outros aplicativos no OpenView. Isto não é recomendado, mas em alguns casos não pode ser evitado. O problema é que o nrdirmap está permitido à revelia para cada mapa do OpenView, que não é desejável quando outros aplicativos são executado no OpenView.
Termine estas etapas no UNIX Diretor para mudar o padrão de modo que você possa escolher que os mapas têm o nrdirmap permitido nelas.
- Entre como o netrangr do usuário.
- Datilografe o CD $OV_REGISTRATION/C. (OV_REGISTRATION é parte de seu variável ambiental. O trajeto usual é /etc/opt/OV/share/registration/C.)
- Datilografe a raiz SU.
- Edite o arquivo do nrdirmap e mude a linha do “comando” como esta saída mostra:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Salvar o arquivo do nrdirmap.
- Recicle o OpenView. Agora, quando um mapa for trazido acima com o comando ovw, datilografando o ps - ef | o dirmap do grep deve render a saída similar àquela mostrada aqui. Note o nrdirmap com - o interruptor d.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dOs mapas novos criados no OpenView agora não têm o nrdirmap permitido à revelia. Se você quer criar um mapa com o nrdirmap instalado, você deve fazê-lo do OpenView GUI, porque este procedimento explica.
- Do menu OpenView principal, escolha o mapa > novo e dê entrada com um nome para o mapa novo.
- Sob os aplicativos configurávéis, você deve ver Netranger/diretor. Escolha Netranger/diretor e o clique configura para este mapa.
- Para a opção que diz “deve o nrdirmap ser permitido para este mapa? ”, escolha verdadeiro se você quer permitir o nrdirmap.
- Escolha verificam e clicam a APROVAÇÃO.
A. Os níveis de seriedade foram mudados na versão 2.2.3 do diretor para apoiar somente a escala 1 com o 5.
A. Atualmente a versão 2.3i do CSPM é essa que pode controlar o sensor de IDS, visto que o 3.0 CSPM não pode. Se você usa o CSPM para controlar o sensor e o outro Cisco fixa dispositivos (tais como PIXes, Roteadores), você deve instalar as duas versões de CSPM diferentes (2.3i e 3.x) em dois server das janelas separadas. Você pode usar cada um dos server para controlar os dispositivos correspondentes: CSPM 2.3i para os sensores e CSPM 3.x para PIXes, Roteadores, e assim por diante.
A. Refira configurar um sensor do Cisco Secure IDS no CSPM para obter mais informações sobre de como configurar o CSPM para controlar seu sensor de IDS e para assegurar trabalhos de uma comunicação.
A. Ajustar envolve mudar o que toma para que uma assinatura ateie fogo (como o número de anfitriões em uma varredura) e não significa ações e níveis de seriedade do ajuste.
O CSPM não pode (em alguma versão) ajustar assinaturas para o dispositivo. Pode somente ajustar as ações e as gravidades de uma assinatura. Ou seja o CSPM pode ajustar-se que severidade e que a ação para associar à assinatura mas não pode se ajustar que fogos que assinatura. O SigWizMenu no sensor tem que ser usado para ajustar os sensores. O SigWizMenu e o CSPM podem ser usados para configurar o mesmo sensor desde que afeta parcelas diferentes da configuração.
Note: Se você usa a versão 2.2.3 ou mais recente do UNIX Diretor, o utilitário nrconfigure pode configurar tudo que o SigWizMenu configura. Depois que você promove a 2.2.3, você deve usar o nrConfigure em vez do SigWizMenu para ajustar as assinaturas.