IPS 시그니처의 동작 변경 확인 새 서명 패키지 업데이트 후 확인 방법

소개

이 문서에서는 Cisco IPS(Intrusion Prevention System)를 새 서명 패키지로 업데이트한 후 새로운 서명에 의해 도입된 동작 변화에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• IPS의 시그니처 업데이트 기능

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• IPS 4XXX 시리즈 센서
• ASA 5585-X IPS SSP 시리즈
• ASA 5500-X IPS SSP 시리즈
• ASA 5500 IPS SSM 시리즈

버전 7.1(10)E4

버전 7.3(4)E4

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

문제

IPS에서 시그니처 업데이트를 수행한 후 패킷 삭제 및 특정 애플리케이션에 대한 연결 문제와 같은 여러 문제가 발생할 수 있습니다.이러한 문제를 해결하려면 서명 업데이트 후 활성 서명 세트의 변경 사항을 이해할 수 있으면 매우 유용합니다.

솔루션

1단계.

먼저 시그니처의 업그레이드 기록을 확인해야 합니다.IPS에서 실행 중인 이전 시그니처 팩과 현재 버전의 시그니처 팩이 표시됩니다.

이 정보는 명령 show version의 출력이나 show tech의 업그레이드 기록 섹션에서 확인할 수 있습니다. 동일한 항목의 코드 조각은 다음과 같습니다.

업그레이드 기록

 

* IPS-sig-S733-req-E4 19:59:50 UTC 2015년 8월 9일 금요일 

  IPS-sig-S734-req-E4.pkg 19:59:49 UTC 화 2015년 8월 13일

이제 IPS에서 실행 중이던 이전 서명 팩이 s733이고 현재 서명 팩인 s734로 업그레이드되었음을 확인할 수 있습니다.

2단계.

두 번째 단계는 IME/IDM을 통해 확인할 수 있는 변경 사항을 이해하는 것입니다.

1. IME/IDM의 활성 서명 탭이 이 이미지에 표시됩니다.

    Configuration(컨피그레이션) > Policies(정책) > Signature Definitions(시그니처 정의) > Sig1 > Active Signatures(활성 시그니처)로 이동합니다.

2. 이 이미지는 특정 서명 릴리스를 선택하는 방법을 보여줍니다.

    Configuration(컨피그레이션) > Policies(정책) > Signature Definitions(시그니처 정의) > Sig1 > Releases(릴리스)로 이동합니다.

특정 릴리스에서 모든 시그니처를 얻은 필터 옵션을 사용하여 엔진, 정확도, 심각도 등을 기준으로 필터링할 수 있습니다.

이를 통해 문제 해결을 조율하는 데 따라 문제의 잠재적 원인이 될 수 있는 서명 릴리스의 변경 사항을 좁힐 수 있어야 합니다.