Preguntas frecuentes sobre Cisco Secure Intrusion Detection System (versiones 3.1 y anteriores)

Introducción

Este documento contiene preguntas frecuentes (FAQ) sobre Cisco Secure Intrusion Detection System (IDS), anteriormente conocido como NetRanger, versiones 3.1 y anteriores.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

General

P. ¿Dónde puedo encontrar información adicional sobre Cisco Secure IDS?

A. Refiérase al conjunto completo de la documentación del producto para obtener más información sobre Cisco Secure IDS.

P. ¿Cómo actualizo las firmas de todo mi sistema IDS (sensor IDS + software de gestión IDS)?

A. Debe actualizar las firmas de Sensor y Plataforma de administración por separado. Tenga en cuenta que el software de administración no puede aprender las firmas del sensor, por lo que también debe actualizarse. Descargue el archivo de actualización de firma más reciente para cada aplicación desde Cisco Secure Downloads (sólo clientes registrados) . Los archivos Léame disponibles en la misma ubicación contienen instrucciones para el procedimiento de actualización.

P. ¿Dónde puedo encontrar una lista completa de firmas?

A. La lista de firmas IDS está disponible a través de Cisco Secure Encyclopedia (sólo clientes registrados).

P. ¿Cuál es la contraseña predeterminada para los usuarios en el IDS UNIX y el sensor independiente?

A. En el sensor independiente de IDS UNIX y el software de administración de IDS, la contraseña predeterminada es "ataque" para los usuarios de netrangr y root. Cuando ejecuta el comando su para convertirse en usuario raíz, la contraseña predeterminada es "ataque". En el blade del módulo del sistema de detección de intrusiones (IDSM), la contraseña predeterminada es "ataque" para el nombre de usuario ciscoids.

P. ¿Cómo puedo obtener un blade del módulo de sistema de detección de intrusiones (IDSM) para vaciar sus configuraciones?

A. Necesita un servidor FTP local para poder cargar las configuraciones.

1. Ingrese este comando desde el modo de diagnóstico en el blade.

   report systemstatus site  
              
   user  
              dir  
             
    

2. Escriba y para continuar cuando se le pida que "Continúe generando el informe del sistema?".
3. Escriba la contraseña FTP del usuario especificado cuando se le solicite. Cuando el proceso ha finalizado, recibe un mensaje que indica si el proceso ha fallado o si se ha enviado el archivo.

P. Cuando instalo/desinstalo el IDS, ¿dónde se encuentran los archivos de registro?

A. Los registros de instalación/actualización se pueden encontrar en estas ubicaciones:

• Los registros de instalación de Director se encuentran en /var/adm/nrInstall.log.

• Los registros de actualización del paquete de servicio del sensor se encuentran en /usr/nr/sp-update/.

• Los registros de actualización de firmas se encuentran en /usr/nr/sig-update/.

P. ¿Qué firmas están disponibles en el PIX para IDS?

A. IDS está disponible solamente para PIX 6.0 y posteriores. Las firmas están contenidas en los mensajes syslog 400000 a 400051, denominados mensajes de firma de Cisco Secure IDS. Refiérase a la documentación Mensajes de Registro del Sistema PIX para obtener más información sobre cada firma.

P. ¿Se me puede notificar cuando se publican actualizaciones de firma?

A. Inscríbase en Notificaciones de actualización activa de Cisco IDS para recibir alertas por correo electrónico para noticias de productos relacionadas con Cisco Secure IDS.

P. ¿Qué aplicaciones debo utilizar para administrar mi sensor IDS y cuál es la diferencia entre ellas?

A. Antes de la versión 3.1, las opciones de administración son utilizar Cisco Secure Policy Manager (CSPM) o UNIX Director. La diferencia principal entre ambos es que CSPM se ejecuta como una aplicación independiente en un servidor Windows, mientras que UNIX Director se ejecuta sobre HP OpenView en un servidor UNIX Solaris. Con IDS 3.1, los sensores también se pueden administrar a través de IDS Event Viewer (IEV) instalado en un PC o mediante IDS Device Manager, que forma parte de la versión 3.1 Sensor. El administrador de dispositivos se habilita de forma predeterminada mediante Secure Socket Layer (SSL) después de configurar el sensor.

P. ¿Dónde puedo obtener el software Software Development Kit (SDK)?

A. El software SDK no está disponible para el público.

Sensor IDS

P. ¿Cuál es la diferencia entre las versiones de Sensor 3.x y 4.x?

A. La versión 4.0 ofrece varias nuevas funciones. La nueva función más visible es una interfaz de línea de comandos (CLI) similar a Cisco IOS®.

P. ¿Cómo codifico la velocidad de la interfaz en el IDS?

A. No se admite el ajuste de la velocidad/dúplex en el código 3.x y 4.0 y hay un error en la solicitud de la función (Cisco bug ID CSCdy43054 ( sólo clientes registrados). La función está disponible en el código 5.0, que ahora está disponible en Configuración de Interfaces.

P. ¿Cómo puedo actualizar mi software Sensor de la versión 3.0 a la 3.1?

A. Los clientes pueden descargar el archivo de actualización para la versión 3.1 de Cisco Secure Downloads (sólo clientes registrados) .

P. ¿Cómo puedo actualizar mi software Sensor de la versión 2.5 a la 3.0?

A. Los clientes pueden descargar el archivo de actualización para la versión 3.0 de Cisco Secure Downloads (sólo clientes registrados) . Instale la actualización de software de la misma manera que se instalan las actualizaciones de firmas y Service Pack en la versión 2.5. El procedimiento se describe en detalle en la Nota de Configuración del Sensor IDS de Cisco versión 3.0.

P. ¿Cómo puedo actualizar mi software Sensor de la versión 2.2 a la 3.0?

A. El archivo de actualización 3.0 se puede descargar de Cisco Secure Downloads ( sólo clientes registrados) , pero este archivo no puede actualizar versiones antes de 2.5. Debe utilizar el CD de actualización/recuperación disponible a través de la Herramienta de actualización de producto (sólo clientes registrados) para actualizar de la versión de software 2.2 a 3.0. El número de pieza para este CD es IDS-SW-U.

Nota: Debe tener un contrato de soporte válido para solicitar el CD de actualización/recuperación.

P. He conectado un teclado y un monitor a mi sensor, pero no se inicia correctamente. ¿Qué debo hacer?

A. Compruebe que está utilizando un teclado y un monitor compatibles. Algunas marcas y modelos no son compatibles con Cisco Secure IDS y evitan que el sensor IDS se inicie correctamente. Refiérase a Falla de Arranque del Dispositivo IDS Seguro de Cisco para ver detalles específicos de la marca.

P. En la sección IDS de Cisco Secure Downloads, veo dos tipos de archivos de actualización (service pack y firma). ¿Cuál es la diferencia entre estos archivos?

A. Cada uno de estos archivos contiene un conjunto específico de actualizaciones o adiciones de software, como se indica en las convenciones de nomenclatura aquí explicadas.

• La actualización del Service Pack para el software IDS Sensor Appliance contiene mejoras en el software de la aplicación de núcleo IDS Sensor así como correcciones de errores. Por ejemplo, un archivo denominado IDSk9-sp-3.0-5-S17.bin incluye actualizaciones de la versión de software 3.0(5) más el número de conjunto de firmas 17.

• El archivo de actualización de firma sólo contiene actualizaciones de las firmas (huellas dactilares de ataque). Por ejemplo, un archivo llamado IDSk9-sig-3.0-5-S18.bin contiene el número de conjunto de firmas 18 para el software 3.0(5) Sensor.

Los clientes pueden descargar estos archivos desde el sitio Cisco Secure Downloads (sólo clientes registrados).

P. ¿Cómo puedo saber si un Sensor está configurado correctamente para rechazar un router?

A. Inicie sesión en el Sensor como usuario netrangr y ejecute este comando:

nrgetbulk  
         
          
           
            
             
            
           
          
        

Debería recibir una respuesta similar a "<IP_address> Activo", que muestra la dirección IP del dispositivo de rechazo utilizado para bloquear ataques. Este resultado muestra un ejemplo de la sintaxis del comando y la respuesta esperada:

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

También puede iniciar sesión en el router y ejecutar el comando Who para ver si el Sensor está conectado.

P. Aparece un mensaje de error que indica "valor no establecido" cuando ejecuto el comando nrconns. ¿Cómo puedo resolver este problema?

A. Este mensaje de error indica posibles problemas con los archivos /usr/nr/etc/routes y/usr/nr/etc/hosts en su sensor. .../routes files definen las comunicaciones postoffice entre el Sensor y el Director. ...Los archivos /hosts definen los nombres y las direcciones IP de los sensores y directores.

También puede iniciar sesión como usuario root, ejecutar el comando sysconfig-sensor e ingresar nuevamente la información de su infraestructura de comunicaciones IDS.

P. ¿Cómo utilizo FTP para copiar los archivos de registro del Sensor y almacenarlos en otro lugar?

A. Refiérase a Copia de los Archivos de Registro IP a Ver para obtener más información sobre este procedimiento.

P. ¿Qué sucedió con el demonio configurado en las versiones 2.5 y 3.1 del software Sensor?

A. Configd es el demonio que procesa todos los comandos tanto en los Directores UNIX como en los Sensores en la base de código 2.2.x. En la base de código 2.5 y 3.0, esta funcionalidad se ha absorbido en los otros demonios y el demonio configurado ya no existe.

P. Cuando actualizo las firmas en el Sensor, aparece el ERROR: No se pudo determinar el tipo de NetRanger del archivo de demonios. No se puede actualizar." . ¿Qué debo hacer al respecto?

A. Edite el archivo /usr/nr/etc/daemons en el Sensor para asegurarse de que nr.packetd esté en la lista de daemon. A continuación, detenga e inicie los servicios.

P. En el IDS 4210, ¿cuál es la interfaz de control y cuál la interfaz de rastreo?

A. La interfaz de control en la parte superior es iprb1:, y la interfaz de rastreo en la parte inferior es iprb0:.

P. ¿Por qué sólo veo una interfaz cuando publico el comando ifconfig -a en mi sensor?

A. El comando ifconfig debe mostrar solamente la interfaz de control. La otra interfaz (la interfaz de rastreo) todavía es utilizada por el Sensor, pero se supone que los usuarios no pueden verla. Si necesita ver esta interfaz, inicie sesión como root y ejecute el comando ifconfig -a para determinar los nombres de la interfaz. Ejecute el comando ifconfig <interface> plumb para verificar el estado de una interfaz en particular.

P. ¿Cómo puedo codificar la velocidad de la interfaz en el sensor?

A. La codificación de la velocidad de la interfaz en el sensor no debe ser necesaria y no es compatible con el soporte técnico de Cisco. Si el switch está configurado para negociación automática, la interfaz negocia la velocidad con el switch al que está conectado. El tráfico de la red al sensor es unidireccional (es decir, el sensor lo recibe). Por lo tanto, generalmente es adecuado si el switch muestra que se ha negociado 100 semidúplex (suponiendo que el puerto del switch es 100 M).

Director de UNIX

P. ¿Puedo utilizar el nuevo sensor 3.0 con una versión 2.2.x de Director?

A. Sí, pero debe actualizar el software Director a la versión 2.2.3 o posterior. Los clientes registrados pueden descargar estos archivos de Cisco Secure Downloads (sólo clientes registrados).

P. ¿Cómo puedo saber qué versión del daemon de Director estoy utilizando?

A. Ejecute el comando cat /usr/nr/VERSION y verifique el número de versión que contiene el resultado.

Nota: El resultado del comando nrvers en Director le indica la versión de los demonios que se ejecutan en Director, pero no le indica la versión del software Director en sí.

P. ¿Cómo puedo conseguir que un Director vuelque su configuración?

A. Inicie sesión como usuario netrangr y ejecute el script /usr/nr/bin/director/nrCollectInfo para enviar la información de configuración a un archivo denominado /usr/nr/var/tmp/Report_For_Director.html.

P. Tengo muchos errores (potencialmente más de 1000) en mi pantalla HP OpenView. Los borro, pero siguen regresando. ¿Por qué?

A. Si IDS Director se inunda de errores y no puede mostrarlos todos, comienza a almacenar en búfer en un archivo. Detenga los demonios IDS y salga de cualquier mapa OpenView que haya abierto para deshacerse del archivo. Elimine el archivo /usr/nr/var/nrDirmap.buffer.default y, a continuación, reinicie los demonios IDS y su mapa OpenView.

P. Tengo problemas para obtener alarmas en el mapa de HP OpenView. Sigo recibiendo errores en /usr/nr/var/errors.nrdirmap. ¿Qué debo hacer?

A. En las versiones IDS anteriores a 2.2.2, lo más fácil es borrar la base de datos OpenView. La base de datos reside en /var/opt/OV/share/database/openview. Complete estos pasos para eliminar la base de datos OpenView.

1. Cierre todos los mapas OpenView abiertos con el comando ovstop y luego detenga los servicios IDS con el comando nrstop.
2. Inicie sesión como usuario root y ejecute /usr/nr/bin/director/nrDeleteOVwDb.
3. Elimine todos los archivos "error.*" del directorio /usr/nr/var (por ejemplo, errors.configd).
4. Reinicie los servicios con el comando nrstart y, a continuación, reinicie OpenView con el comando ovstart.

   Nota: En la versión 2.2.2 de Director, sólo puede quitar la parte IDS de la base de datos OpenView en lugar de la base de datos completa. Este procedimiento se describe en la Guía de Configuración de IDS Director.

P. No puedo obtener alarmas en mi mapa de OpenView. El archivo /usr/nr/var/errors.postofficed en Director contiene mensajes que dicen que nrdirmap no tiene licencia para ejecutarse en este equipo. ¿Cómo resuelvo este problema?

A. Ejecute este comando.

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

Asegúrese de que el usuario netrangr posea los archivos y, a continuación, reinicie los servicios IDS.

P. Cuando ejecuto la utilidad nrConfigure y hago doble clic en Director, aparece este mensaje: "No se puede encontrar el tipo de sensor para <director_name>. Compruebe que Postoffice y packetd están en ejecución". ¿Qué debo hacer?

A. El problema ocurre porque nrConfigure ve el proceso empaquetado en el archivo daemons del Director (que no debería). Cuando nrConfigure solicita al Director su versión como si fuera un Sensor, el Director no puede responder con una versión Sensor.

Para resolver este problema, complete los siguientes pasos.

1. Edite el archivo /usr/nr/etc/daemons y elimine las entradas para nr.packetd, nr.sensord y nr.managed, ya que estos procesos sólo deben ejecutarse en el Sensor.
2. Detenga los servicios con el comando nrstop y luego reinicie los servicios con el comando nrstart.
3. Asegúrese de que nrConfigure se ha apagado.
4. Inicie OpenView con el comando ovw.
5. Seleccione Security > Advanced > nrConfigure DB > Delete para eliminar la base de datos nrConfigure dañada.
6. Introduzca sí cuando se le solicite que continúe.
7. Resalte Director y todos sus sensores en la ventana principal OpenView.
8. Seleccione Security > Advanced > nrConfigure DB > Create para crear una nueva base de datos nrConfigure con las versiones de configuración actuales de las máquinas.

P. ¿Cómo evito que la aplicación nrdirmap esté habilitada de forma predeterminada en los mapas de OpenView?

A. Los usuarios que ejecutan la aplicación IDS en UNIX Director también pueden ejecutar otras aplicaciones en OpenView. Esto no se aconseja, pero en algunos casos no se puede evitar. El problema es que nrdirmap está habilitado de forma predeterminada para cada mapa OpenView, lo que no es deseable cuando otras aplicaciones se ejecutan en OpenView.

Complete estos pasos en UNIX Director para cambiar el valor predeterminado de modo que pueda elegir qué mapas tienen nrdirmap habilitado en ellos.

1. Inicie sesión como usuario netrangr.
2. Escriba cd $OV_REGISTRATION/C. (OV_REGISTRATION forma parte de la variable de entorno. La ruta habitual es /etc/opt/OV/share/registration/C.)
3. Escriba su root.
4. Edite el archivo nrdirmap y cambie la línea "Command" como muestra este resultado:

   Command -Shared -Initial "nrdirmap"; 
   
   !--- Changes to:
   
   Command -Shared -Initial "nrdirmap -d";
   

5. Guarde el archivo nrdirmap.
6. Reciclar OpenView. Ahora, cuando se activa un mapa con el comando ovw, se escribe ps -ef | grep dirmap debería producir resultados similares a los que se muestran aquí. Observe el nrdirmap con el -d switch.

   >ps -ef | grep dirmap
   netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
   netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d 

Los nuevos mapas creados en OpenView ahora no tienen nrdirmap habilitado de forma predeterminada. Si desea crear un mapa con nrdirmap instalado, debe hacerlo desde la GUI de OpenView, como se explica en este procedimiento.

1. En el menú principal OpenView, elija Map > New e ingrese un nombre para el nuevo mapa.
2. En las aplicaciones configurables, debe ver NetRanger/Director. Elija NetRanger/Director y haga clic en Configurar para este mapa.
3. Para la opción que dice "¿Se debe habilitar nrdirmap para este mapa?", elija True si desea habilitar nrdirmap.
4. Elija Verify y haga clic en OK.

P. Actualicé a Director versión 2.2.3, y ahora no puedo establecer la gravedad del evento en un nivel superior a 5, aunque podría hacerlo en versiones anteriores. ¿Por qué ocurre esto?

A. Los niveles de gravedad se han cambiado en la versión 2.2.3 del Director para admitir sólo el rango de 1 a 5.

IDS Cisco Secure Policy Manager (CSPM)

P. ¿Qué versión de CSPM debería utilizar para administrar mi sensor IDS?

A. Actualmente, la versión 2.3i de CSPM es la que puede administrar el sensor IDS, mientras que CSPM 3.0 no puede. Si utiliza CSPM para administrar el sensor y otros dispositivos Cisco Secure (como PIX, routers), debe instalar las dos versiones diferentes de CSPM (2.3i y 3.x) en dos servidores Windows independientes. Puede utilizar cada uno de los servidores para administrar los dispositivos correspondientes: CSPM 2.3i para los sensores y CSPM 3.x para PIX, routers, etc.

P. ¿Cómo configuro CSPM para administrar mi sensor IDS y asegurarse de que la comunicación funcione?

A. Refiérase a Configuración de Cisco Secure IDS Sensor en CSPM para obtener más información sobre cómo configurar CSPM para administrar su sensor IDS y garantizar que la comunicación funcione.

P. ¿Puedo ajustar las firmas para el dispositivo con CSPM?

A. El ajuste implica cambiar lo que se necesita para que se active una firma (como el número de hosts en un barrido) y no significa establecer acciones ni niveles de gravedad.

CSPM no puede ajustar las firmas del dispositivo (en ninguna versión). Sólo puede establecer las acciones y severidades de una firma. En otras palabras, CSPM puede establecer qué gravedad y qué acción asociar a la firma, pero no puede establecer qué dispara esa firma. Para ajustar los sensores, se debe utilizar el menú SigSignMenu del sensor. SigWizeMenu y CSPM se pueden utilizar para configurar el mismo Sensor, ya que afectan a diferentes partes de la configuración.

Nota: Si utiliza la versión 2.2.3 o posterior de UNIX Director, la utilidad nrConfigure puede configurar todo lo que SigStartupMenu configura. Después de actualizar a 2.2.3, debe utilizar nrConfigure en lugar de SigSignMenu para ajustar las firmas.

Información Relacionada

• Soporte de productos del sistema de prevención de intrusiones de Cisco
• Documentación para Cisco Secure Intrusion Detection System
• Avisos de campo para Cisco Secure Intrusion Detection System
• Soporte Técnico y Documentación - Cisco Systems