Este documento explica o procedimento usado para configurar um Cisco Secure Intrusion Detection System (IDS) Sensor no Cisco Secure Policy Manager (CSPM). Este documento pressupõe que você instalou o CSPM versão 2.3.1 no seu computador. A versão "I" permite o gerenciamento de dispositivos IDS (Sensores de ferramenta, roteadores Cisco IOS® ou Blades IDS) em um Switch Cisco Catalyst® 6000. Este documento também supõe que os parâmetros do correio IDS estão definidos corretamente. Eles incluem HOSTID, ORGID, HOSTNAME e ORGNAME. Observe que, para o host CSPM se comunicar com um Sensor, o ORGID e o ORGNAME devem corresponder ao que está definido no Sensor.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no CSPM 2.3.I e posteriores.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Estas seções explicam o processo usado para configurar um sensor IDS no CSPM.
Inicie o CSPM e faça login. Um molde em branco aparece (primeira inicialização) permitindo definir sua rede.
Essas três definições são necessárias na topologia do CSPM para IDS.
Defina a rede em que a interface de controle do Sensor reside e a rede em que o host de CSPM reside. Se estiverem na mesma sub-rede, somente uma rede precisa ser definida. Defina essa rede primeiro.
Defina o host CSPM em sua rede. Sem a definição de host do CSPM, o Sensor não pode ser gerenciado.
Defina o Sensor na sua respectiva rede.
Conclua estes passos:
Clique com o botão direito no ícone de Internet na topologia e selecione New > Network para criar uma nova rede.
No lado direito do painel Network, adicione o nome da nova rede, o endereço da rede e a máscara de rede que será usada.
Clique no botão IP Address e digite o endereço IP usado pela rede para alcançar a Internet.
Normalmente, é o gateway padrão da rede.
Observação: quando você gerencia sensores, o endereço do gateway não precisa necessariamente estar correto, pois o sensor não recebe essas informações de gateway padrão. Ele já deve estar definido no sensor.
Click OK. A rede é adicionada ao mapa de topologia sem erros.
Use este procedimento para adicionar o host CSPM.
Na topologia de rede, clique com o botão direito do mouse na rede que acabou de adicionar e selecione Novo > Host.
O CSPM apresenta uma tela semelhante a esta. Em caso negativo, a rede que você acabou de definir não será a rede na qual o host CSPM está localizado. Verifique o endereço IP no host CSPM outra vez.
Clique em Sim para instalar o host CSPM na topologia.
Verifique se as informações na tela Geral para o host CSPM estão ok.
Clique em OK na tela General do host CSPM.
Use este procedimento para adicionar o dispositivo Sensor.
Clique com o botão direito do mouse na rede em que seu sensor reside e selecione Assistentes > Adicionar sensor.
Observação: se o host CSPM e a interface de controle do Sensor não estiverem na mesma rede, defina a rede em que o Sensor reside.
Digite os parâmetros corretos de postoffice para o Sensor.
Clique em Check here (Verificar aqui) para verificar a caixa de endereço do Sensor.
Observação: se esta for a primeira vez que você estiver configurando este Sensor, você não deseja capturar a configuração do Sensor. Se você já configurou esse Sensor em outro lugar por meio de um direcionador UNIX ou outro host CSPM e fez alterações de configuração nas assinaturas do Sensor, então você deseja capturar a configuração do Sensor.
Clique em Next (Avançar) para definir as versões de assinatura do Sensor. Você também pode emitir o comando nrvers para verificar isso no Sensor.
Observação: se o CSPM não tiver a versão correta do Sensor que você está executando no Sensor, atualize as assinaturas no host do CSPM. Consulte Download do software (somente para clientes registrados) para obter atualizações.
Clique no botão Avançar para continuar.
Clique em Finish para concluir a instalação do Sensor na topologia.
A partir do menu principal do CSPM, selecione File > Save and Update para compilar as informações digitadas na topologia no CSPM. Observe que essa etapa é necessária para iniciar o protocolo postoffice no host CSPM.
Verifique se tudo funciona fazendo login no seu sensor como usuário do netrangr.
Execute o comando nrconns.
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >
Observação: se o host Sensor e CSPM não estiverem se comunicando, uma saída semelhante a esta aparecerá em vez disso:
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr
Se for esse o caso, obtenha um rastreamento de farejador para ver se os dois lados estão enviando pacotes UDP 45000. Os dispositivos IDS utilizam UDP 45000 para se comunicarem entre si. Para testar isso no Sensor, su to root e (dependendo do Sensor que você tiver) execute snoop -d iprb1 port 45000 (para um Sensor IDS 4210) e snoop -d iprb0 port 45000 (para qualquer outro modelo de Sensor ou).
Use <control-c> para sair de uma sessão de snoop.
Esta saída aparece se não houver comunicação entre o Sensor e o CSPM:
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
Na saída acima, o sensor envia pacotes UDP 45000, mas não recebe nenhum. Uma configuração correta produz uma saída semelhante a esta:
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
Na saída acima, o tráfego UDP 45000 vai em ambas as direções.
Se os pacotes UDP 45000 fluem em ambas as direções e a saída de nrconns no sensor ainda disser que não há conexão estabelecida, os parâmetros de postoffice no sensor e no host CSPM não coincidem.
Para verificar os parâmetros de agência no host CSPM manualmente:
Use o Windows Explorer para navegar até onde o CSPM está instalado na máquina NT.
Edite os arquivos de host, rota e organização com Gravação ou Wordpad (não use o Bloco de Notas porque a formatação será corrompida).
Verifique se esses arquivos parecem corretos para sua instalação. Se algum dos valores não estiver correto, edite-os e reinicie o computador NT usando estas etapas:
Clique no ícone CSPM na topologia de rede.
Clique na guia Distribuição de política para inserir os parâmetros do correio.
Salve e atualize suas alterações.
Reinicialize o computador do NT.
Depois que a configuração for salva no CSPM, configure o sensor. Para fazer isso, primeiro defina o Sensor para escrever os alarmes que ele vê em seu próprio log. Em seguida, defina o Sensor para "farejar" na interface correta.
Use este procedimento para gravar alarmes no registro.
Clique na caixa Generate audit event log files para solicitar que o sensor envie os alarmes para os registros locais.
Ele também envia alarmes para a caixa CSPM por padrão depois que você envia uma configuração abaixo dela.
Clique em OK para continuar.
Use este procedimento para definir o sensor como "Sniff".
Selecione o sensor na topologia CSPM e clique na guia Sensing.
Defina o dispositivo de captura de pacotes:
iprb0 - para um sensor IDS 4210
spwr0 - para qualquer outro modelo de sensor
Clique em OK para continuar.
Clique no ícone Update na barra de menus do CSPM para atualizar o CSPM com as informações.
Observação: se tudo der certo, uma tela semelhante a esta será exibida. Observe que não há nenhum erro em vermelho. Os avisos amarelos estão normalmente corretos.
Selecione o sensor na topologia da rede e clique na guia Command para lhe enviar a configuração de atualização.
Clique no botão Aprovar agora para enviar a configuração ao sensor.
O painel Status exibe a mensagem "Carregar <#> concluído". Isso indica um processo de transferência válido e completo. O sensor foi atualizado e agora deve ser executado normalmente.
Se o sensor não estiver funcionando corretamente, volte para ele e verifique a saída do comando nrconns para certificar-se de que a conexão entre o host CSPM e o sensor esteja estabelecida.
Depois que isso estiver concluído, você pode procurar por alarmes que o Sensor envia para o host de CSPM no Event Viewer. Para exibir o visualizador de eventos, no menu principal do CSPM, selecione Ferramentas > Exibir eventos do sensor > Banco de dados.
Clique em OK para exibir a janela do banco de dados de eventos. A tela varia dependendo dos alarmes que você está recebendo.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
19-Jan-2006 |
Versão inicial |