Este documento contiene preguntas frecuentes (FAQ) sobre Cisco Secure Intrusion Detection System (IDS), anteriormente conocido como NetRanger, versiones 3.1 y anteriores.
A. Refiérase al conjunto completo de la documentación del producto para obtener más información sobre Cisco Secure IDS.
A. Debe actualizar las firmas de Sensor y Plataforma de administración por separado. Tenga en cuenta que el software de administración no puede aprender las firmas del sensor, por lo que también debe actualizarse. Descargue el archivo de actualización de firma más reciente para cada aplicación desde Cisco Secure Downloads (sólo clientes registrados) . Los archivos Léame disponibles en la misma ubicación contienen instrucciones para el procedimiento de actualización.
A. La lista de firmas IDS está disponible a través de Cisco Secure Encyclopedia (sólo clientes registrados).
A. En el sensor independiente de IDS UNIX y el software de administración de IDS, la contraseña predeterminada es "ataque" para los usuarios de netrangr y root. Cuando ejecuta el comando su para convertirse en usuario raíz, la contraseña predeterminada es "ataque". En el blade del módulo del sistema de detección de intrusiones (IDSM), la contraseña predeterminada es "ataque" para el nombre de usuario ciscoids.
A. Necesita un servidor FTP local para poder cargar las configuraciones.
- Ingrese este comando desde el modo de diagnóstico en el blade.
report systemstatus siteuser dir - Escriba y para continuar cuando se le pida que "Continúe generando el informe del sistema?".
- Escriba la contraseña FTP del usuario especificado cuando se le solicite. Cuando el proceso ha finalizado, recibe un mensaje que indica si el proceso ha fallado o si se ha enviado el archivo.
A. Los registros de instalación/actualización se pueden encontrar en estas ubicaciones:
Los registros de instalación de Director se encuentran en /var/adm/nrInstall.log.
Los registros de actualización del paquete de servicio del sensor se encuentran en /usr/nr/sp-update/.
Los registros de actualización de firmas se encuentran en /usr/nr/sig-update/.
A. IDS está disponible solamente para PIX 6.0 y posteriores. Las firmas están contenidas en los mensajes syslog 400000 a 400051, denominados mensajes de firma de Cisco Secure IDS. Refiérase a la documentación Mensajes de Registro del Sistema PIX para obtener más información sobre cada firma.
A. Inscríbase en Notificaciones de actualización activa de Cisco IDS para recibir alertas por correo electrónico para noticias de productos relacionadas con Cisco Secure IDS.
A. Antes de la versión 3.1, las opciones de administración son utilizar Cisco Secure Policy Manager (CSPM) o UNIX Director. La diferencia principal entre ambos es que CSPM se ejecuta como una aplicación independiente en un servidor Windows, mientras que UNIX Director se ejecuta sobre HP OpenView en un servidor UNIX Solaris. Con IDS 3.1, los sensores también se pueden administrar a través de IDS Event Viewer (IEV) instalado en un PC o mediante IDS Device Manager, que forma parte de la versión 3.1 Sensor. El administrador de dispositivos se habilita de forma predeterminada mediante Secure Socket Layer (SSL) después de configurar el sensor.
A. El software SDK no está disponible para el público.
A. La versión 4.0 ofrece varias nuevas funciones. La nueva función más visible es una interfaz de línea de comandos (CLI) similar a Cisco IOS®.
A. No se admite el ajuste de la velocidad/dúplex en el código 3.x y 4.0 y hay un error en la solicitud de la función (Cisco bug ID CSCdy43054 ( sólo clientes registrados). La función está disponible en el código 5.0, que ahora está disponible en Configuración de Interfaces.
A. Los clientes pueden descargar el archivo de actualización para la versión 3.1 de Cisco Secure Downloads (sólo clientes registrados) .
A. Los clientes pueden descargar el archivo de actualización para la versión 3.0 de Cisco Secure Downloads (sólo clientes registrados) . Instale la actualización de software de la misma manera que se instalan las actualizaciones de firmas y Service Pack en la versión 2.5. El procedimiento se describe en detalle en la Nota de Configuración del Sensor IDS de Cisco versión 3.0.
A. El archivo de actualización 3.0 se puede descargar de Cisco Secure Downloads ( sólo clientes registrados) , pero este archivo no puede actualizar versiones antes de 2.5. Debe utilizar el CD de actualización/recuperación disponible a través de la Herramienta de actualización de producto (sólo clientes registrados) para actualizar de la versión de software 2.2 a 3.0. El número de pieza para este CD es IDS-SW-U.
Nota: Debe tener un contrato de soporte válido para solicitar el CD de actualización/recuperación.
A. Compruebe que está utilizando un teclado y un monitor compatibles. Algunas marcas y modelos no son compatibles con Cisco Secure IDS y evitan que el sensor IDS se inicie correctamente. Refiérase a Falla de Arranque del Dispositivo IDS Seguro de Cisco para ver detalles específicos de la marca.
A. Cada uno de estos archivos contiene un conjunto específico de actualizaciones o adiciones de software, como se indica en las convenciones de nomenclatura aquí explicadas.
La actualización del Service Pack para el software IDS Sensor Appliance contiene mejoras en el software de la aplicación de núcleo IDS Sensor así como correcciones de errores. Por ejemplo, un archivo denominado IDSk9-sp-3.0-5-S17.bin incluye actualizaciones de la versión de software 3.0(5) más el número de conjunto de firmas 17.
El archivo de actualización de firma sólo contiene actualizaciones de las firmas (huellas dactilares de ataque). Por ejemplo, un archivo llamado IDSk9-sig-3.0-5-S18.bin contiene el número de conjunto de firmas 18 para el software 3.0(5) Sensor.
Los clientes pueden descargar estos archivos desde el sitio Cisco Secure Downloads (sólo clientes registrados).
A. Inicie sesión en el Sensor como usuario netrangr y ejecute este comando:
nrgetbulk
Debería recibir una respuesta similar a "<IP_address> Activo", que muestra la dirección IP del dispositivo de rechazo utilizado para bloquear ataques. Este resultado muestra un ejemplo de la sintaxis del comando y la respuesta esperada:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active SuccessTambién puede iniciar sesión en el router y ejecutar el comando Who para ver si el Sensor está conectado.
A. Este mensaje de error indica posibles problemas con los archivos /usr/nr/etc/routes y/usr/nr/etc/hosts en su sensor. .../routes files definen las comunicaciones postoffice entre el Sensor y el Director. ...Los archivos /hosts definen los nombres y las direcciones IP de los sensores y directores.
También puede iniciar sesión como usuario root, ejecutar el comando sysconfig-sensor e ingresar nuevamente la información de su infraestructura de comunicaciones IDS.
A. Refiérase a Copia de los Archivos de Registro IP a Ver para obtener más información sobre este procedimiento.
A. Configd es el demonio que procesa todos los comandos tanto en los Directores UNIX como en los Sensores en la base de código 2.2.x. En la base de código 2.5 y 3.0, esta funcionalidad se ha absorbido en los otros demonios y el demonio configurado ya no existe.
A. Edite el archivo /usr/nr/etc/daemons en el Sensor para asegurarse de que nr.packetd esté en la lista de daemon. A continuación, detenga e inicie los servicios.
A. La interfaz de control en la parte superior es iprb1:, y la interfaz de rastreo en la parte inferior es iprb0:.
A. El comando ifconfig debe mostrar solamente la interfaz de control. La otra interfaz (la interfaz de rastreo) todavía es utilizada por el Sensor, pero se supone que los usuarios no pueden verla. Si necesita ver esta interfaz, inicie sesión como root y ejecute el comando ifconfig -a para determinar los nombres de la interfaz. Ejecute el comando ifconfig <interface> plumb para verificar el estado de una interfaz en particular.
A. La codificación de la velocidad de la interfaz en el sensor no debe ser necesaria y no es compatible con el soporte técnico de Cisco. Si el switch está configurado para negociación automática, la interfaz negocia la velocidad con el switch al que está conectado. El tráfico de la red al sensor es unidireccional (es decir, el sensor lo recibe). Por lo tanto, generalmente es adecuado si el switch muestra que se ha negociado 100 semidúplex (suponiendo que el puerto del switch es 100 M).
A. Sí, pero debe actualizar el software Director a la versión 2.2.3 o posterior. Los clientes registrados pueden descargar estos archivos de Cisco Secure Downloads (sólo clientes registrados).
A. Ejecute el comando cat /usr/nr/VERSION y verifique el número de versión que contiene el resultado.
Nota: El resultado del comando nrvers en Director le indica la versión de los demonios que se ejecutan en Director, pero no le indica la versión del software Director en sí.
A. Inicie sesión como usuario netrangr y ejecute el script /usr/nr/bin/director/nrCollectInfo para enviar la información de configuración a un archivo denominado /usr/nr/var/tmp/Report_For_Director.html.
A. Si IDS Director se inunda de errores y no puede mostrarlos todos, comienza a almacenar en búfer en un archivo. Detenga los demonios IDS y salga de cualquier mapa OpenView que haya abierto para deshacerse del archivo. Elimine el archivo /usr/nr/var/nrDirmap.buffer.default y, a continuación, reinicie los demonios IDS y su mapa OpenView.
A. En las versiones IDS anteriores a 2.2.2, lo más fácil es borrar la base de datos OpenView. La base de datos reside en /var/opt/OV/share/database/openview. Complete estos pasos para eliminar la base de datos OpenView.
- Cierre todos los mapas OpenView abiertos con el comando ovstop y luego detenga los servicios IDS con el comando nrstop.
- Inicie sesión como usuario root y ejecute /usr/nr/bin/director/nrDeleteOVwDb.
- Elimine todos los archivos "error.*" del directorio /usr/nr/var (por ejemplo, errors.configd).
- Reinicie los servicios con el comando nrstart y, a continuación, reinicie OpenView con el comando ovstart.
Nota: En la versión 2.2.2 de Director, sólo puede quitar la parte IDS de la base de datos OpenView en lugar de la base de datos completa. Este procedimiento se describe en la Guía de Configuración de IDS Director.
A. Ejecute este comando.
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesAsegúrese de que el usuario netrangr posea los archivos y, a continuación, reinicie los servicios IDS.
A. El problema ocurre porque nrConfigure ve el proceso empaquetado en el archivo daemons del Director (que no debería). Cuando nrConfigure solicita al Director su versión como si fuera un Sensor, el Director no puede responder con una versión Sensor.
Para resolver este problema, complete los siguientes pasos.
- Edite el archivo /usr/nr/etc/daemons y elimine las entradas para nr.packetd, nr.sensord y nr.managed, ya que estos procesos sólo deben ejecutarse en el Sensor.
- Detenga los servicios con el comando nrstop y luego reinicie los servicios con el comando nrstart.
- Asegúrese de que nrConfigure se ha apagado.
- Inicie OpenView con el comando ovw.
- Seleccione Security > Advanced > nrConfigure DB > Delete para eliminar la base de datos nrConfigure dañada.
- Introduzca sí cuando se le solicite que continúe.
- Resalte Director y todos sus sensores en la ventana principal OpenView.
- Seleccione Security > Advanced > nrConfigure DB > Create para crear una nueva base de datos nrConfigure con las versiones de configuración actuales de las máquinas.
A. Los usuarios que ejecutan la aplicación IDS en UNIX Director también pueden ejecutar otras aplicaciones en OpenView. Esto no se aconseja, pero en algunos casos no se puede evitar. El problema es que nrdirmap está habilitado de forma predeterminada para cada mapa OpenView, lo que no es deseable cuando otras aplicaciones se ejecutan en OpenView.
Complete estos pasos en UNIX Director para cambiar el valor predeterminado de modo que pueda elegir qué mapas tienen nrdirmap habilitado en ellos.
- Inicie sesión como usuario netrangr.
- Escriba cd $OV_REGISTRATION/C. (OV_REGISTRATION forma parte de la variable de entorno. La ruta habitual es /etc/opt/OV/share/registration/C.)
- Escriba su root.
- Edite el archivo nrdirmap y cambie la línea "Command" como muestra este resultado:
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- Guarde el archivo nrdirmap.
- Reciclar OpenView. Ahora, cuando se activa un mapa con el comando ovw, se escribe ps -ef | grep dirmap debería producir resultados similares a los que se muestran aquí. Observe el nrdirmap con el -d switch.
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dLos nuevos mapas creados en OpenView ahora no tienen nrdirmap habilitado de forma predeterminada. Si desea crear un mapa con nrdirmap instalado, debe hacerlo desde la GUI de OpenView, como se explica en este procedimiento.
- En el menú principal OpenView, elija Map > New e ingrese un nombre para el nuevo mapa.
- En las aplicaciones configurables, debe ver NetRanger/Director. Elija NetRanger/Director y haga clic en Configurar para este mapa.
- Para la opción que dice "¿Se debe habilitar nrdirmap para este mapa?", elija True si desea habilitar nrdirmap.
- Elija Verify y haga clic en OK.
A. Los niveles de gravedad se han cambiado en la versión 2.2.3 del Director para admitir sólo el rango de 1 a 5.
A. Actualmente, la versión 2.3i de CSPM es la que puede administrar el sensor IDS, mientras que CSPM 3.0 no puede. Si utiliza CSPM para administrar el sensor y otros dispositivos Cisco Secure (como PIX, routers), debe instalar las dos versiones diferentes de CSPM (2.3i y 3.x) en dos servidores Windows independientes. Puede utilizar cada uno de los servidores para administrar los dispositivos correspondientes: CSPM 2.3i para los sensores y CSPM 3.x para PIX, routers, etc.
A. Refiérase a Configuración de Cisco Secure IDS Sensor en CSPM para obtener más información sobre cómo configurar CSPM para administrar su sensor IDS y garantizar que la comunicación funcione.
A. El ajuste implica cambiar lo que se necesita para que se active una firma (como el número de hosts en un barrido) y no significa establecer acciones ni niveles de gravedad.
CSPM no puede ajustar las firmas del dispositivo (en ninguna versión). Sólo puede establecer las acciones y severidades de una firma. En otras palabras, CSPM puede establecer qué gravedad y qué acción asociar a la firma, pero no puede establecer qué dispara esa firma. Para ajustar los sensores, se debe utilizar el menú SigSignMenu del sensor. SigWizeMenu y CSPM se pueden utilizar para configurar el mismo Sensor, ya que afectan a diferentes partes de la configuración.
Nota: Si utiliza la versión 2.2.3 o posterior de UNIX Director, la utilidad nrConfigure puede configurar todo lo que SigStartupMenu configura. Después de actualizar a 2.2.3, debe utilizar nrConfigure en lugar de SigSignMenu para ajustar las firmas.