FAQ do IDS 4.0/AIP-SSM/IPS 5.0 e posterior

Opções de download

  • PDF     (250.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (96.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (92.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de abril de 2008
ID do documento:50360

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento responde às perguntas mais frequentes (FAQs) relacionadas ao Cisco Secure Intrusion Detection System (IDS) 4.0, Advanced Inspection and Prevention Security Services Module (AIP SSM) e ao Cisco Intrusion Prevention System (IPS) 5.0 e posterior.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

IDS 4.0

P. Instalei o IDS MC e o SecMon em um novo servidor e agora quero importar todas as configurações (usuário, dispositivo e assim por diante) do servidor antigo para o novo. Como faço isso?

A. A maneira mais fácil de fazer isso é ativar seu novo servidor VMS e depois descobrir os sensores com essa nova caixa.

Observação: ao adicionar o sensor, não adicione-o manualmente. Marque a caixa de configurações de descoberta.

Quando o sensor for descoberto, importe-o para SecMon. Todas as configurações são salvas no sensor. As configurações de assinatura, filtros e assim por diante devem aparecer depois que você criar seu novo servidor. Certifique-se de atualizar o IDS MC para as assinaturas mais recentes.

P. O IDS-4215 recebe o idsPackageMgr: mensagem de erro de argumento inválida enquanto tenta atualizar a partição de recuperação IDS. O que preciso fazer para resolver esse problema?

A. Esta é uma questão de manufatura. Alguns clientes receberam IDS-4215s com uma imagem básica incorreta (4.0). Siga estas etapas.

  1. Baixe a imagem da partição de recuperação (somente clientes registrados) .
  2. Aplique a atualização da imagem da partição de recuperação através da CLI: 
    sensor#configure terminal 
sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/
    IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg
  3. Depois que a imagem da partição de recuperação for aplicada, o 4215 será restaurado para uma base 4.1(1) 4215 em execução normal. 
    sensor(config)#recover application-partition

P. Quando atualizo de um pacote de nível de sig de 2 dígitos para 3 dígitos, como S100 ou posterior, por exemplo, 4.1(4)S99 para 4.1(4)S100, a funcionalidade de atualização automática falha. Como posso corrigir este problema?

Observação: os clientes de VMS e CLI da Cisco não enfrentam esse problema.

A causa do problema é a lógica de classificação usada quando o nome do arquivo é analisado. É uma classificação alfanumérica quando deve ser numérica. A solução alternativa é usar CLI (ou VMS) para atualizar para pacotes de nível de assinatura de 3 dígitos, como S100 ou posterior. Quando isso for concluído, a atualização automática começará a funcionar novamente. Consulte o bug da Cisco ID CSCef07999 (somente clientes registrados) para obter mais informações.

P. O que faz o "Authentication token manipululation error" (Erro de manipulação de token de autenticação)? mensagem de erro significa?

A. Para resolver esse problema, use a senha padrão (cisco) duas vezes e altere a senha do modo de configuração. O IDS exige que a senha padrão seja digitada duas vezes.

Por exemplo: 

login:cisco 
Password:cisco
Enter current password:cisco
Enter new password: *** 
Re-enter new password: ***

P. Como removo o IDSM do Switch?

A. O módulo deve ser removido somente depois que você desabilitar a alimentação. Conclua estes passos:

  1. Na CLI do sensor, emita o comando reset powerdown.
  2. Quando o sensor concluir o desligamento, a partir da CLI do switch, execute o comando no power enable module (module_number) para o Cisco IOS ou o comando set module power down (module_number) para CatOS.
  3. Pressione o botão de desligar na lâmina.
  4. Desligue fisicamente o chassi. Quando a luz de status exibir um verde maior, você poderá remover o módulo com segurança.

IPS 5.0 e posterior

P. Tenho o shunning configurado, mas estou confuso sobre como configurar o bloqueio nas assinaturas. Qual é a diferença entre host de bloco e conexão de bloco?

A. Bloquear host bloqueia todos os pacotes desse endereço de origem. Bloquear conexão bloqueia apenas uma conexão baseada em IP/porta origem e destino. O PIX funciona de maneira ligeiramente diferente. Para shuns automáticos, o sensor envia o IP de origem, o IP de destino, a porta de origem e a porta de destino. O PIX bloqueia todos os pacotes que se originam desse endereço IP. As informações adicionais são usadas pelo PIX para remover essa conexão das tabelas de conexão. Se a conexão não tiver sido removida da tabela de conexão, então é teoricamente possível que, se o shun for removido logo após a aplicação, a conexão original ainda não tenha expirado. Isso permite que o invasor continue o ataque na conexão original. A remoção da conexão da tabela garante que a conexão original não possa ser usada para continuar o ataque após a remoção do shun. O sensor não pode executar uma única conexão no PIX porque o PIX não suporta o uso do comando shun para executar uma única conexão. O comando PIX shun sempre envia o endereço de origem independentemente de as informações adicionais de conexão serem fornecidas ou não.

P. O que o "Erro: Não foi possível reiniciar os serviços de rede. Ocorreu um erro fatal. O nó DEVE ser reinicializado para ativar o alarme". mensagem de erro significa?

A. Esse erro significa que o gateway padrão está incorreto ou uma mensagem de erro genérica que significa que o IP, a máscara de rede ou o gateway padrão estão incorretos. A parte fatal da mensagem significa que, após a primeira falha, a configuração anterior foi aplicada e também falhou. O sensor emite os comandos ifconfig e route e um ou ambos falham.

P. Autoupdate falha com a "mainApp[343] Cid/E errSystemError http error response:500". mensagem de erro. O que essa mensagem de erro significa?

A. Esse problema pode ser o recurso de atualização automática, que não funciona, porque está definido para download em uma hora exata. Tente definir a atualização automática para uma hora aleatória; mesmo um pequeno desvio de oito ou minutos noturnos pode corrigir esse problema.

Em geral, o problema é resolvido e o erro: resposta de erro http: Uma mensagem de erro 500 é exibida se você alterar o tempo de recuperação para um limite de hora diferente.

Observação: o IPS falha na atualização automática de assinaturas e retorna com esta mensagem de erro:

Exceção de AutoUpdate: Falha na conexão HTTP [1.110] name=errSystemError

Verifique esses itens para resolver o problema:

  • Verifique se um firewall está impedindo que o sensor acesse Cisco.com.

  • Verifique se o roteamento se torna um problema.

  • Verifique se o NATing está configurado corretamente no dispositivo de gateway para o dispositivo downstream.

  • Verifique se as credenciais do usuário estão corretas.

  • Alterar a hora de início da atualização para horas ímpares.

P. O que o "Erro: execUpgradeSoftware: O AnalysisEngine está ocupado no momento e não pode processar esta atualização. Aguarde alguns minutos antes de tentar atualizar novamente.". mensagem de erro significa?

A. Para resolver esse problema, tente recarregar o sensor ou recriar o sensor.

P. Como resolvo a mensagem de erro Cid/W Warning - DNS ou proxy HTTP é necessário para inspeção de correlação global e filtragem de reputação, mas nenhum servidor DNS ou proxy é definido.Adicione um servidor proxy HTTP ou um servidor DNS na configuração do serviço 'host'?

A. Conclua estas tarefas para resolver este problema:

  • Desative a correlação global.

  • Adicione a configuração de proxy/dns.

P. Como resolvo esses erros que o IPS recebe para problemas de integridade de correlação global: "23 de janeiro de 2010 15:50:39.831 38.001CollaborationApp[655] - Falha na atualização da correlação global: Falha ao abrir uma conexão TLS para o servidor HTTP em X.X.82.127:443 : Falha na conexão TLS" e "collaborationApp[459] rep/E Falha na atualização da correlação global: Falha no download de ibrs/1.1/drop/default/1296529950 : O URI não contém um endereço ip válido"?

A. O IPS não consegue chegar à Internet devido a um problema de porta, por exemplo, um firewall em um caminho que não tem as portas certas abertas para o acesso à Internet ou pode ser um problema de NAT.

Para que a correlação global funcione completamente, o sensor primeiro entra em contato através de https update-manifestests.ironport.com para autenticar o usuário e depois uma conexão HTTP para fazer download de atualizações de GC. Os arquivos que o sensor faz download do HTTP (updates.ironport.com) são os dados de reputação que a correlação global usa. O arquivo https update-manifestests.ironport.com deve sempre ser resolvido para o endereço X.X.82.127, mas o endereço IP http updates.ironport.com pode ser alterado, dependendo da Internet que você acessa. Portanto, você deve verificar o endereço IP. Se a filtragem de URL estiver habilitada, adicione uma exceção para o IP da interface de gerenciamento de IPS no filtro de URL, para que o IPS possa se conectar à Internet.

Este erro ocorre quando há corrupção em uma atualização de GC anterior:

collaborationApp[459] rep/E Falha na atualização da correlação global: Falha no download de ibrs/1.1/drop/default/1296529950 : O URI não contém um endereço IP válido

Normalmente, esse problema pode ser corrigido desligando o serviço GC e ligando-o novamente. No IDM, escolha Configuration > Policies > Global Correlation > Inspection/Reputation, defina Global Correlation Inspection (e Reputation Filtering, se On) como Off, aplique as alterações, aguarde 10 minutos, ligue os recursos e monitore.

P. A atualização de correlação global falhou: OpenConnection: Detectada IpAddrException badAddrString. Não é possível usar o proxy HTTP de correlação global e as configurações de DNS. Verifique a conexão e tente novamente. é recebida uma mensagem de erro na categoria "Reputation update failure". Como eu resolvo esse problema?

A. Verifique estes itens:

  • Você deve ter uma licença IPS válida para permitir que os recursos de correlação global funcionem.

  • Você deve ter um servidor proxy HTTP ou um servidor DNS configurado para permitir que os recursos de correlação global funcionem.

  • Como as atualizações de correlação global ocorrem através da interface de gerenciamento do sensor, os firewalls devem permitir o tráfego tcp 443/80 e udp 53.

  • Certifique-se de que seu sensor suporta os recursos de correlação global. Se você não quiser isso, desative o recurso de colaboração global do IDM:

    • Vá para Configuration > Policies > Global Correlation > Inspection/Reputation e defina Global Correlation Inspection (and Reputation Filtering if On) como Off.

P. Como resolvo a "Falha na atualização de correlação global: OpenConnection: Erro IpAddrException badAddrString" recebido pelo IPS para problema de integridade de correlação global?

A. Se você usar correlação global (GC), verifique se a resolução de nome funciona, por exemplo, se o DNS está acessível. Verifique também se há uma porta bloqueada de firewall 53. Caso contrário, você poderá desligar o recurso GC se quiser se livrar desta mensagem.

P. Como resolvo a exceção ao inicializar a conexão com a mensagem de erro MySQL que recebo quando inicio o IME a partir do navegador?

A. Esse problema geralmente ocorre quando o cliente tenta executar o IME em sistemas operacionais não suportados, como o Windows 7.

P. Como resolvo o "Título: IDM no fornecedor 88-nsmc-c1: Cisco Systems, Inc. Categoria: Iniciar arquivo Erro Recursos JAR no arquivo JNLP não são assinados pelo mesmo certificado". ou "Erro ao conectar ao sensor, Falha ao criar o erro x.x.x.x:443 saindo do idm" que o IDM recebe, o que acontece durante o lançamento do aplicativo?

A. Limpe o cache do navegador para resolver esse problema.

P. O modo Assimétrico no IPS é configurável se você usar a GUI?

A. Na versão 6.0, o modo assimétrico no IPS é configurável usando somente CLI e não está disponível na GUI. Mas, na versão 6.1, esse recurso também está disponível na GUI.

P. Como resolvo o problema de latência com o sensor IPS?

A. Para resolver esse problema, ative o processamento do modo assimétrico para permitir que o sensor sincronize o estado com o fluxo e mantenha a inspeção para os motores que não exigem ambas as direções. Use esta configuração:

IPS_Sensor#configure terminal
IPS_Sensor(config)#service analysis-engine
IPS_Sensor(config-ana)#virtual-sensor vs0
IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric

O problema de latência ocorre quando a ação de negação em linha e o pacote de negação são ativados para cada assinatura em VS0. Habilitar todas as assinaturas resultará em latência, à medida que o IPS inspeciona cada pacote que passa. É bom ativar apenas a assinatura específica necessária de acordo com o fluxo de tráfego de rede para resolver o problema de latência.

P. O AIP-SSM ajuda a bloquear o Skype?

A. O PIX/ASA não pode bloquear o tráfego do Skype. O Skype tem a capacidade de negociar portas dinâmicas e usar tráfego criptografado. Com o tráfego criptografado, é virtualmente impossível detectá-lo, pois não há padrões para procurar.

Você pode eventualmente usar um Cisco IPS (Intrusion Prevention System)/AIP-SSM. Ele tem algumas assinaturas capazes de detectar um Cliente Skype Windows que se conecta ao servidor Skype para sincronizar sua versão. Isso geralmente é feito quando o cliente é iniciado na conexão. Quando o sensor capta a conexão inicial do Skype, você pode encontrar a pessoa que usa o serviço e bloquear todas as conexões iniciadas em seu endereço IP.

P. Por que a interface de detecção oscila ou frequentemente vai para o estado inativo no IPS?

A. Durante uma atualização de assinatura e reconfigurações, o sensorApp para para processar pacotes à medida que processa as novas assinaturas na atualização. O controlador de rede detecta que o sensorApp parou e retira quaisquer novos pacotes do buffer. O driver de rede faz coisas diferentes, dependendo da configuração e do modelo do sensor:

Interface promissora — ativa o link nas interfaces e ativa o link novamente quando o sensorApp começa a monitorar novamente.

Interface em linha ou Par de Vlan em linha—Depende da configuração de desvio:

  • Ignorar Automático —O driver mantém o link ativo e começa a passar pacotes sem análise. Em seguida, ele volta a enviar os pacotes através do sensorApp quando o sensorApp começa a monitorar novamente.

  • Desvio —O driver desativa o link nas interfaces, que é o mesmo que no modo promíscuo, e os ativa novamente quando o sensorApp começa a monitorar novamente.

Assim, se o aplicativo do sensor não extrair pacotes do buffer, o que possivelmente ocorre porque não há interface configurada para processar pacotes, o driver pode colocar a interface em um estado inativo.

Esses registros são vistos quando a interface de detecção oscila:

28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline
    databypass has started.
28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass
    has stopped.
28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass
    has started.
28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass 
    has stopped.

P. O sensor IDS ou IPS (Intrusion Prevention System) mantém um histórico de senha?

A. Não, o sensor não mantém um histórico de senha. As senhas não podem ser vistas a qualquer momento.

P. O sensor IDS ou Sistema de prevenção de intrusão (IPS) suporta Servidor syslog para enviar registros?

A. No.

P. Qual é o limite máximo de armazenamento de eventos no IPS?

A. O evento local do sensor armazena somente 30 MB e começa a se sobrescrever quando o limite de 30 MB é atingido. Este limite não é configurável.

P. Como escrevo uma assinatura para detectar o arquivo foto[a-z]\.zip em qualquer e-mail de entrada ou saída?

A. Use STRING.TCP para gravar uma assinatura que detecte o anexo. Procure algo semelhante a este: 

Engine STRING.TCP 
Enabled True 
Severity informational 
AlarmThrottle Summarize 
CapturePacket False 
Direction ToService 
MinHits 1 
Protocol =TCP 
RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo]
             [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] 
ResetAfterIdle 15 
ServicePorts 25 
StorageKey =STREAM

P. Como você configura o tempo limite do cliente FTP?

A. Execute estes comandos:

configure terminal
service host
networkParams
ftpTimeout 300 <timeout is in seconds>

P. Como você converte a hora de início e a hora de término no status de log para um formato legível?

A. Esta saída é uma representação decimal da hora atual desde a epoc UNIX. Use uma calculadora UNIX epoc, como a localizada no exit.gif UNIX Date/Time Calculator. Insira os 10 primeiros dígitos porque essa calculadora é granular a apenas segundos e o IDS armazena nanossegundos. Isso significa que os últimos nove dígitos foram removidos. A partir da hora de início nesta saída, 1084798479 = Seg 17 de maio 12:54:39 2004 (GMT) é o que você recebe.

Na CLI, insira iplog-status para receber esta saída:

"
Log ID:             138343946
IP Address:         xxx.xxx.xxx.xxx
Group:              0
Status:             completed
Start Time:         1084798479512524000
End Time:           1084798510136582000
Bytes Captured:     2833
Packets Captured:   14
"

P. O "IOException ao tentar obter o certificado: java.security.cert.CertificateExpiredException". é exibida a mensagem de erro. Como isso pode ser resolvido?

A. Para resolver essa mensagem de erro, faça login no AIP-SSM e emita o comando tls generate-key no modo EXEC privilegiado, como mostrado neste exemplo:


sensor#tls generate-key

Observação: essa resolução de usar o comando tls generate-key também resolve o problema de AIP-SSM não conseguir se conectar ao IME.

P. A "exceção de IOE: Conexão recusada:conectar. O servidor IME IME não está respondendo. Verifique se a mensagem de erro está em execução" é exibida enquanto adiciono IPS no IME. Como esse problema pode ser resolvido?

A. Para resolver esta mensagem de erro, escolha Painel de Controle > Ferramentas Admin > Serviços e reinicie os serviços IME.

P. A mensagem de erro could verify config username/password[IOEXception - connect timed out] é recebida quando eu adiciono um sensor IPS ao IME. Como esse problema pode ser resolvido?

A. Isso indica uma comunicação interrompida entre o sensor IME e o IPS. Certifique-se de que não haja nenhum software que bloqueie o SDEE.

P. A "Resposta do erro do servidor IME: Erro desconhecido (arquivo de log de verificação no diretório de log da instalação)" . é exibida a mensagem de erro. Como esse problema pode ser resolvido?

A. Para resolver essa mensagem de erro, verifique se o endereço IP correto é usado quando você adiciona IPS no IME e também verifique qualquer firewall de software que esteja em execução no computador IME, que pode bloquear a conexão.

P. O sensor IDS ou IPS (Intrusion Prevention System, sistema de prevenção de intrusão) pode enviar alertas por e-mail?

A. O sensor IDS não pode enviar alertas por e-mail sozinho. O Security Monitor quando usado com IDS pode enviar notificações por e-mail quando uma regra de evento é acionada pelo sensor.

Consulte Configurar Notificações por Email para obter mais informações sobre como configurar notificações por email com o Security Monitor.

O Cisco IPS Manager Express (IME) pode ser configurado para enviar a mensagem de notificação por e-mail (alertas) quando as regras de evento são disparadas pelos sensores Cisco IPS. Consulte o IPS 6.X e posterior: Notificações por e-mail usando o Exemplo de Configuração do IME para obter mais informações.

P. O erro: Não é possível comunicar com mainApp (getVersion). Entre em contato com o administrador do sistema. é exibida uma mensagem de erro quando tento me conectar ao meu sensor. Como esse problema pode ser resolvido?

A. Reinicialize o sensor para resolver esse problema.

P. O aviso: AVISO: Recursos insuficientes disponíveis para combinar todos os regex personalizados ativos no momento. Alguns alertas não serão disparados. Considere desativar assinaturas até que esta mensagem não ocorra mais. a mensagem de erro aparece ajustando a assinatura no meu sensor. Como esse problema pode ser resolvido?

A. Retire as assinaturas que não estão em uso para resolver esse problema e também reduza o número de assinaturas do cliente com regexes. Além disso, não se recomenda a utilização de * e + metacárteres em regex.

P. Por que ocorrem problemas de latência em sensores do Cisco Intrusion Prevention System (IPS)? Como esse problema pode ser resolvido?

A. O problema de latência pode ocorrer devido ao roteamento assimétrico. Tente desabilitar a assinatura 1330 para resolver esse problema.

P. É possível desabilitar o SSHv1 e deixar apenas o SSHv2 habilitado nos sensores do Cisco Intrusion Prevention System (IPS)?

A. No momento, não é possível desabilitar o SSHv1 e deixar somente o SSHv2 habilitado. O SSHv1 e o SSHv2 são ativados juntos e não podem ser desabilitados individualmente.

P. O erro: Ocorreu um erro no sensor durante a atualização, mensagem do sensor = A atualização requer 115000 KB em /usr/cids/idsRoot/var, há apenas 110443 KB disponíveis. é exibida quando eu atualizo o sensor para a versão 4.1(5). Como esse problema pode ser resolvido?

A. Essa mensagem de erro ocorre devido à memória insuficiente no sensor.

Conclua estas tarefas para resolver este problema:

  1. Efetue login na conta de serviço e se torne raiz
  2. Remova os seguintes diretórios conforme mostrado abaixo: 
    # rm -rf /usr/cids/idsRoot/var/updates/files/S69
# rm -rf /usr/cids/idsRoot/var/updates/files/common
# rm /usr/cids/idsRoot/var/virtualSensor/*
# rm /usr/cids/idsRoot/var/.tmp/*
  3. Agora tente atualizar o sensor. Consulte o bug da Cisco ID CSCsb81288 (somente clientes registrados) para obter mais informações.

P. Recebo a mensagem de erro mainApp[396] cplane/E Error - accept() call return -1 no log on ASA. Como esse erro pode ser resolvido?

A. A chamada mainApp[396] cplane/E Error - accept() retornou -1 mensagem de erro indica que o servidor Web não pode ler o arquivo e o programa accept() falhou, o que resulta em descritores de arquivo quando existem conexões TLS. Mas esse arquivo não é necessário para o comportamento normal. É inofensivo.

P. Como resolvo a tls/W errTransport WebSession::sessionTask TLS exceção de conexão: mensagem de erro de handshake incompleto?

A. Esta mensagem de erro indica que o certificado não é mais válido no módulo. Siga estas etapas para resolver o problema:

  1. Regenerar o certificado da CLI:

    1. Faça login na linha de comando do sensor.

    2. Emita o comando tls generate e pressione enter. Observe as impressões digitais exibidas.

  2. Receba o novo certificado no IME:

    1. Abra o IME e localize o nome do sensor na lista na página inicial.

    2. Clique com o botão direito do mouse no sensor e clique em Editar.

    3. Quando você acessar a tela Editar dispositivo, clique em OK. Ignore qualquer aviso sobre a impossibilidade de recuperar o tempo do sensor.

    4. Você receberá o novo certificado de segurança (o que acabou de gerar). Verifique se as impressões digitais correspondem e clique em Sim.

    5. Depois de alguns segundos, o sensor deve mostrar "Conectado" no Event Status novamente.

P. Quando tento fazer login no IPS, recebo esta mensagem de erro: errSystemError-ct-sensorAPP.450 não está respondendo, falha no clientpipe. Como eu posso solucionar esse erro?

A. Para resolver esse erro, use o comando reset para reinicializar o IPS.

P. O tempo no AIP-SSM difere do tempo no Cisco Adaptive Security Appliance (ASA). Como esse problema pode ser resolvido?

A. Para resolver esse problema, use o servidor NTP para sincronizar a hora no Cisco Adaptive Security Appliance(ASA) e no AIP-SSM.

Consulte Configuração de NTP em sensores IPS para obter mais informações.

P. Como posso aplicar vários sensores virtuais no AIP-SSM?

A. Os sensores virtuais no AIP-SSM não podem ser aplicados por interface porque o AIP-SSM tem apenas uma interface. Ao criar vários sensores virtuais, você deve atribuir essa interface a apenas um sensor virtual. Você não precisa designar uma interface para os outros sensores virtuais.

Depois de criar sensores virtuais, você deve mapeá-los para um contexto de segurança no Adaptive Security Appliance (ASA) usando o comando Allocation-ips. Você pode mapear vários contextos de segurança para vários sensores virtuais. Consulte a seção Atribuindo Sensores Virtuais aos Contextos do Adaptive Security Appliance de Configuração do AIP-SSM para obter mais informações.

P. Qual é o número máximo de sensores virtuais suportados pelo AIP-SSM?

A. Um número máximo de quatro sensores virtuais pode ser suportado.

P. Se eu usar SSH ou IDM para fazer login no IPS, será possível configurar o IPS 4240/IDSM/IDSM2 para validar os usuários administrativos em relação a um servidor RADIUS/TACACS+?

A. Não é possível com um servidor TACACS+, mas o RADIUS é suportado a partir da versão IPS 7.0.(4)E4. Consulte as seções Informações Novas e Alteradas e Restrições e Limitações das Notas de Versão do Cisco Intrusion Prevention System 7.0(4)E4 para obter mais informações. Consulte também IPS 7.X: Autenticação de login do usuário usando o ACS 5.X como exemplo de configuração do servidor Radius para uma configuração de exemplo.

P. Qual é o impacto da licença expirada na funcionalidade de IPS?

A. O único impacto que uma licença expirada tem no sensor é que ele interrompe as atualizações de assinatura.

P. As atualizações de assinatura de IPS têm impacto nos serviços ou na conectividade de rede?

A. Não. As atualizações de assinatura de IPS não têm impacto nos serviços ou na conectividade de rede.

P. Qual é a URL exata que preciso inserir para que o módulo IPS seja atualizado automaticamente com as assinaturas mais recentes?

A. O link necessário para permitir que o módulo IPS seja atualizado automaticamente com a assinatura mais recente é: https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl.

Você deve usar sua ID de usuário e senha da Cisco para concluir a atualização do módulo IPS.

Observação: na versão 6.x do código, as atualizações automáticas do Cisco.com não são suportadas. Você deve fazer o download manual dos arquivos de assinatura e aplicá-los ao sensor. Há uma função de atualização automática no código 6.x; no entanto, isso só é possível a partir de um servidor de arquivos local no qual os arquivos de assinatura também devem ser baixados manualmente.

P. O sensor IPS é vulnerável à vulnerabilidade do sequestro da sessão de encaminhamento de portas X11 ?

A. Não. Não é vulnerável por estes motivos:

  • O sensor não tem bibliotecas X11. Portanto, não há sessões para sequestrar.

  • O encaminhamento de portas X11 não está ativado na configuração SSH.

  • O IPv6 não está compilado no kernel do sensor. Isso é necessário para explorar a vulnerabilidade.

P. Por que o AIP-SSM não mostra nenhum registro quando o ASA mostra muitos registros de aviso e ataque?

A. Isso acontece porque quando o ASA bloqueia algo, ele não é passado ao IPS para inspeção duplicada. Portanto, você não pode ver registros duplicados no ASA e no IPS.

P. Depois que um usuário implanta o conjunto de assinaturas S518, a mensagem de erro "invalidValue:Editing string-xl-tcp sig XXXX NÃO tem efeito nesta versão" ocorre. Por quê?

A. Esta é a mensagem de erro completa:

evError: eventId=1284051856322985135 vendor=Cisco severity=warning
  originator:
    hostId: vbintestids03
    appName: sensorApp
    appInstanceId: 700
  time: offset=-240 timeZone=GMT-05:00 1286305251136551000
errorMessage: name=errWarning invalidValue:Editing string-xl-tcp 
sig 21619 has NO effect

Esse problema surge porque o mecanismo string-xl-tcp ou string-tcp-xl não é suportado no hardware. Para obter mais detalhes, consulte as Notas de versão do IPS Engine E4.

P. Quando atualizo automaticamente as assinaturas em um ASA-SSM-10 com o recurso de atualização automática, recebo esta mensagem de erro: Nenhum pacote de atualização automática instalável encontrado no status do servidor=true. Como resolvo esse problema?

A. Esta saída mostra a mensagem de erro completa:

autoUpgradeServerCheck:   
    uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl  
    packageFileName:   
    result: No installable auto update package found on server  status=true

Esse erro foi gerado e as assinaturas não são atualizadas automaticamente porque a definição de assinatura é atualizada depois que o S479 exige o mecanismo E4. Para resolver isso, é necessário atualizar manualmente o Sensor para 7.0(2)E4.

Observação: o sensor não pode atualizar-se automaticamente para E4 porque requer 7.0(2) e uma reinicialização do sensor.

P. O recurso de atualização automática no módulo IPS 5.0 para NIDS não está funcionando. Como resolvo esse problema?

A. Esta saída mostra a mensagem de erro completa:

autoUpgradeServerCheck:   
    uri: ftp://hfcu-inet01@192.168.1.12//ips-update/  
    packageFileName:   
    result: No installable auto update package found on server  status=true

Esse problema ocorre devido a um estilo de listagem de diretório incorreto com o servidor FTP. Para resolver isso, mude para as listagens de diretório no estilo UNIX a partir das listagens de diretório no estilo MS-DOS existentes.

Para modificar as configurações de listagem de diretório, selecione Iniciar > Arquivos de Programas > Ferramentas Administrativas para abrir o Gerenciador de Serviços de Internet. Em seguida, vá até a guia Home Diretory (Diretório inicial) e altere o estilo de listagem de diretório de MS-DOS para UNIX.

P. O IPS-4255 recebe a mensagem de erro SensorApp falha em TcpRootNode::expireNow() durante uma atualização. Como eu resolvo esse problema?

A. Esse problema é devido à falha do mecanismo de análise e é abordado no bug da Cisco ID CSCtb39179 (somente clientes registrados) . Atualize o sensor para a versão 7.0(4)E4 para corrigir esse problema.

P. Quando tento executar uma atualização de licença após adquirir uma nova licença, o dispositivo relata este erro: "Falha ao atualizar licença no sensor." "errExpiredLicense-A nova data de vencimento da licença é anterior à data de vencimento da licença atual." Como resolvo esse problema?

A. Esse problema ocorre quando o arquivo de licença recebido é inválido. Para obter um arquivo de licença válido, faça login no Cisco.com como um usuário registrado e faça o download do arquivo de licença apropriado. Depois de obter o arquivo de licença válido, instale-o no sensor.

Se você instalar o novo arquivo de licença e ainda receber um erro, pode haver um problema com o arquivo de licença inválido existente. Para resolver esse problema, faça o seguinte para excluir o arquivo de licença inválido existente:

  1. Efetue login na conta de serviço digitando seu nome de usuário da conta de serviço.

    Se você não tiver uma conta de serviço, abra a linha de comando do IPS, entre no modo de configuração e digite este comando

    senha do serviço privilegiado nome de usuário senha 

    ciscoasa# session 1
Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.
login:
Password:

IPS#
IPS#conf t
IPS(config)# username name privilege service password password

  2. Depois de iniciar sessão na sua conta de serviço, introduza o comando su para ir para raiz (utilizando a mesma senha da conta de serviço).

  3. Exclua os arquivos no diretório /usr/cids/idsRoot/shared/.

    Observação: não exclua o arquivo host.conf.

    1. Insira o comando cd /usr/cids/idsRoot/shared/ para ir para o diretório compartilhado.

    2. Insira o comando ls para exibir os arquivos no diretório.

    3. Insira o comando rm file_name para remover os arquivos.

      Observação: não exclua o arquivo host.conf.

  4. Digite o comando /etc/init.d/cids restart para reiniciar o sensor.

  5. Instale a nova licença.

Um bug da Cisco foi arquivado para tratar desse comportamento. Para obter mais informações, consulte CSCtg76339 (somente clientes registrados) .

P. O que faz a mensagem de erro: O IpLog 1712041197 terminou cedo devido à falta de manipuladores de arquivos. name=ErrLimitExceeded mensagem de erro significa? Como eu resolvo esse problema?

A. Esse erro é causado por uma quantidade excessiva de pacotes no registro IP. Desative o recurso de registro de IP para resolver esse problema. O registro IP destina-se somente à solução de problemas; A Cisco recomenda que você não o habilite para todas as assinaturas.

P. Recebo este erro quando atualizo o sensor do s550 para o s551: Não é possível analisar a configuração atual para o componente "SignatureDefinition" e a instância "sig0". Como resolvo esse problema?

A. A modificação da assinatura 23899.0 causa esse problema. Consulte o bug da Cisco ID CSCtn84552 (somente clientes registrados) para obter mais informações.

P. Recebo este erro no sensor: Erro: o autoUpdate selecionou com êxito um pacote do serviço localizador cisco.com, no entanto, o download do pacote falhou: Falha ao receber a resposta HTTP. Como resolvo esse problema?

A. Verifique se há filtragem de URL, filtragem de conteúdo ou um servidor proxy presente que está bloqueando a execução do AutoUpdate. Verifique se o AutoUpdate não está sendo bloqueado e se as credenciais de usuário fornecidas estão corretas.

P. Recebo esta mensagem de erro XML no sensor IPS que é executado com a versão 6.2(3)E4: mensagem de erro: O software IPS tentou gravar dados XML inválidos para (token). Caracteres XML inválidos foram substituídos por '*'. Como resolvo esse problema?

A. Este comportamento foi abordado pela ID de bug da Cisco CSCsq50873 (somente clientes registrados) . Esse é um problema superficial e não cria nenhuma sobrecarga operacional, exceto a quantidade excessiva de logs sendo recebidos. Uma solução temporária é remover a configuração relacionada ao NTP no sensor. Para uma solução permanente, faça o upgrade para uma versão na qual esse bug seja corrigido.

P. Por que a estação de trabalho IME faz conexões constantes com servidores gerenciados apesar do cliente ser fechado?

A. O IME funciona como dois serviços Windows e o cliente GUI. Quando o cliente é fechado, os dois serviços do Windows (Cisco IPS Manager Express e MySQL-IME) continuam a executar e coletar eventos dos sensores gerenciados e armazená-los no banco de dados local do MySQL; isso permite que relatórios históricos ocorram.

O cliente IME deve abrir uma única assinatura SDEE no sensor gerenciado e reutilizá-la para atividades de recuperação de eventos subsequentes. A conectividade constante da estação de trabalho IME com os sensores gerenciados é um comportamento esperado.

P. O módulo AIP-SSM pode ser usado como destino de SPAN?

A. Não. O módulo AIP-SSM não pode ser usado como destino de SPAN, pois é usado somente para monitorar o tráfego que flui pela interface ASA.

P. Por que o alto uso da CPU é observado depois que o IPS é atualizado para o mecanismo E3?

A. Com as atualizações do mecanismo E3, o IPS usa um algoritmo diferente para gerenciar seu tempo ocioso e gasta mais tempo pesquisando pacotes para reduzir a latência. Esse aumento na verificação causa um aumento correspondente no uso da CPU. A maneira correta de medir a CPU em E3 não é pela utilização da CPU, mas pela porcentagem de carga do pacote que mostra a utilização correta da CPU.

P. Por que o LED de status de integridade está VERMELHO intermitentemente no meu dispositivo IPS?

A. Isso pode ocorrer devido a um certificado incorreto na estação de gerenciamento remoto, executando software como CS-MARS, CSM, IEV, VMS-IDS/IPSMC, etc. Para resolver esse problema, faça o seguinte:

  1. Aplique o certificado TLS do sensor na estação de gerenciamento remoto.

  2. Configure um servidor DNS válido.

P. Como o IPS pode ser impedido de retardar o tráfego do HTTP enquanto atravessa suas interfaces?

A. Configurar o sensor para funcionar no modo assimétrico resolverá o problema. Para colocar o sensor na proteção do modo assimétrico, faça o seguinte:

  1. Vá para Configuration > Policies > IPS policies.

  2. Clique duas vezes em sensor virtual.

  3. Vá para opções avançadas.

  4. No modo de normalização, selecione Proteção do modo assimétrico.

  5. Click OK.

  6. Reinicie a unidade para que as alterações entrem em vigor.

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos