Configurando um Cisco Secure IDS Sensor em CSPM

Opções de download

  • PDF     (690.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (781.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:19 de janeiro de 2006
ID do documento:6117

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento explica o procedimento usado para configurar um Cisco Secure Intrusion Detection System (IDS) Sensor no Cisco Secure Policy Manager (CSPM). Este documento pressupõe que você instalou o CSPM versão 2.3.1 no seu computador. A versão "I" permite o gerenciamento de dispositivos IDS (Sensores de ferramenta, roteadores Cisco IOS® ou Blades IDS) em um Switch Cisco Catalyst® 6000. Este documento também supõe que os parâmetros do correio IDS estão definidos corretamente. Eles incluem HOSTID, ORGID, HOSTNAME e ORGNAME. Observe que, para o host CSPM se comunicar com um Sensor, o ORGID e o ORGNAME devem corresponder ao que está definido no Sensor.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no CSPM 2.3.I e posteriores.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configuração

Estas seções explicam o processo usado para configurar um sensor IDS no CSPM.

Inicie o CSPM e faça login. Um molde em branco aparece (primeira inicialização) permitindo definir sua rede.

ids2cspm_6117_a.gif

Essas três definições são necessárias na topologia do CSPM para IDS.

  1. Defina a rede em que a interface de controle do Sensor reside e a rede em que o host de CSPM reside. Se estiverem na mesma sub-rede, somente uma rede precisa ser definida. Defina essa rede primeiro.

  2. Defina o host CSPM em sua rede. Sem a definição de host do CSPM, o Sensor não pode ser gerenciado.

  3. Defina o Sensor na sua respectiva rede.

Definir a rede na qual o host CSPM reside

Conclua estes passos:

  1. Clique com o botão direito no ícone de Internet na topologia e selecione New > Network para criar uma nova rede.

    ids2cspm_6117_b.gif

  2. No lado direito do painel Network, adicione o nome da nova rede, o endereço da rede e a máscara de rede que será usada.

    ids2cspm_6117_c.gif

  3. Clique no botão IP Address e digite o endereço IP usado pela rede para alcançar a Internet.

    Normalmente, é o gateway padrão da rede.

    Observação: quando você gerencia sensores, o endereço do gateway não precisa necessariamente estar correto, pois o sensor não recebe essas informações de gateway padrão. Ele já deve estar definido no sensor.

  4. Click OK. A rede é adicionada ao mapa de topologia sem erros.

    ids2cspm_6117_d.gif

Adicionar o host de CSMP

Use este procedimento para adicionar o host CSPM.

  1. Na topologia de rede, clique com o botão direito do mouse na rede que acabou de adicionar e selecione Novo > Host.

    O CSPM apresenta uma tela semelhante a esta. Em caso negativo, a rede que você acabou de definir não será a rede na qual o host CSPM está localizado. Verifique o endereço IP no host CSPM outra vez.

    ids2cspm_6117_e.gif

  2. Clique em Sim para instalar o host CSPM na topologia.

  3. Verifique se as informações na tela Geral para o host CSPM estão ok.

  4. Clique em OK na tela General do host CSPM.

Adicione o dispositivo sensor

Use este procedimento para adicionar o dispositivo Sensor.

  1. Clique com o botão direito do mouse na rede em que seu sensor reside e selecione Assistentes > Adicionar sensor.

    Observação: se o host CSPM e a interface de controle do Sensor não estiverem na mesma rede, defina a rede em que o Sensor reside.

    ids2cspm_6117_f.gif

  2. Digite os parâmetros corretos de postoffice para o Sensor.

    ids2cspm_6117_g.gif

  3. Clique em Check here (Verificar aqui) para verificar a caixa de endereço do Sensor.

    Observação: se esta for a primeira vez que você estiver configurando este Sensor, você não deseja capturar a configuração do Sensor. Se você já configurou esse Sensor em outro lugar por meio de um direcionador UNIX ou outro host CSPM e fez alterações de configuração nas assinaturas do Sensor, então você deseja capturar a configuração do Sensor.

  4. Clique em Next (Avançar) para definir as versões de assinatura do Sensor. Você também pode emitir o comando nrvers para verificar isso no Sensor.

    ids2cspm_6117_h.gif

    Observação: se o CSPM não tiver a versão correta do Sensor que você está executando no Sensor, atualize as assinaturas no host do CSPM. Consulte Download do software (somente para clientes registrados) para obter atualizações.

  5. Clique no botão Avançar para continuar.

  6. Clique em Finish para concluir a instalação do Sensor na topologia.

  7. A partir do menu principal do CSPM, selecione File > Save and Update para compilar as informações digitadas na topologia no CSPM. Observe que essa etapa é necessária para iniciar o protocolo postoffice no host CSPM.

  8. Verifique se tudo funciona fazendo login no seu sensor como usuário do netrangr.

  9. Execute o comando nrconns. 

    >nrconns

Connection Status for gacy.rtp

               cspm.rtp Connection 1: 172.18.124.106   45000 1 
               [Established]  sto:0004 with Version 1

netrangr@gacy:/usr/nr

>

    Observação: se o host Sensor e CSPM não estiverem se comunicando, uma saída semelhante a esta aparecerá em vez disso: 

    netrangr@gacy:/usr/nr

>nrconns

Connection Status for gacy.rtp

          insane.rtp Connection 1: 172.18.124.194   45000 1 [SynSent]      
          sto:5000  syn NOT rcvd!

               

netrangr@gacy:/usr/nr

    Se for esse o caso, obtenha um rastreamento de farejador para ver se os dois lados estão enviando pacotes UDP 45000. Os dispositivos IDS utilizam UDP 45000 para se comunicarem entre si. Para testar isso no Sensor, su to root e (dependendo do Sensor que você tiver) execute snoop -d iprb1 port 45000 (para um Sensor IDS 4210) e snoop -d iprb0 port 45000 (para qualquer outro modelo de Sensor ou).

    Use <control-c> para sair de uma sessão de snoop.

    Esta saída aparece se não houver comunicação entre o Sensor e o CSPM: 

    netrangr@gacy:/usr/nr

>su -

Password:

Sun Microsystems Inc.   SunOS 5.8       Generic February 2000

# snoop -d spwr0 port 45000

Using device /dev/spwr (promiscuous mode)

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

^C#

    Na saída acima, o sensor envia pacotes UDP 45000, mas não recebe nenhum. Uma configuração correta produz uma saída semelhante a esta: 

    # snoop -d spwr0 port 45000

Using device /dev/iprb (promiscuous mode)

172.18.124.106 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56

172.18.124.142 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56

    Na saída acima, o tráfego UDP 45000 vai em ambas as direções.

    Se os pacotes UDP 45000 fluem em ambas as direções e a saída de nrconns no sensor ainda disser que não há conexão estabelecida, os parâmetros de postoffice no sensor e no host CSPM não coincidem.

    Para verificar os parâmetros de agência no host CSPM manualmente:

    1. Use o Windows Explorer para navegar até onde o CSPM está instalado na máquina NT.

      ids2cspm_6117_i.gif

    2. Edite os arquivos de host, rota e organização com Gravação ou Wordpad (não use o Bloco de Notas porque a formatação será corrompida).

    3. Verifique se esses arquivos parecem corretos para sua instalação. Se algum dos valores não estiver correto, edite-os e reinicie o computador NT usando estas etapas:

      1. Clique no ícone CSPM na topologia de rede.

      2. Clique na guia Distribuição de política para inserir os parâmetros do correio.

      3. Salve e atualize suas alterações.

      4. Reinicialize o computador do NT.

        ids2cspm_6117_j.gif

Configure o sensor

Depois que a configuração for salva no CSPM, configure o sensor. Para fazer isso, primeiro defina o Sensor para escrever os alarmes que ele vê em seu próprio log. Em seguida, defina o Sensor para "farejar" na interface correta.

Gravar alarmes no registro

Use este procedimento para gravar alarmes no registro.

  1. Clique na caixa Generate audit event log files para solicitar que o sensor envie os alarmes para os registros locais.

    Ele também envia alarmes para a caixa CSPM por padrão depois que você envia uma configuração abaixo dela.

    ids2cspm_6117_k.gif

  2. Clique em OK para continuar.

Defina o sensor como "Sniff" (Cheirar)

Use este procedimento para definir o sensor como "Sniff".

  1. Selecione o sensor na topologia CSPM e clique na guia Sensing.

  2. Defina o dispositivo de captura de pacotes:

    • iprb0 - para um sensor IDS 4210

    • spwr0 - para qualquer outro modelo de sensor

    ids2cspm_6117_l.gif

  3. Clique em OK para continuar.

  4. Clique no ícone Update na barra de menus do CSPM para atualizar o CSPM com as informações.

    Observação: se tudo der certo, uma tela semelhante a esta será exibida. Observe que não há nenhum erro em vermelho. Os avisos amarelos estão normalmente corretos.

    ids2cspm_6117_m.gif

  5. Selecione o sensor na topologia da rede e clique na guia Command para lhe enviar a configuração de atualização.

    ids2cspm_6117_n.gif

  6. Clique no botão Aprovar agora para enviar a configuração ao sensor.

    ids2cspm_6117_o.gif

    O painel Status exibe a mensagem "Carregar <#> concluído". Isso indica um processo de transferência válido e completo. O sensor foi atualizado e agora deve ser executado normalmente.

    Se o sensor não estiver funcionando corretamente, volte para ele e verifique a saída do comando nrconns para certificar-se de que a conexão entre o host CSPM e o sensor esteja estabelecida.

    ids2cspm_6117_p.gif

    Depois que isso estiver concluído, você pode procurar por alarmes que o Sensor envia para o host de CSPM no Event Viewer. Para exibir o visualizador de eventos, no menu principal do CSPM, selecione Ferramentas > Exibir eventos do sensor > Banco de dados.

    ids2cspm_6117_q.gif

    Clique em OK para exibir a janela do banco de dados de eventos. A tela varia dependendo dos alarmes que você está recebendo.

    ids2cspm_6117_r.gif

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
19-Jan-2006
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos