Cisco Secure Intrusion Detection System（3.1 及更早版本）常见问题

简介

本文档包含有关思科安全入侵检测系统(IDS)（以前称为NetRanger）3.1及更低版本的常见问题(FAQ)。

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

常规

问：在哪里可以找到有关Cisco Secure IDS的更多信息？

答：有关Cisco Secure IDS的详细信息，请参阅整套产品文档。

问：如何更新整个IDS系统（IDS传感器+ IDS管理软件）的签名？

答：您必须分别升级传感器和管理平台签名。请注意，管理软件无法从传感器获取签名，因此也必须更新它。从思科安全下载（仅限注册客户）下载每个应用的最新签名更新文件。 位于同一位置的自述文件包含有关升级过程的说明。

问：在哪里可以找到完整的签名列表？

答：IDS签名列表可通过思科安全百科全书(仅限注册客户)获取。

问：UNIX IDS和独立传感器上的用户的默认密码是什么？

答：在UNIX IDS独立传感器和IDS管理软件上，用户的默认密码是“攻击”，对于netrangr和root。当您发出su命令以成为根用户时，默认密码为“attack”。 在入侵检测系统模块(IDSM)刀片上，用户名ciscoID的默认密码为“攻击”。

问：如何获取入侵检测系统模块(IDSM)刀片来转储其配置？

答：您需要本地FTP服务器，以便上传配置。

1. 在刀片上的诊断模式下输入此命令。

   report systemstatus site  
              
   user  
              dir  
             
    

2. 当系统询问“Continue generating the System Report？（继续生成系统报告？）”时，键入y以继续。
3. 在系统提示时键入指定用户的FTP密码。当流程完成时，您会收到一条消息，指出流程是否失败或文件是否已发送。

问：在安装/卸载IDS时，日志文件位于何处？

A.安装/更新日志可在以下位置找到：

• 指挥交换机安装日志位于/var/adm/nrInstall.log中。

• 传感器服务包更新日志位于/usr/nr/sp-update/中。

• 签名更新日志位于/usr/nr/sig-update/中。

问：PIX上有哪些IDS签名？

A. IDS仅适用于PIX 6.0及更高版本。签名包含在系统日志消息400000到400051中，称为思科安全IDS签名消息。有关每个签名的详细信息，请参阅PIX系统日志消息文档。

问：在发布签名更新时，能否通知我？

答：注册Cisco IDS活动更新通知，以便接收与Cisco Secure IDS相关的产品新闻的电子邮件警报。

问：我应使用哪些应用程序来管理我的IDS传感器，它们之间有何区别？

答：在版本3.1之前，管理选项是使用Cisco Secure Policy Manager(CSPM)或UNIX Director。两者之间的主要区别是，CSPM在Windows服务器上作为独立应用程序运行，而UNIX Director在UNIX Solaris服务器上的HP OpenView上运行。使用IDS 3.1，传感器也可以通过安装在PC上的IDS事件查看器(IEV)或使用IDS设备管理器（3.1版传感器的一部分）进行管理。在设置传感器后，默认情况下使用安全套接字层(SSL)启用设备管理器。

问：在哪里可以获得软件开发套件(SDK)软件？

答：SDK软件对公众不可用。

IDS 传感器

问：传感器版本3.x和4.x有何区别？

A. 4.0版提供了几个新功能。最引人注目的新功能是类似于Cisco IOS®的命令行界面(CLI)。

问：如何在IDS上硬编码接口速度？

答：不支持在3.x和4.0代码中硬设置速度/双工，并且功能请求存在Bug(Cisco Bug ID CSCdy43054(仅限注册客户))。 5.0代码中提供该功能，现在在“配置接口”中提供。

问：如何将我的传感器软件从3.0版升级到3.1版？

答：客户可以从思科安全下载(仅限注册客户)下载版本3.1的更新文件。

问：如何将我的传感器软件从2.5版升级到3.0版？

答：客户可以从Cisco安全下载(仅限注册客户)下载版本3.0的更新文件。 安装软件更新的方式与2.5版中安装Service Pack和签名更新的方式相同。Cisco IDS传感器配置说明3.0版中对此过程进行了详细说明。

问：如何将我的传感器软件从2.2版升级到3.0版？

答：3.0升级文件可以从Cisco安全下载(仅注册客户)下载，但此文件无法更新2.5之前的版本。您必须使用产品升级工具（仅注册客户）提供的升级/恢复光盘，才能从软件版本2.2升级到3.0.此CD的部件号为IDS-SW-U。

注意：您必须拥有有效的支持合同才能订购升级/恢复CD。

问：我已将键盘和显示器连接到传感器，但无法正常启动。我该怎么办？

A.验证您使用的是受支持的键盘和显示器。某些品牌和型号与Cisco Secure IDS不兼容，导致IDS传感器无法正常启动。有关特定品牌的详细信息，请参阅Cisco Secure IDS设备启动失败。

问：在思科安全下载的IDS部分，我看到两种类型的更新文件（服务包和签名）。 这些文件有何区别？

答：这些文件中的每个文件都包含一组特定的软件更新或添加，如此处介绍的命名约定所示。

• IDS传感器设备软件的服务包更新包含对IDS传感器核心应用软件的改进以及漏洞修复。例如，名为IDSk9-sp-3.0-5-S17.bin的文件包括软件版本3.0(5)的更新以及签名集编号17。

• 签名更新文件仅包含签名的更新（攻击指纹）。 例如，名为IDSk9-sig-3.0-5-S18.bin的文件包含3.0(5)传感器软件的签名集编号18。

客户可以从思科安全下载(仅限注册客户)站点下载这些文件。

问：如何判断传感器是否配置正确以避开路由器？

A.以用户netrangr身份登录到传感器，然后执行以下命令：

nrgetbulk  
         
          
           
            
             
            
           
          
        

您应收到类似于“<IP_address>Active”的响应，该响应显示用于阻止攻击的分流设备的IP地址。此输出显示命令语法和预期响应的示例：

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

您还可以登录路由器并发出who命令来查看传感器是否已登录。

问：当我发出nrconns命令时，我收到一条错误消息，指示“value not set”。如何解决此问题？

答：此错误消息表示传感器上/usr/nr/etc/routes和/或/usr/nr/etc/hosts文件存在潜在问题。.../routes文件定义传感器和指挥交换机之间的后台通信。.../hosts文件定义传感器和控制器的名称和IP地址。

您也可以以用户root身份登录,运行sysconfig-sensor命令，然后再次输入IDS Communications Infrastructure信息。

问：如何使用FTP从传感器复制日志文件，将其存储到其他位置？

A.有关此过程的详细信息，请参阅复制要查看的IP日志文件。

问：在传感器软件版本2.5和3.1中，configd守护程序发生了什么情况？

答： Configd是一个守护程序，用于处理2.2.x代码库中UNIX控制器和传感器上的所有命令。在2.5和3.0代码库中，此功能已被吸收到其他守护程序中，且configd守护程序不再存在。

问：更新传感器上的签名时，我收到错误：无法从守护程序文件确定NetRanger的类型。无法更新。” 错误消息。我该怎么办？

A.编辑传感器上的/usr/nr/etc/daemons文件，以确保nr.packetd在守护程序列表中。然后停止并启动服务。

问：在IDS 4210上，哪个是控制接口，哪个是嗅探接口？

A.顶部的控制接口为iprb1:，底部的嗅探接口为iprb0:。

问：为什么在我的传感器上发出ifconfig -a命令时只能看到一个接口？

答：ifconfig命令应仅显示控制接口。传感器仍使用另一个接口（嗅探接口），但用户不应看到它。如果需要查看此接口，请以root用户身份登录并发出ifconfig -a 命令以确定接口名称。发出ifconfig <interface> plumb命令以检查特定接口的状态。

问：如何在传感器上硬编码接口速度？

答：不必对传感器上的接口速度进行硬编码，思科技术支持不支持这种方法。如果交换机设置为自动协商，则接口会与所连接的交换机协商速度。从网络到传感器的流量是单向的（即传感器接收的流量）。 因此，如果交换机显示已协商100个半双工（假设交换机端口为100 M），则通常就足够了。

UNIX Director

问：我能否将新的3.0传感器与2.2.x版的Director配合使用？

答：是，但您应将Director软件升级到2.2.3或更高版本。注册客户可以从思科安全下载(仅限注册客户)下载这些文件。

问：我如何知道我使用的Director守护程序是哪个版本？

答：发出cat /usr/nr/VERSION命令，并检查输出包含的版本号。

注意： Director上nrvers命令的输出告诉您在Director上运行的守护程序的版本，但并不告诉您Director软件本身的版本。

问：如何让指挥交换机转储其配置？

A.以用户netrangr身份登录并执行脚本/usr/nr/bin/director/nrCollectInfo，以将配置信息发送到名为/usr/nr/var/tmp/Report_For_Director.html的文件。

问：我的HP OpenView显示屏上有许多错误（可能超过1,000个）。我删除了，但他们一直回来。为什么？

答：如果IDS Director泛洪错误且无法显示所有错误，它会开始缓冲到文件。停止IDS守护程序并退出已打开以删除文件的所有OpenView映射。删除文件/usr/nr/var/nrDirmap.buffer.default，然后重新启动IDS守护程序和OpenView映射。

问：在HP OpenView映射上获取警报时遇到问题。我经常在/usr/nr/var/errors.nrdirmap上看到错误。我该怎么办？

答：在2.2.2之前的IDS版本中，最简单的操作是擦除OpenView数据库。数据库位于/var/opt/OV/share/databases/openview中。完成以下步骤以删除OpenView数据库。

1. 使用ovstop命令关闭所有打开的OpenView映射，然后使用nrstop命令停止IDS服务。
2. 以用户根用户身份登录，并发出/usr/nr/bin/director/nrDeleteOVwDb命令。
3. 删除/usr/nr/var目录中的所有“error.*”文件（例如errors.configd）。
4. 使用nrstart命令重新启动服务，然后使用ovstart命令重新启动OpenView。

   注意：在Director版本2.2.2中，只能删除OpenView数据库的IDS部分，而不是整个数据库。《IDS Director配置指南》中介绍了此过程。

问：我无法在OpenView映射上获取警报。Director上的/usr/nr/var/errors.postofficed文件包含说明nrdirmap未获得在此计算机上运行的许可的消息。如何解决此问题？

A.执行此命令。

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

确保用户netrangr拥有文件，然后重新启动IDS服务。

问：当我运行nrConfigure实用程序并双击Director时，我会收到以下消息：“找不到<director_name>的传感器类型。请检查邮局和packetd是否正在运行”。 我该怎么办？

答：出现此问题是因为nrConfigure在Director的守护程序文件中看到packetd进程（它不应看到）。 当nrConfigure查询指挥交换机的版本时，就像它是传感器一样，指挥交换机无法用传感器版本做出响应。

请完成以下步骤以解决此问题。

1. 编辑/usr/nr/etc/daemons文件并删除nr.packetd、nr.sensord和nr.managed的条目，因为这些进程应仅在传感器上运行。
2. 使用nrstop命令停止服务，然后使用nrstart命令重新启动服务。
3. 确保nrConfigure已关闭。
4. 使用ovw命令启动OpenView。
5. 选择Security > Advanced > nrConfigure DB > Delete以删除损坏的nrConfigure数据库。
6. 当询问是以继续时，输入yes。
7. 在OpenView主窗口中突出显示Director和所有传感器。
8. 选择Security > Advanced > nrConfigure DB > Create以创建新的nrConfigure数据库，该数据库使用计算机的当前配置版本。

问：如何在OpenView映射上保持nrdirmap应用程序默认启用？

答：在UNIX Director上运行IDS应用程序的用户也可以在OpenView上运行其他应用程序。这并不建议，但在某些情况下是无法避免的。问题是，默认情况下，每个OpenView映射都启用nrdirmap，当其他应用程序在OpenView上运行时，这是不理想的。

在UNIX Director上完成以下步骤以更改默认值，以便您可以选择在其上启用了nrdirmap的映射。

1. 以用户netrangr身份登录。
2. 键入cd $OV_REGISTRATION/C。(OV_REGISTRATION是环境变量的一部分。通常路径为/etc/opt/OV/share/registration/C。)
3. 键入su root。
4. 编辑nrdirmap文件并更改“命令”行，如以下输出所示：

   Command -Shared -Initial "nrdirmap"; 
   
   !--- Changes to:
   
   Command -Shared -Initial "nrdirmap -d";
   

5. 保存nrdirmap文件。
6. 回收OpenView。现在，当使用ovw命令提出映射时，键入ps -ef | grep dirmap应能产生与此处所示类似的输出。使用 — d交换机记录nrdirmap。

   >ps -ef | grep dirmap
   netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
   netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d 

现在，在OpenView中创建的新映射默认情况下未启用nrdirmap。如果要创建安装了nrdirmap的映射，必须从OpenView GUI中执行，如本步骤所述。

1. 从OpenView主菜单中，选择Map > New，然后输入新映射的名称。
2. 在可配置的应用程序下，您应该看到NetRanger/Director。选择NetRanger/Director，然后单击Configure For this Map。
3. 对于“是否应为此映射启用nrdirmap？”选项，如果要启用nrdirmap，请选择True。
4. 选择“验证”，然后单击“确定”。

问：我已升级到Director版本2.2.3，现在，我无法将事件的严重性设置为高于5的级别，即使我可以在早期版本中这样做。为什么会这样？

A. Director版本2.2.3中的严重性级别已更改为仅支持范围1到5。

IDS Cisco Secure Policy Manager (CSPM)

问：我应该使用哪个版本的CSPM来管理我的IDS传感器？

答：目前CSPM 2.3i版是能够管理IDS传感器的版本，而CSPM 3.0则不能。如果使用CSPM管理传感器和其他思科安全设备（如PIX、路由器），则必须在两台单独的Windows服务器上安装两个不同的CSPM版本（2.3i和3.x）。您可以使用每台服务器管理相应的设备：CSPM 2.3i（用于传感器）和CSPM 3.x（用于PIX、路由器等）。

问：如何配置CSPM来管理我的IDS传感器并确保通信正常？

答：有关如何配置CSPM以管理IDS传感器并确保通信正常的详细信息，请参阅在CSPM中配置Cisco Secure IDS传感器。

问：我能否使用CSPM调整设备的签名？

答：调整包括更改触发签名所需的内容（例如扫描中的主机数量），并不意味着设置操作和严重性级别。

CSPM无法（在任何版本中）调整设备的签名。它只能设置签名的操作和严重性。换句话说，CSPM可以设置与签名关联的严重性和操作，但无法设置触发该签名的内容。传感器上的SigWizMenu必须用于调整传感器。SigWizMenu和CSPM都可用于配置相同的传感器，因为它们会影响配置的不同部分。

注意：如果使用UNIX Director版本2.2.3或更高版本，则nrConfigure实用程序可以配置SigWizMenu配置的所有内容。升级到2.2.3后，应使用nrConfigure而不是SigWizMenu来调整签名。

相关信息

• 思科入侵防御系统产品支持
• Cisco安全入侵监测系统的文档
• 思科安全入侵检测系统的现场通知
• 技术支持和文档 - Cisco Systems