Perguntas mais freqüentes sobre o Cisco Secure Intrusion Detection System (Versões 3.1 e anteriores)

Opções de download

  • PDF     (226.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (96.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (88.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de junho de 2008
ID do documento:4163

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento contém perguntas frequentes (FAQs) sobre o Cisco Secure Intrusion Detection System (IDS), anteriormente conhecido como NetRanger, versões 3.1 e anteriores.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

General

P. Onde posso encontrar mais informações sobre o Cisco Secure IDS?

A. Consulte o conjunto completo de documentação do produto para obter mais informações sobre o Cisco Secure IDS.

P. Como atualizo as assinaturas de todo o meu sistema IDS (IDS Sensor + IDS Management Software)?

A. Você precisa atualizar as assinaturas do Sensor e da Plataforma de Gerenciamento separadamente. Observe que o Software de Gerenciamento não pode aprender assinaturas do Sensor, portanto ele também deve ser atualizado. Baixe o arquivo de atualização de assinatura mais recente para cada aplicativo do Cisco Secure Downloads (somente clientes registrados) . Os arquivos readme disponíveis no mesmo local contêm instruções para o procedimento de atualização.

P. Onde posso encontrar uma lista completa de assinaturas?

A. A lista de assinaturas IDS está disponível através da Cisco Secure Encyclopedia (somente clientes registrados) .

P. Qual é a senha padrão para usuários no UNIX IDS e no sensor autônomo?

A. No Sensor autônomo UNIX IDS e no Software de Gerenciamento IDS, a senha padrão é "ataque" para o netrangr e a raiz dos usuários. Quando você emite o comando su para se tornar o usuário raiz, a senha padrão é "ataque". No blade IDSM (Intrusion Detection System Module, módulo de sistema de detecção de intrusão), a senha padrão é "ataque" para ciscoids de nome de usuário.

P. Como obter um blade do IDSM (Intrusion Detection System Module, módulo de sistema de detecção de intrusão) para despejar suas configurações?

A. Você precisa de um servidor FTP local para poder carregar as configurações.

  1. Insira este comando no modo de diagnóstico no blade. 
    report systemstatus site  
           
user  
           dir
  2. Digite y para continuar quando for solicitado "Continue gerando o relatório do sistema?".
  3. Digite a senha do FTP do usuário especificado quando for solicitado. Quando o processo estiver concluído, você receberá uma mensagem informando se o processo falhou ou se o arquivo foi enviado.

P. Quando instalo/desinstalo o IDS, onde estão localizados os arquivos de log?

A. Os registros de instalação/atualização podem ser encontrados nestes locais:

  • Os registros de instalação do Diretor estão em /var/adm/nrInstall.log.

  • Os registros de atualização do Service Pack do sensor estão em /usr/nr/sp-update/.

  • Os registros de atualização de assinatura estão em /usr/nr/sig-update/.

P. Quais assinaturas estão disponíveis no PIX para IDS?

A. O IDS está disponível somente para o PIX 6.0 e posterior. As assinaturas estão contidas nas mensagens de syslog 400000 a 400051, chamadas de mensagens de assinatura do Cisco Secure IDS. Consulte a documentação PIX System Log Messages para obter mais informações sobre cada assinatura.

P. Posso ser notificado quando as atualizações de assinatura forem lançadas?

A. Inscreva-se nas Notificações de Atualização Ativa do Cisco IDS para receber alertas por e-mail sobre notícias de produto relacionadas ao Cisco Secure IDS.

P. Quais aplicativos devo usar para gerenciar meu sensor IDS e qual é a diferença entre eles?

A. Antes da versão 3.1, as opções de gerenciamento são usar o Cisco Secure Policy Manager (CSPM) ou UNIX Diretor. A principal diferença entre os dois é que o CSPM é executado como um aplicativo independente em um servidor Windows, enquanto o UNIX Diretor é executado sobre o HP OpenView em um servidor UNIX Solaris. Com o IDS 3.1, os sensores também podem ser gerenciados através do IDS Event Viewer (IEV) instalado em um PC ou usando o IDS Device Manager, que faz parte do sensor versão 3.1. O Gerenciador de dispositivos é ativado por padrão usando SSL (Secure Socket Layer) após configurar o Sensor.

P. Onde posso obter o software Software Development Kit (SDK)?

A. O software SDK não está disponível para o público.

Sensor de IDS

P. Qual é a diferença entre as versões 3.x e 4.x do sensor?

A. A versão 4.0 oferece vários novos recursos. O novo recurso mais notável é uma interface de linha de comando (CLI) semelhante ao Cisco IOS®.

P. Como codifico a velocidade da interface no IDS?

A. Não há suporte para a configuração de hardware para a velocidade/duplex nos códigos 3.x e 4.0 e há um bug na solicitação de recurso (ID de bug da Cisco CSCdy43054 (somente clientes registrados) ). O recurso está disponível no código 5.0, que agora está disponível em Configuring Interfaces.

P. Como atualizo meu software Sensor da versão 3.0 para a 3.1?

A. Os clientes podem baixar o arquivo de atualização da versão 3.1 do Cisco Secure Downloads (somente clientes registrados) .

P. Como atualizo meu software Sensor da versão 2.5 para a 3.0?

A. Os clientes podem baixar o arquivo de atualização da versão 3.0 do Cisco Secure Downloads (somente clientes registrados) . Instale a atualização do software da mesma forma que o service pack e as atualizações de assinatura estão instalados na versão 2.5. O procedimento é descrito em detalhes na Nota de Configuração do Cisco IDS Sensor Versão 3.0.

P. Como atualizo meu software Sensor da versão 2.2 para a 3.0?

A. O arquivo de atualização do 3.0 pode ser baixado do Cisco Secure Downloads (somente clientes registrados) , mas esse arquivo não pode atualizar versões antes do 2.5. Você deve usar o CD de atualização/recuperação disponível na Ferramenta de atualização de produto (somente clientes registrados) para atualizar da versão de software 2.2 para 3.0. O número da peça desse CD é IDS-SW-U.

Observação: você deve ter um contrato de suporte válido para solicitar o CD de atualização/recuperação.

P. Conectei um teclado e um monitor ao meu sensor, mas ele não inicializa corretamente. O que devo fazer?

A. Verifique se você está usando um teclado e um monitor suportados. Algumas marcas e modelos não são compatíveis com o Cisco Secure IDS e impedem que o IDS Sensor seja inicializado corretamente. Consulte Falha de inicialização do dispositivo Cisco Secure IDS para obter detalhes específicos da marca.

P. Na seção IDS dos Cisco Secure Downloads, vejo dois tipos de arquivos de atualização (service pack e assinatura). Qual é a diferença entre esses arquivos?

A. Cada um desses arquivos contém um conjunto específico de atualizações ou adições de software, conforme indicado pelas convenções de nomenclatura explicadas aqui.

  • A atualização do service pack para o software IDS Sensor Appliance contém aprimoramentos para o software de aplicativo principal do IDS Sensor, bem como correções de bugs. Por exemplo, um arquivo chamado IDSk9-sp-3.0-5-S17.bin inclui atualizações para a versão de software 3.0(5) mais o número do conjunto de assinaturas 17.

  • O arquivo de atualização da assinatura contém apenas atualizações das assinaturas (impressões digitais de ataque). Por exemplo, um arquivo chamado IDSk9-sig-3.0-5-S18.bin contém o número 18 do conjunto de assinaturas para o software do sensor 3.0(5).

Os clientes podem fazer o download desses arquivos do site Cisco Secure Downloads (somente clientes registrados).

P. Como posso saber se um sensor está configurado corretamente para executar um roteador?

A. Efetue login no sensor como netrangr de usuário e execute este comando:

nrgetbulk

Você deve receber uma resposta semelhante a "<IP_address> Ativo", que mostra o endereço IP do dispositivo de execução usado para bloquear ataques. Esta saída mostra um exemplo da sintaxe de comando e resposta esperada: 

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

Você também pode fazer login no roteador e emitir o comando who para ver se o Sensor está conectado.

P. Estou recebendo uma mensagem de erro que indica "value not set" (valor não definido) ao emitir o comando nrconns. Como resolvo esse problema?

A. Essa mensagem de erro indica possíveis problemas com os arquivos /usr/nr/etc/routes e/ou /usr/nr/etc/hosts no seu sensor. O ...Os arquivos /route definem comunicações postofficed entre o Sensor e o Diretor. O ...Os arquivos /hosts definem os nomes e os endereços IP de Sensores e Diretores.

Você também pode fazer login como raiz do usuário, executar o comando sysconfig-sensor e inserir novamente suas informações de IDS Communications Infrastructure.

P. Como uso o FTP para copiar arquivos de log do sensor para armazená-los em outro lugar?

A. Consulte Copiando arquivos de log IP a serem vistos para obter mais informações sobre este procedimento.

P. O que aconteceu com o daemon configurado nas versões 2.5 e 3.1 do software Sensor?

A. Configd é o daemon que processa todos os comandos nos UNIX Diretors e Sensores na base de código 2.2.x. Na base de códigos 2.5 e 3.0, essa funcionalidade foi absorvida nos outros daemons e o daemon configurado não existe mais.

P. Quando atualizo as assinaturas no Sensor, obtenho o ERRO: Não foi possível determinar o tipo de NetRanger do arquivo de daemons. Não é possível atualizar." mensagem de erro. O que devo fazer sobre isso?

A. Edite o arquivo /usr/nr/etc/daemons no Sensor para garantir que nr.packetd esteja na lista de daemon. Em seguida, pare e inicie os serviços.

P. No IDS 4210, qual é a interface de controle e qual é a interface de farejamento?

A. A interface de controle na parte superior é iprb1: e a interface de farejamento na parte inferior é iprb0:.

P. Por que eu vejo apenas uma interface ao emitir o comando ifconfig -a no meu sensor?

A. O comando ifconfig deve mostrar apenas a interface de controle. A outra interface (a interface de farejamento) ainda é usada pelo sensor, mas os usuários não devem poder vê-la. Se precisar ver essa interface, faça login como root e emita o ifconfig -a comando para determinar os nomes das interfaces. Emita o comando ifconfig <interface> plumb para verificar o status de uma interface específica.

P. Como posso codificar a velocidade da interface no sensor?

A. A codificação de hardware da velocidade da interface no sensor não deve ser necessária e não é suportada pelo Suporte Técnico da Cisco. Se o switch estiver configurado para autonegociação, a interface negociará a velocidade com o switch ao qual ele está conectado. O tráfego da rede para o sensor é unidirecional (em outras palavras, o sensor recebe). Portanto, geralmente é adequado se o switch mostrar que 100 half-duplex foi negociado (supondo-se que a porta do switch seja 100 M).

UNIX Director

P. Posso usar o novo Sensor 3.0 com uma versão 2.2.x do Diretor?

A. Sim, mas você deve atualizar o software Diretor para a versão 2.2.3 ou posterior. Os clientes registrados podem fazer download desses arquivos a partir dos Cisco Secure Downloads (somente clientes registrados) .

P. Como posso saber qual versão do daemon Diretor estou usando?

A. Emita o comando cat /usr/nr/VERSION e verifique o número da versão que a saída contém.

Observação: o resultado do comando nrvers no Diretor informa a versão dos daemons executados no Diretor, mas não informa a versão do software do Diretor em si.

P. Como faço com que um Diretor despeje sua configuração?

A. Efetue login como netrangr do usuário e execute o script /usr/nr/bin/diretor/nrCollectInfo para enviar informações de configuração para um arquivo chamado /usr/nr/var/tmp/Report_For_Director.html.

P. Tenho muitos erros (possivelmente mais de 1.000) no meu monitor HP OpenView. Eu os excluo, mas eles continuam voltando. Por quê?

A. Se o IDS Diretor for inundado com erros e não puder exibi-los todos, ele começa a fazer o buffer em um arquivo. Pare os daemons IDS e saia dos mapas do OpenView abertos para se livrar do arquivo. Exclua o arquivo /usr/nr/var/nrDirmap.buffer.default e reinicie os daemons IDS e o mapa do OpenView.

P. Estou tendo problemas para inserir alarmes no mapa do HP OpenView. Continuo obtendo erros em /usr/nr/var/errors.nrdirmap. O que devo fazer?

A. Nas versões IDS anteriores à 2.2.2, a coisa mais fácil a fazer é limpar o banco de dados do OpenView. O banco de dados vive em /var/opt/OV/share/database/openview. Conclua estes passos para excluir o banco de dados do OpenView.

  1. Feche todos os mapas abertos do OpenView com o comando ovstop e, em seguida, pare os serviços IDS com o comando nrstop.
  2. Efetue login como raiz do usuário e problema /usr/nr/bin/diretor/nrDeleteOVwDb.
  3. Remova todos os arquivos "error.*" no diretório /usr/nr/var (por exemplo, errors.configd).
  4. Reinicie os serviços com o comando nrstart e reinicie o OpenView com o comando ovstart.

    Observação: no Diretor versão 2.2.2, você pode remover apenas a parte IDS do banco de dados do OpenView em vez de todo o banco de dados. Este procedimento está descrito no Guia de configuração do IDS Diretor.

P. Não consigo obter alarmes no meu mapa do OpenView. O arquivo /usr/nr/var/errors.postofficed no Diretor contém mensagens que dizem que o nrdirmap não está licenciado para ser executado neste computador. Como posso corrigir este problema?

A. Execute este comando.

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

Certifique-se de que o netrangr de utilizador possui os ficheiros e, em seguida, reinicie os serviços IDS.

P. Quando executo o utilitário nrConfigure e clico duas vezes no Diretor, recebo esta mensagem: "Não é possível localizar o tipo de sensor para <nome_diretor>. Verifique se o correio e o pacote estão em execução". O que devo fazer?

A. O problema ocorre porque nrConfigure vê o processo do pacote no arquivo daemons do Diretor (o que não deve ser feito). Quando nrConfigure consulta o Diretor para sua versão como se fosse um Sensor, o Diretor não pode responder com uma versão do Sensor.

Conclua estas etapas para resolver esse problema.

  1. Edite o arquivo /usr/nr/etc/daemons e remova entradas para nr.packetd, nr.sensord e nr.managed, pois esses processos devem ser executados somente no Sensor.
  2. Pare os serviços com o comando nrstop e reinicie os serviços com o comando nrstart.
  3. Verifique se nrConfigure foi desligado.
  4. Inicie o OpenView com o comando ovw.
  5. Selecione Security > Advanced > nrConfigure DB > Delete para excluir o banco de dados nrConfigure corrompido.
  6. Digite yes quando solicitado a prosseguir.
  7. Destaque seu Diretor e todos os seus Sensores na janela principal do OpenView.
  8. Selecione Security > Advanced > nrConfigure DB > Create para criar um novo banco de dados nrConfigure com as versões de configuração atuais das máquinas.

P. Como faço para impedir que o aplicativo nrdirmap seja ativado por padrão nos mapas do OpenView?

A. Os usuários que executam o aplicativo IDS no UNIX Diretor também podem executar outros aplicativos no OpenView. Isso não é recomendado, mas em alguns casos não pode ser evitado. O problema é que o nrdirmap é ativado por padrão para cada mapa do OpenView, o que não é desejável quando outros aplicativos são executados no OpenView.

Conclua estes passos no UNIX Diretor para alterar o padrão, de modo que você possa escolher quais mapas têm o nrdirmap ativado neles.

  1. Efetue login como netrangr de usuário.
  2. Digite cd $OV_REGISTRATION/C. (OV_REGISTRATION faz parte da sua variável ambiental. O caminho comum é /etc/opt/OV/share/registration/C.)
  3. Digite su root.
  4. Edite o arquivo nrdirmap e altere a linha "Command" conforme mostrado nesta saída: 
    Command -Shared -Initial "nrdirmap"; 

!--- Changes to:

Command -Shared -Initial "nrdirmap -d";
  5. Salve o arquivo nrdirmap.
  6. Reciclar OpenView. Agora, quando um mapa é criado com o comando ovw, digitar ps -ef | grep dirmap deve produzir uma saída semelhante à mostrada aqui. Observe o nrdirmap com o switch -d. 
    >ps -ef | grep dirmap
netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d

Novos mapas criados no OpenView agora não têm o nrdirmap habilitado por padrão. Se quiser criar um mapa com o nrdirmap instalado, você deve fazer isso na GUI do OpenView, como explica este procedimento.

  1. No menu principal do OpenView, escolha Mapa > Novo e insira um nome para o novo mapa.
  2. Nos aplicativos configuráveis, você deve ver o NetRanger/Diretor. Escolha NetRanger/Diretor e clique em Configurar para este Mapa.
  3. Para a opção que diz "O nrdirmap deve ser ativado para este mapa?", escolha True se quiser habilitar o nrdirmap.
  4. Escolha Verificar e clique em OK.

P. Atualizei para o Diretor versão 2.2.3 e agora não posso definir a gravidade do evento para um nível superior a 5, mesmo que pudesse fazê-lo em versões anteriores. Por que isso ocorre?

A. Os níveis de gravidade foram alterados na versão 2.2.3 do Diretor para suportar apenas o intervalo de 1 a 5.

O CSPM (Cisco Secure Policy Manager ) de IDS

P. Qual versão do CSPM devo usar para gerenciar meu sensor IDS?

A. Atualmente, a versão 2.3i do CSPM é a que pode gerenciar o IDS Sensor, enquanto o CSPM 3.0 não pode. Se você usar o CSPM para gerenciar o Sensor e outros dispositivos Cisco Secure (como PIXes, roteadores), deverá instalar as duas versões diferentes do CSPM (2.3i e 3.x) em dois servidores Windows separados. Você pode usar cada um dos servidores para gerenciar os dispositivos correspondentes: CSPM 2.3i para Sensores e CSPM 3.x para PIXes, roteadores e assim por diante.

P. Como configuro o CSPM para gerenciar meu sensor IDS e garantir que a comunicação funcione?

A. Consulte Configurando um Cisco Secure IDS Sensor no CSPM para obter mais informações sobre como configurar o CSPM para gerenciar seu IDS Sensor e garantir que a comunicação funcione.

P. Posso ajustar as assinaturas do dispositivo com o CSPM?

A. O ajuste envolve alterar o que é necessário para uma assinatura ser disparada (como o número de hosts em uma varredura) e não significa definir ações e níveis de gravidade.

O CSPM não pode (em nenhuma versão) ajustar assinaturas para o dispositivo. Só pode definir as ações e as severidades de uma assinatura. Em outras palavras, o CSPM pode definir qual gravidade e qual ação associar à assinatura, mas não pode definir o que dispara essa assinatura. O SigWizMenu no sensor precisa ser usado para ajustar os sensores. O SigWizMenu e o CSPM podem ser usados para configurar o mesmo Sensor, pois afetam partes diferentes da configuração.

Observação: se você usar o UNIX Diretor versão 2.2.3 ou posterior, o utilitário nrConfigure poderá configurar tudo que o SigWizMenu configura. Depois de atualizar para 2.2.3, use nrConfigure em vez de SigWizMenu para ajustar as assinaturas.

Informações Relacionadas

Colaboração de

  • vijkrish
    vgiallor

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos