本文档介绍在思科安全策略管理器(CSPM)上配置思科安全入侵检测系统(IDS)传感器的过程。 本文档假设您已在计算机上安装CSPM 2.3.I版。版本“I”允许管理Cisco Catalyst® 6000交换机中的IDS设备(设备传感器、Cisco IOS®路由器或IDS刀片)。本文档还假设IDS邮局参数已正确定义。这包括HOSTID、ORGID、HOSTNAME和ORGAME。请注意,CSPM主机要与传感器通信,ORGID和ORGANE必须与传感器上定义的内容匹配。
本文档没有任何特定的要求。
本文档中的信息基于CSPM 2.3.I及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文件规则的更多信息请参见“ Cisco技术提示规则”。
以下各节介绍在CSPM中配置IDS传感器的过程。
启动CSPM并登录。系统将显示一个空白模板(初始启动),允许您定义网络。
IDS的CSPM拓扑中需要这三个定义。
定义传感器控制接口所在的网络和CSPM主机所在的网络。如果它们位于同一子网中,则只需定义一个网络。首先定义此网络。
在其网络中定义CSPM主机。如果没有CSPM主机定义,则无法管理传感器。
在其网络中定义传感器。
请完成以下步骤:
右键单击拓扑中的Internet图标,然后选择New > Network 以创建新网络。
在“网络面板”的右侧,添加新网络的名称、网络地址和要使用的网络掩码。
单击IP Address按钮,然后输入用于访问Internet的网络的IP地址。
通常它是网络的默认网关。
注意:在管理传感器时,网关地址不一定必须正确,因为传感器未发送此默认网关信息。应已在传感器中定义。
Click OK.网络会添加到拓扑图中,而不会出现任何错误。
使用此过程添加CSPM主机。
在“网络拓扑”中,右键单击刚添加的网络,然后选择“新建”> “主机”。
CSPM会显示类似此的屏幕。否则,您刚定义的网络不是CSPM主机所在的网络。再次检查CSPM主机上的IP地址。
单击Yes将CSPM主机安装到拓扑中。
验证CSPM主机的General屏幕上的信息是否正常。
在CSPM主机的General屏幕上单击OK。
使用此步骤添加传感器设备。
右键单击传感器所在的网络,然后选择向导>添加传感器。
注意:如果CSPM主机和传感器的控制接口不在同一网络中,请定义传感器所在的网络。
为传感器输入正确的邮局参数。
单击Check here(检查此处)以验证传感器的地址框。
注意:如果这是您首次设置此传感器,则不希望捕获传感器的配置。如果之前通过UNIX导向器或另一台CSPM主机在其他位置配置此传感器,并且对传感器签名进行了配置更改,则需要捕获传感器的配置。
单击Next在传感器上定义签名版本。您还可以发出nrvers命令在传感器上检查此项。
注意:如果CSPM没有您在传感器上运行的正确传感器版本,请更新CSPM主机上的签名。有关更新,请参阅软件下载(仅限注册客户)。
单击“Next”按钮继续。
单击Finish完成将传感器安装到拓扑中。
从CSPM主菜单中,选择File > Save and Update,将拓扑中输入的信息编译为CSPM。请注意,在CSPM主机上启动邮局协议需要执行此步骤。
以网络用户身份登录传感器,检验一切是否正常。
执行nrconns 命令。
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >
注:如果传感器和CSPM主机不通信,则会显示类似如下的输出:
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr
如果是这种情况,请获取嗅探器跟踪,以查看两端是否正在发送UDP 45000数据包。UDP 45000是IDS设备用于相互通信的协议。要在传感器上测试此功能,请根,并(根据您拥有的传感器)执行snoop -d iprb1端口45000 (对于IDS 4210传感器)和snoop -d iprb0端口45000 (对于任何其他型号的传感器)。
使用<control-c>突破监听会话。
如果传感器和CSPM之间没有通信,则显示以下输出:
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
在上述输出中,传感器发送UDP 45000数据包,但不接收任何数据包。正确的配置会生成如下输出:
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
在上述输出中,UDP 45000流量在两个方向上传输。
如果UDP 45000数据包在两个方向上流动,并且传感器上nrconns的输出仍显示没有建立连接,则传感器和CSPM主机上的邮局参数不匹配。
要手动检查CSPM主机上的邮局参数,请执行以下操作:
使用Windows资源管理器导航至NT计算机上安装了CSPM的位置。
使用写或写字板编辑主机、路由和组织文件(请勿使用记事本,因为格式将损坏)。
确保这些文件在安装时看起来正确。如果任何值不正确,请编辑它们,然后使用以下步骤重新启动NT计算机:
单击网络拓扑中的CSPM图标。
点击Policy Distribution选项卡以输入邮局参数。
保存并更新更改。
重新启动NT计算机。
在CSPM中保存配置后,配置传感器。为此,首先设置传感器将其看到的警报写入自己的日志。然后,在正确的接口上将传感器设置为“sniff”。
使用此过程将警报写入日志。
单击“生成审核事件日志文件”框,告知传感器将警报发送到其本地日志。
默认情况下,在将配置向下推送到CSPM框后,它还会向其发送警报。
单击 OK 继续。
使用此过程将传感器设置为“Sniff”。
在CSPM拓扑中选择Sensor(传感器),然后单击Sensing(传感)选项卡。
定义数据包捕获设备:
iprb0 — 用于IDS 4210传感器
spwr0 — 用于任何其他传感器型号
单击 OK 继续。
单击CSPM菜单栏上的“更新”图标,用信息更新CSPM。
注意:如果一切顺利,则会显示类似此的屏幕。请注意,没有红色错误。黄色警告通常可以。
在网络拓扑中选择Sensor(传感器),然后单击Command(命令)选项卡将更新的配置发送到Sensor(传感器)。
单击“Approve Now(立即批准)”按钮将配置发送到传感器。
“状态”窗格显示“上传<#>已完成”消息。这表示有效且完整的传输过程。传感器现在已更新,现在应能正常运行。
如果传感器未正常运行,请返回传感器并检查nrconns命令的输出,以确保CSPM主机与传感器之间已建立连接。
完成此操作后,您可以在事件查看器中查找传感器发送到CSPM主机的警报。要查看事件查看器,请从CSPM主菜单中选择“工具”>“查看传感器事件”>“数据库”。
单击确定以显示事件数据库窗口。屏幕会因您可能收到的警报而异。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
19-Jan-2006 |
初始版本 |