本文档包含有关思科安全入侵检测系统(IDS)(以前称为NetRanger)3.1及更低版本的常见问题(FAQ)。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
答:有关Cisco Secure IDS的详细信息,请参阅整套产品文档。
答:您必须分别升级传感器和管理平台签名。请注意,管理软件无法从传感器获取签名,因此也必须更新它。从思科安全下载(仅限注册客户)下载每个应用的最新签名更新文件。 位于同一位置的自述文件包含有关升级过程的说明。
答:在UNIX IDS独立传感器和IDS管理软件上,用户的默认密码是“攻击”,对于netrangr和root。当您发出su命令以成为根用户时,默认密码为“attack”。 在入侵检测系统模块(IDSM)刀片上,用户名ciscoID的默认密码为“攻击”。
答:您需要本地FTP服务器,以便上传配置。
- 在刀片上的诊断模式下输入此命令。
report systemstatus siteuser dir - 当系统询问“Continue generating the System Report?(继续生成系统报告?)”时,键入y以继续。
- 在系统提示时键入指定用户的FTP密码。当流程完成时,您会收到一条消息,指出流程是否失败或文件是否已发送。
A.安装/更新日志可在以下位置找到:
指挥交换机安装日志位于/var/adm/nrInstall.log中。
传感器服务包更新日志位于/usr/nr/sp-update/中。
签名更新日志位于/usr/nr/sig-update/中。
A. IDS仅适用于PIX 6.0及更高版本。签名包含在系统日志消息400000到400051中,称为思科安全IDS签名消息。有关每个签名的详细信息,请参阅PIX系统日志消息文档。
答:注册Cisco IDS活动更新通知,以便接收与Cisco Secure IDS相关的产品新闻的电子邮件警报。
答:在版本3.1之前,管理选项是使用Cisco Secure Policy Manager(CSPM)或UNIX Director。两者之间的主要区别是,CSPM在Windows服务器上作为独立应用程序运行,而UNIX Director在UNIX Solaris服务器上的HP OpenView上运行。使用IDS 3.1,传感器也可以通过安装在PC上的IDS事件查看器(IEV)或使用IDS设备管理器(3.1版传感器的一部分)进行管理。在设置传感器后,默认情况下使用安全套接字层(SSL)启用设备管理器。
答:SDK软件对公众不可用。
A. 4.0版提供了几个新功能。最引人注目的新功能是类似于Cisco IOS®的命令行界面(CLI)。
答:不支持在3.x和4.0代码中硬设置速度/双工,并且功能请求存在Bug(Cisco Bug ID CSCdy43054(仅限注册客户))。 5.0代码中提供该功能,现在在“配置接口”中提供。
答:客户可以从Cisco安全下载(仅限注册客户)下载版本3.0的更新文件。 安装软件更新的方式与2.5版中安装Service Pack和签名更新的方式相同。Cisco IDS传感器配置说明3.0版中对此过程进行了详细说明。
答:3.0升级文件可以从Cisco安全下载(仅注册客户)下载,但此文件无法更新2.5之前的版本。您必须使用产品升级工具(仅注册客户)提供的升级/恢复光盘,才能从软件版本2.2升级到3.0.此CD的部件号为IDS-SW-U。
注意:您必须拥有有效的支持合同才能订购升级/恢复CD。
A.验证您使用的是受支持的键盘和显示器。某些品牌和型号与Cisco Secure IDS不兼容,导致IDS传感器无法正常启动。有关特定品牌的详细信息,请参阅Cisco Secure IDS设备启动失败。
答:这些文件中的每个文件都包含一组特定的软件更新或添加,如此处介绍的命名约定所示。
IDS传感器设备软件的服务包更新包含对IDS传感器核心应用软件的改进以及漏洞修复。例如,名为IDSk9-sp-3.0-5-S17.bin的文件包括软件版本3.0(5)的更新以及签名集编号17。
签名更新文件仅包含签名的更新(攻击指纹)。 例如,名为IDSk9-sig-3.0-5-S18.bin的文件包含3.0(5)传感器软件的签名集编号18。
A.以用户netrangr身份登录到传感器,然后执行以下命令:
nrgetbulk
您应收到类似于“<IP_address>Active”的响应,该响应显示用于阻止攻击的分流设备的IP地址。此输出显示命令语法和预期响应的示例:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active Success您还可以登录路由器并发出who命令来查看传感器是否已登录。
答:此错误消息表示传感器上/usr/nr/etc/routes和/或/usr/nr/etc/hosts文件存在潜在问题。.../routes文件定义传感器和指挥交换机之间的后台通信。.../hosts文件定义传感器和控制器的名称和IP地址。
您也可以以用户root身份登录,运行sysconfig-sensor命令,然后再次输入IDS Communications Infrastructure信息。
A.有关此过程的详细信息,请参阅复制要查看的IP日志文件。
答: Configd是一个守护程序,用于处理2.2.x代码库中UNIX控制器和传感器上的所有命令。在2.5和3.0代码库中,此功能已被吸收到其他守护程序中,且configd守护程序不再存在。
A.编辑传感器上的/usr/nr/etc/daemons文件,以确保nr.packetd在守护程序列表中。然后停止并启动服务。
A.顶部的控制接口为iprb1:,底部的嗅探接口为iprb0:。
答:ifconfig命令应仅显示控制接口。传感器仍使用另一个接口(嗅探接口),但用户不应看到它。如果需要查看此接口,请以root用户身份登录并发出ifconfig -a 命令以确定接口名称。发出ifconfig <interface> plumb命令以检查特定接口的状态。
答:不必对传感器上的接口速度进行硬编码,思科技术支持不支持这种方法。如果交换机设置为自动协商,则接口会与所连接的交换机协商速度。从网络到传感器的流量是单向的(即传感器接收的流量)。 因此,如果交换机显示已协商100个半双工(假设交换机端口为100 M),则通常就足够了。
答:是,但您应将Director软件升级到2.2.3或更高版本。注册客户可以从思科安全下载(仅限注册客户)下载这些文件。
答:发出cat /usr/nr/VERSION命令,并检查输出包含的版本号。
注意: Director上nrvers命令的输出告诉您在Director上运行的守护程序的版本,但并不告诉您Director软件本身的版本。
A.以用户netrangr身份登录并执行脚本/usr/nr/bin/director/nrCollectInfo,以将配置信息发送到名为/usr/nr/var/tmp/Report_For_Director.html的文件。
答:如果IDS Director泛洪错误且无法显示所有错误,它会开始缓冲到文件。停止IDS守护程序并退出已打开以删除文件的所有OpenView映射。删除文件/usr/nr/var/nrDirmap.buffer.default,然后重新启动IDS守护程序和OpenView映射。
答:在2.2.2之前的IDS版本中,最简单的操作是擦除OpenView数据库。数据库位于/var/opt/OV/share/databases/openview中。完成以下步骤以删除OpenView数据库。
- 使用ovstop命令关闭所有打开的OpenView映射,然后使用nrstop命令停止IDS服务。
- 以用户根用户身份登录,并发出/usr/nr/bin/director/nrDeleteOVwDb命令。
- 删除/usr/nr/var目录中的所有“error.*”文件(例如errors.configd)。
- 使用nrstart命令重新启动服务,然后使用ovstart命令重新启动OpenView。
注意:在Director版本2.2.2中,只能删除OpenView数据库的IDS部分,而不是整个数据库。《IDS Director配置指南》中介绍了此过程。
A.执行此命令。
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses确保用户netrangr拥有文件,然后重新启动IDS服务。
答:出现此问题是因为nrConfigure在Director的守护程序文件中看到packetd进程(它不应看到)。 当nrConfigure查询指挥交换机的版本时,就像它是传感器一样,指挥交换机无法用传感器版本做出响应。
请完成以下步骤以解决此问题。
- 编辑/usr/nr/etc/daemons文件并删除nr.packetd、nr.sensord和nr.managed的条目,因为这些进程应仅在传感器上运行。
- 使用nrstop命令停止服务,然后使用nrstart命令重新启动服务。
- 确保nrConfigure已关闭。
- 使用ovw命令启动OpenView。
- 选择Security > Advanced > nrConfigure DB > Delete以删除损坏的nrConfigure数据库。
- 当询问是以继续时,输入yes。
- 在OpenView主窗口中突出显示Director和所有传感器。
- 选择Security > Advanced > nrConfigure DB > Create以创建新的nrConfigure数据库,该数据库使用计算机的当前配置版本。
答:在UNIX Director上运行IDS应用程序的用户也可以在OpenView上运行其他应用程序。这并不建议,但在某些情况下是无法避免的。问题是,默认情况下,每个OpenView映射都启用nrdirmap,当其他应用程序在OpenView上运行时,这是不理想的。
在UNIX Director上完成以下步骤以更改默认值,以便您可以选择在其上启用了nrdirmap的映射。
- 以用户netrangr身份登录。
- 键入cd $OV_REGISTRATION/C。(OV_REGISTRATION是环境变量的一部分。通常路径为/etc/opt/OV/share/registration/C。)
- 键入su root。
- 编辑nrdirmap文件并更改“命令”行,如以下输出所示:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- 保存nrdirmap文件。
- 回收OpenView。现在,当使用ovw命令提出映射时,键入ps -ef | grep dirmap应能产生与此处所示类似的输出。使用 — d交换机记录nrdirmap。
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d现在,在OpenView中创建的新映射默认情况下未启用nrdirmap。如果要创建安装了nrdirmap的映射,必须从OpenView GUI中执行,如本步骤所述。
- 从OpenView主菜单中,选择Map > New,然后输入新映射的名称。
- 在可配置的应用程序下,您应该看到NetRanger/Director。选择NetRanger/Director,然后单击Configure For this Map。
- 对于“是否应为此映射启用nrdirmap?”选项,如果要启用nrdirmap,请选择True。
- 选择“验证”,然后单击“确定”。
A. Director版本2.2.3中的严重性级别已更改为仅支持范围1到5。
答:目前CSPM 2.3i版是能够管理IDS传感器的版本,而CSPM 3.0则不能。如果使用CSPM管理传感器和其他思科安全设备(如PIX、路由器),则必须在两台单独的Windows服务器上安装两个不同的CSPM版本(2.3i和3.x)。您可以使用每台服务器管理相应的设备:CSPM 2.3i(用于传感器)和CSPM 3.x(用于PIX、路由器等)。
答:有关如何配置CSPM以管理IDS传感器并确保通信正常的详细信息,请参阅在CSPM中配置Cisco Secure IDS传感器。
答:调整包括更改触发签名所需的内容(例如扫描中的主机数量),并不意味着设置操作和严重性级别。
CSPM无法(在任何版本中)调整设备的签名。它只能设置签名的操作和严重性。换句话说,CSPM可以设置与签名关联的严重性和操作,但无法设置触发该签名的内容。传感器上的SigWizMenu必须用于调整传感器。SigWizMenu和CSPM都可用于配置相同的传感器,因为它们会影响配置的不同部分。
注意:如果使用UNIX Director版本2.2.3或更高版本,则nrConfigure实用程序可以配置SigWizMenu配置的所有内容。升级到2.2.3后,应使用nrConfigure而不是SigWizMenu来调整签名。