在CSPM中配置Cisco Secure IDS感測器
簡介
本文說明在Cisco Secure Policy Manager(CSPM)上配置Cisco Secure Intrusion Detection System(IDS)感測器的過程。 本檔案假設您已經在電腦上安裝CSPM 2.3.I版。版本「I」允許在Cisco Catalyst®6000交換機中管理IDS裝置(裝置感測器、Cisco IOS®路由器或IDS刀片)。本文檔還假設IDS郵局引數已正確定義。其中包括HOSTID、ORGID、HOSTNAME和ORGNAME。請注意,要使CSPM主機與感測器通訊,ORGID和ORGNAME必須與感測器上定義的相匹配。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據CSPM 2.3.I及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
組態
以下各節說明了在CSPM中配置IDS感測器的過程。
啟動CSPM並登入。此時將顯示一個空白模板(初始啟動),允許您定義網路。
在IDS的CSPM拓撲中,這三個定義是必需的。
-
定義感測器控制介面所在的網路和CSPM主機所在的網路。如果它們位於同一子網中,則只需定義一個網路。首先定義此網路。
-
在其網路中定義CSPM主機。如果沒有CSPM主機定義,則無法管理感測器。
-
在其網路中定義感測器。
定義CSPM主機所在的網路
請完成以下步驟:
-
按一下右鍵拓撲中的Internet圖示,然後選擇New > Network以建立新網路。
-
在「Network Panel(網路面板)」的右側,新增要使用的新網路名稱、網路地址和網路掩碼。
-
按一下IP Address按鈕,然後輸入網路用於訪問Internet的IP地址。
通常它是網路的預設網關。
注意:管理感測器時,由於未向感測器傳送此預設網關資訊,因此網關地址不必正確。應在感測器中定義。
-
按一下「OK」(確定)。網路將新增到拓撲圖中,沒有任何錯誤。
新增CSPM主機
使用此過程新增CSPM主機。
-
在網路拓撲中,按一下右鍵剛新增的網路,然後選擇New > Host。
CSPM將顯示類似以下的螢幕。如果不是,則您剛定義的網路不是CSPM主機所在的網路。再次檢查CSPM主機上的IP地址。
-
按一下Yes將CSPM主機安裝到拓撲中。
-
驗證CSPM主機的「General(常規)」螢幕上的資訊是否正常。
-
在CSPM主機的General螢幕上按一下OK。
新增感測器裝置
使用此過程新增感測器裝置。
-
按一下右鍵感測器所在的網路並選擇Wizards > Add Sensor。
注意:如果CSPM主機和感測器的控制介面不在同一網路中,請定義感測器所在的網路。
-
輸入感測器的正確郵局引數。
-
按一下Check here to verify the Sensor's address框。
注意:如果這是第一次設定此感測器,則不需要捕獲感測器的配置。如果您以前通過UNIX導向器或其他CSPM主機配置過此感測器並對感測器特徵碼進行了配置更改,則您需要捕獲感測器的配置。
-
按一下下一步以定義感測器上的特徵碼版本。您也可以發出nrvers命令在感測器上檢查此情況。
-
按一下Next按鈕繼續。
-
按一下Finish完成將感測器安裝到拓撲結構中的過程。
-
在CSPM主選單中,選擇File > Save and Update,將拓撲中輸入的資訊編譯為CSPM。請注意,在CSPM主機上啟動郵局協定需要執行此步驟。
-
以網路使用者身份登入感測器,驗證一切是否正常。
-
執行nrconns命令。
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >註:如果感測器和CSPM主機沒有通訊,將顯示類似以下內容的輸出:
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr如果是這種情況,請取得監聽器追蹤軌跡,看看兩端是否正在傳送UDP45000封包。UDP通45000是IDS裝置用於相互通訊的內容。要在感測器上測試此情況,請將su根和(取決於您使用的感測器)執行snoop -d iprb1埠45000 (對於IDS 4210感測器)和snoop -d iprb0埠4500(對於任何其他感測器型號)。
使用<control-c>中斷監聽會話。
如果感測器和CSPM之間沒有通訊,則顯示此輸出:
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
在上面的輸出中,感測器傳送UDP數45000包,但不會收到任何資料包。正確的配置會產生類似以下的輸出:
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56在上面的輸出中,UDP 45000流量雙向傳輸。
如果UDP 45000資料包雙向流動,感測器上的nrconns輸出仍顯示未建立連線,則感測器和CSPM主機上的郵局引數不匹配。
手動檢查CSPM主機上的郵局引數:
-
使用Windows資源管理器導航到NT電腦上安裝CSPM的位置。
-
使用寫或寫字板編輯主機、路由和組織檔案(請勿使用記事本,因為格式將損壞)。
-
確保這些檔案對於您的安裝看起來正確。如果任何值不正確,請按照以下步驟對其進行編輯並重新啟動NT電腦:
-
按一下網路拓撲中的CSPM圖示。
-
點選Policy Distribution頁籤以輸入郵局引數。
-
儲存和更新您的變更。
-
重新啟動NT電腦。
-
-
配置感測器
在CSPM中儲存配置後,配置感測器。為此,請首先將感測器設定為將它看到的警報寫入其自己的日誌。然後在正確的介面上將感測器設定為「嗅探」。
將警報寫入日誌
使用此過程將警報寫入日誌。
-
按一下Generate audit event log files框以指示感測器將警報傳送到其本地日誌。
在將配置下推到CSPM框後,它還會預設向CSPM框傳送警報。
-
按一下OK繼續。
將感測器設定為「嗅探」
使用此過程將感測器設定為「嗅探」。
-
選擇CSPM拓撲中的感測器,然後按一下「感應」頁籤。
-
定義資料包捕獲裝置:
-
iprb0 — 用於IDS 4210感測器
-
spwr0 — 適用於任何其他感測器型號
-
-
按一下OK繼續。
-
按一下CSPM選單欄上的Update圖示以使用資訊更新CSPM。
注意:如果一切順利,將顯示一個類似以下的螢幕。注意沒有紅色錯誤。黃色警告通常正常。
-
選擇網路拓撲中的感測器,然後按一下Command(命令)頁籤將更新的配置傳送到感測器。
-
按一下Approve Now按鈕將配置傳送到感測器。
狀態窗格顯示「Upload <#> completed」(上傳<#>已完成)消息。這表示有效且完整的傳輸過程。感測器現在已更新,現在應能正常運行。
如果感測器未正常運行,請返回感測器並檢查nrconns命令的輸出,以確保CSPM主機與感測器之間建立連線。
完成後,您可以在事件檢視器中查詢感測器傳送到CSPM主機的警報。要檢視事件檢視器,請從CSPM主選單中選擇工具 > 檢視感測器事件 > 資料庫。
按一下OK以顯示事件資料庫視窗。根據可能收到的警報,螢幕會有所不同。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
19-Jan-2006 |
初始版本 |
意見