本文档回答了与思科安全入侵检测系统(IDS)4.0、高级检测和防御安全服务模块(AIP SSM)以及思科入侵防御系统(IPS)5.0及更高版本相关的最常见问题(FAQ)。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
答:执行此操作最简单的方法是启动新的VMS服务器,然后使用此新框发现传感器。
注意:添加传感器时,请勿手动添加。选中发现设置框。
发现传感器后,将其导入SecMon。所有配置都保存在传感器上。在您构建新服务器后,应会遇到签名设置、过滤器等。确保将IDS MC更新为最新签名。
答:这是一个制造业问题。有些客户收到的IDS-4215的基本映像(4.0)不正确。 完成下面这些步骤。
注意:Cisco VMS和CLI客户不会遇到此问题。
问题的原因是解析文件名时使用的排序逻辑。它应为数字时为字母数字排序。解决方法是使用CLI(或VMS)升级到3位特征码级别软件包,如S100或更高版本。完成此操作后,自动更新将开始再次运行。有关详细信息,请参阅Cisco Bug ID CSCef07999(仅限注册客户)。
答:要解决此问题,请使用默认密码(cisco)两次,然后从配置模式更改密码。IDS要求输入两次默认密码。
例如:
login:cisco Password:cisco Enter current password:cisco Enter new password: *** Re-enter new password: ***
答:只有在禁用电源后才应移除模块。请完成以下步骤:
- 在传感器CLI中,发出reset powerdown命令。
- 传感器完成关闭后,从交换机CLI发出no power enable module(modulenumber)命令(用于Cisco IOS)或set module power down(modulenumber)命令(用于CatOS)。
- 按下刀片上的关闭按钮。
- 关闭机箱电源。当状态指示灯显示较长的绿色时,您可以安全地移除模块。
A.阻止主机阻止来自该源地址的所有数据包。阻止连接仅根据源IP/端口和目的IP/端口阻止一个连接。PIX的工作方式略有不同。对于自动分流,传感器发送源IP、目的IP、源端口和目的端口。PIX会阻止从该IP地址发出的所有数据包。PIX使用附加信息从其连接表中删除该连接。如果尚未从连接表中删除连接,则理论上可能是,如果在应用该连接后不久删除了shun,则原始连接可能尚未超时。这样,攻击者就可以继续攻击原始连接。从表中删除连接可确保在删除避开后原始连接无法用于继续攻击。由于PIX不支持使用shun命令来避开单个连接,因此传感器无法避开PIX上的单个连接。PIX shun命令始终会避开源地址,无论是否提供附加连接信息。
答:此错误表示默认网关不正确,或者显示一般错误消息,表示IP、网络掩码或默认网关不正确。消息的Fatal部分表示在第一次出现故障后,先前的配置已应用并且也失败。传感器发出ifconfig和route命令,并且其中一个或两个命令都失败。
答:此问题可能是自动更新功能,不起作用,因为它设置为在偶数小时内下载。尝试将自动更新设置为随机时间;哪怕只用8分钟或8分钟的时间就能解决这个问题。
通常,问题已解决,并出现错误:http错误响应:如果将检索时间更改为非小时边界,则会显示500错误消息。
注意:IPS无法自动更新签名并返回以下错误消息:
自动更新异常:HTTP连接失败[1,110] name=errSystemError
请验证以下项目以解决此问题:
验证防火墙是否阻止传感器访问Cisco.com。
检验路由是否成为问题。
验证下游设备的网关设备上是否正确配置了NATing。
验证用户凭证是否正确。
将更新开始时间更改为奇数小时。
答:要解决此问题,请尝试重新加载传感器或重新映像传感器。
A.完成以下任务以解决此问题:
禁用全局关联。
添加代理/dns配置。
答:由于端口问题,IPS无法访问Internet,例如,路径中的防火墙没有为Internet访问打开正确的端口,或者可能是NAT问题。
为使全局关联完全正常运行,传感器首先通过https update-manifests.ironport.com进行联系,以验证用户身份,然后通过HTTP连接下载GC更新。传感器从HTTP(updates.ironport.com)下载的文件是全局关联使用的信誉数据。https update-manifests.ironport.com应始终解析为X.X.82.127地址,但http updates.ironport.com IP地址可能会更改,具体取决于您访问的互联网。因此,您必须检查IP地址。如果启用URL过滤,请在URL过滤器中为IPS管理接口IP添加例外,以便IPS可以连接到Internet。
当上一个GC更新中出现损坏时,会发生以下错误:
协作应用[459]rep/E全局关联更新失败:ibrs/1.1/drop/default/1296529950下载失败:URI不包含有效的IP地址
此问题通常可以通过关闭GC服务然后重新打开来纠正。在IDM中,选择Configuration > Policies > Global Correlation > Inspection/Reputation,将Global Correlation Inspection(和Reputation Filtering if On)设置为Off,应用更改,等待10分钟,打开功能并监控。
A.验证以下项目:
您必须拥有有效的IPS许可证才能使全局关联功能正常运行。
必须配置HTTP代理服务器或DNS服务器,才能使全局关联功能正常运行。
由于全局关联更新通过传感器管理接口进行,因此防火墙必须允许tcp 443/80和udp 53流量。
确保传感器支持全局关联功能。如果不需要,请从IDM禁用全局协作功能:
转至Configuration > Policies > Global Correlation > Inspection/Reputation ,并将Global Correlation Inspection(和Reputation Filtering if On)设置为Off。
答:如果使用全局关联(GC),请确保名称解析工作正常,例如,DNS可访问。另外,检查是否有防火墙阻止的端口53。否则,如果您希望消除此消息,可以关闭GC功能。
答:当客户尝试在不受支持的操作系统(如Windows 7)上运行IME时,通常会发生此问题。
A.清除浏览器缓存以解决此问题。
答:在版本6.0中,IPS上的非对称模式仅可使用CLI进行配置,在GUI上不可用。但是,在版本6.1中,此功能也可在GUI中使用。
答:要解决此问题,请启用非对称模式处理,以便允许传感器将状态与流同步,并维护对不需要两个方向的引擎的检查。使用此配置:
IPS_Sensor#configure terminal IPS_Sensor(config)#service analysis-engine IPS_Sensor(config-ana)#virtual-sensor vs0 IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric当为VS0中的每个签名启用内联拒绝操作和拒绝数据包时,会出现延迟问题。启用所有签名将导致延迟,因为IPS会检查通过的每个数据包。最好只启用每个网络流量所需的特定签名以解决延迟问题。
答:PIX/ASA无法阻止skype流量。Skype能够协商动态端口并使用加密流量。对于加密数据流,由于没有要查找的模式,因此几乎检测不到它。
您最终可以使用Cisco IPS(入侵防御系统)/AIP-SSM。它有一些签名,这些签名可以检测连接到 Skype 服务器以同步其版本的 Windows Skype 客户端。这通常在客户端启动连接时执行。当传感器获得最初的 Skype 连接时,您可以找到使用该服务的人员,并阻止从他们的 IP 地址启动的所有连接。
答:在签名更新和重新配置期间,sensorApp在处理更新中的新签名时停止处理数据包。网络驱动程序检测到sensorApp已停止并从缓冲区提取任何新数据包。因此,网络驱动程序会执行不同的操作,具体取决于配置和传感器型号:
Promiscuous Interface — 在接口上关闭链路,然后在sensorApp再次开始监控后重新打开链路。
内联接口或内联VLAN对 — 取决于旁路设置:
Bypass Auto — 驱动程序保持链路正常运行并开始在不分析的情况下通过数据包。然后,一旦sensorApp再次开始监控,它将恢复为通过sensorApp发送数据包。
Bypass Off — 驱动程序关闭接口上的链路(与混合模式相同),并在sensorApp再次开始监控后将其恢复。
因此,如果传感器应用不从缓冲区中提取数据包,驱动程序可以将接口置于关闭状态。
当感应接口摆动时,会看到以下日志:
28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass has stopped. 28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass has started. 28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass has stopped.
答:不,传感器不维护密码历史记录。密码不可随时查看。
答:不。
答:传感器的本地事件仅存储30 MB,一旦达到30 MB的限制,就会开始覆盖自身。此限制不可配置。
A.使用STRING.TCP编写检测附件的签名。查找类似的内容:
Engine STRING.TCP Enabled True Severity informational AlarmThrottle Summarize CapturePacket False Direction ToService MinHits 1 Protocol =TCP RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo] [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] ResetAfterIdle 15 ServicePorts 25 StorageKey =STREAM
答:发出以下命令:
configure terminal service host networkParams ftpTimeout 300 <timeout is in seconds>
A.此输出是自UNIX epoc以来当前时间的十进制表示。使用UNIX epoc计算器,如位于UNIX日期/时间计算器站点的计算 器。输入前10位,因为此计算器是细粒度的,只有秒,而IDS存储纳秒。这表示最后九位被删除。从此输出中的“开始”时间开始,您将收到1084798479 = 2004年5月1712:54:39(GMT)(星期一)。
在CLI中,输入iplog-status以接收以下输出:
" Log ID: 138343946 IP Address: xxx.xxx.xxx.xxx Group: 0 Status: completed Start Time: 1084798479512524000 End Time: 1084798510136582000 Bytes Captured: 2833 Packets Captured: 14 "
A.要解决此错误消息,请登录AIP-SSM,并在特权EXEC模式下发出tls generate-key命令,如本例所示:
sensor#tls generate-key注意:此使用tls generate-key命令的解决方法还解决了AIP-SSM无法连接到IME的问题。
A.要解决此错误消息,请选择“控制面板”>“管理工具”>“服务”并重新启动IME服务。
答:这表示IME和IPS传感器之间的通信中断。确保没有阻止SDEE的软件。
答:要解决此错误消息,请验证在IME中添加IPS时使用的IP地址是否正确,并检查IME计算机上运行的任何软件防火墙,这些防火墙可以阻止连接。
答:IDS传感器无法自行发送电子邮件警报。当传感器触发事件规则时,安全监控器(与IDS一起使用)能够发送电子邮件通知。
有关如何使用安全监控器配置电子邮件通知的详细信息,请参阅配置电子邮件通知。
Cisco IPS Manager Express(IME)可配置为在Cisco IPS传感器触发事件规则时发送邮件通知消息(警报)。请参阅IPS 6.X及更高版本:使用IME的电子邮件通知配置示例以了解详细信息。
A.重新启动传感器以解决此问题。
A.要解决此问题,请停用未使用的签名,并减少带有regex的客户签名数。此外,不建议在区域中使用*和+元字符。
答:延迟问题可能由assymetric路由引起。尝试禁用签名1330以解决此问题。
答:目前无法禁用SSHv1,只启用SSHv2。SSHv1 和 SSHv2 一起启用,无法单独禁用。
答:由于传感器内存不足,出现此错误消息。
要解决此问题,请完成以下任务:
- 登录服务帐户并成为根用户
- 删除以下目录,如下所示:
# rm -rf /usr/cids/idsRoot/var/updates/files/S69 # rm -rf /usr/cids/idsRoot/var/updates/files/common # rm /usr/cids/idsRoot/var/virtualSensor/* # rm /usr/cids/idsRoot/var/.tmp/*- 现在尝试升级传感器。有关详细信息,请参阅Cisco Bug ID CSCsb81288(仅限注册客户)。
A. mainApp[396] cplane/E错误 — accept()调用返回–1 错误消息表示Web服务器无法读取文件,并且accept()程序失败,当存在TLS连接时,会生成文件描述符。但是,正常行为不需要此文件。它无害。
答:此错误消息表示证书在模块上不再有效。完成这些步骤以解决问题:
从CLI重新生成证书:
登录传感器命令行。
发出tls generate命令,然后按Enter。记录显示的指纹。
将新证书拉入IME:
打开IME,在主页的列表中找到传感器名称。
右键单击传感器,然后单击“Edit”。
进入“编辑设备”屏幕后,单击“确定”。绕过任何有关无法检索传感器时间的警告。
系统将提示您输入新的安全证书(您刚生成的证书)。 检查以确保指纹匹配,然后单击Yes。
几秒钟后,传感器应再次显示“Event Status(事件状态)”。
答:要解决此错误,请使用reset命令以重新启动IPS。
答:要解决此问题,请使用NTP服务器同步思科自适应安全设备(ASA)和AIP-SSM上的时间。
有关详细信息,请参阅在IPS传感器上配置NTP。
答:AIP-SSM上的虚拟传感器无法按接口应用,因为AIP-SSM只有一个接口。创建多个虚拟传感器时,必须将此接口仅分配给一个虚拟传感器。您无需为其他虚拟传感器指定接口。
创建虚拟传感器后,必须使用allocate-ips命令将其映射到自适应安全设备(ASA)上的安全上下文。您可以将许多安全情景映射到许多虚拟传感器。有关详细信息,请参阅配置AIP-SSM中的将虚拟传感器分配到自适应安全设备环境。
答:最多支持四个虚拟传感器。
答:TACACS+服务器不可能,但IPS 7.0.(4)E4版本支持RADIUS。有关详细信息,请参阅Cisco入侵防御系统7.0(4)E4版本说明的“新信息”和“更改信息”以及“限制和限制”部分。另请参阅IPS 7.X:使用ACS 5.X作为Radius服务器的用户登录身份验证配置示例,用于示例配置。
答:过期许可证对传感器的唯一影响是它会停止签名更新。
答:否。IPS签名更新对服务或网络连接没有影响。
A.允许IPS模块使用最新签名自动更新所需的链接为:https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl。
您必须使用思科用户ID和密码完成IPS模块的更新。
注意:在6.x代码系列中,不支持从Cisco.com自动更新。您必须手动下载签名文件并将其应用到传感器。6.x代码中有自动更新功能;但是,这只能从本地文件服务器实现,在本地文件服务器中也必须手动下载签名文件。
答:不。由于以下原因,它不容易受到攻击:
传感器没有X11库。因此没有劫持的会话。
SSH配置中未启用X11端口转发。
IPv6未编译到传感器内核中。要利用此漏洞,必须执行此操作。
答:这是因为当ASA阻止某些内容时,它不会传递到IPS进行重复检查。因此,您无法在ASA和IPS上看到重复的日志。
答:以下是完整错误消息:
evError: eventId=1284051856322985135 vendor=Cisco severity=warning originator: hostId: vbintestids03 appName: sensorApp appInstanceId: 700 time: offset=-240 timeZone=GMT-05:00 1286305251136551000 errorMessage: name=errWarning invalidValue:Editing string-xl-tcp sig 21619 has NO effect出现此问题是因为硬件不支持string-xl-tcp或string-tcp-xl引擎。有关详细信息,请参阅IPS引擎E4版本说明。
A.此输出显示完整的错误消息:
autoUpgradeServerCheck: uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl packageFileName: result: No installable auto update package found on server status=true已生成此错误,签名不会自动更新,因为S479之后的签名定义更新需要E4引擎。要解决此问题,您需要手动将传感器升级到7.0(2)E4。
注意:传感器无法自动升级到E4,因为它需要7.0(2)并重新启动传感器。
A.此输出显示完整的错误消息:
autoUpgradeServerCheck: uri: ftp://hfcu-inet01@192.168.1.12//ips-update/ packageFileName: result: No installable auto update package found on server status=true此问题是由于FTP服务器的目录列表样式不正确。要解决此问题,请从现有MS-DOS样式目录列表切换到UNIX样式的目录列表。
要修改目录列表设置,请选择开始 > 程序文件 > 管理工具以打开Internet Services Manager。然后转到“主目录”选项卡,将目录列表样式从MS-DOS更改为UNIX。
答:此问题是由于分析引擎出现故障,在Cisco Bug ID CSCtb39179(仅限注册客户)中解决了此问题。 将传感器升级到版本7.0(4)E4以解决此问题。
A.当收到的许可证文件无效时会发生此问题。要获取有效的许可证文件,请以注册用户身份登录Cisco.com,并下载相应的许可证文件。获取有效的许可证文件后,将其安装到传感器上。
如果安装新的许可证文件,但仍然收到错误,则可能存在现有无效许可证文件的问题。要解决此问题,请完成以下步骤以删除现有的无效许可证文件:
通过键入您的服务帐户用户名登录服务帐户。
如果您没有服务帐户,请打开IPS命令行,进入配置模式,然后输入此命令
用户名名特权服务密码密码
ciscoasa# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: Password: IPS# IPS#conf t IPS(config)# username name privilege service password password登录到服务帐户后,输入su命令以转到根帐户(使用与服务帐户相同的密码)。
删除/usr/cids/idsRoot/shared/目录中的文件。
注意:请勿删除host.conf文件。
输入cd /usr/cids/idsRoot/shared/命令以转到共享目录。
输入ls命令以查看目录中的文件。
输入rm file_name命令以删除文件。
注意:请勿删除host.conf文件。
输入/etc/init.d/cids restart命令重新启动传感器。
安装新许可证。
已提交Cisco Bug以解决此行为。有关详细信息,请参阅CSCtg76339(仅限注册客户)。
答:此错误是由IP日志记录上的数据包过多引起的。禁用IP日志记录功能以解决此问题。IP日志记录仅用于故障排除;思科建议您不要为所有签名启用它。
A.修改签名23899.0会导致此问题。有关详细信息,请参阅Cisco Bug ID CSCtn84552(仅注册客户)。
答:检查是否存在URL过滤、内容过滤或代理服务器阻止自动更新发生。确保未阻止自动更新,并验证提供的用户凭证是否正确。
答:此行为已由Cisco Bug ID CSCsq50873(仅限注册客户)解决(仅限注册客户)。 这是表面问题,除了接收的日志数量过多外,不会产生任何操作开销。临时解决方法是删除传感器上与NTP相关的配置。对于永久解决方案,请升级到修复此Bug的版本。
答:IME用作两个Windows服务和GUI客户端。当客户端关闭时,两个Windows服务(Cisco IPS Manager Express和MySQL-IME)继续运行和收集受管传感器中的事件,并将它们存储在本地MySQL数据库中;这允许进行历史报告。
IME客户端应打开受管传感器的单个SDEE订用,并重新使用此订用进行后续事件检索活动。从IME工作站到受管传感器的持续连接是预期行为。
答:否。AIP-SSM模块不能用作SPAN目标,因为它仅用于监控流经ASA接口的流量。
答:对于E3引擎更新,IPS使用不同的算法来管理空闲时间,并花费更多时间轮询数据包以减少延迟。这种增加的检查会导致CPU使用率相应增加。在E3中测量CPU的正确方法不是按CPU使用率,而是按数据包负载百分比(显示正确的CPU使用率)。
答:这可能是因为远程管理站上运行的软件(如CS-MARS、CSM、IEV、VMS-IDS/IPSMC等)的证书不正确。要解决此问题,请完成以下步骤:
在远程管理站上应用传感器的TLS证书。
配置有效的DNS服务器。
答:将传感器配置为在非对称模式下工作将解决该问题。要将传感器置于非对称模式保护中,请完成以下步骤:
转到Configuration > Policies > IPS policies。
双击虚拟传感器。
转到高级选项。
在normalize模式下,选择“非对称模式保护”。
Click OK.
重新启动设备以使更改生效。