Migrar o formato de assinatura IPS 4.x para 5.x

Introduction

No Cisco IOS^® versão 12.4(11)T e posterior, o Cisco IOS Intrusion Prevention System (IPS) oferece suporte para o formato de assinatura do software Cisco IPS versão 5.x. O formato de assinatura 5.x é um formato XML de definição de assinatura baseado em versão também usado por outros produtos IPS baseados em dispositivos da Cisco. O suporte para assinaturas e arquivos de definição de assinatura (SDFs) no Cisco IPS versão 4.x são descontinuados neste e em outras versões do software Cisco IOS T-Train.

Os clientes que executam o Cisco IOS IPS com formato de assinatura Version 4.x SDFs podem reconfigurar o Cisco IOS IPS para usar categorias de assinatura predefinidas da Cisco, conjuntos de assinaturas básicas e avançadas ou o utilitário de migração de IPS Cisco IOS para migrar arquivos SDF da versão 4.x anteriores para os conjuntos de assinaturas do formato Cisco IPS Version 5.x.

Este documento descreve como migrar de um SDF de formato Cisco IPS 4.x e habilitar a assinatura migrada definida no Cisco IOS versão 12.4(11)T ou posterior. Para obter mais informações sobre como configurar o Cisco IOS IPS no Cisco IOS versão 12.4(11)T ou posterior, consulte Suporte ao formato de assinatura IPS 5.x e aprimoramentos de usabilidade.

Observação: a Cisco recomenda que você execute a migração do Cisco IOS IPS antes de atualizar para uma imagem do Cisco IOS versão 12.4(11)T ou posterior.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco IOS versão 12.4(11)T ou posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Etapas para migrar os arquivos SDF da versão 4.x

O script de migração requer um arquivo SDF do formato Cisco IPS 4.x e (opcionalmente) o arquivo de configuração CLI que contém as informações de configuração do Cisco IOS IPS usadas em uma versão thatrunsa do roteador anterior à versão 12.4(11)T do Cisco IOS.

O script de migração procura comandos que contenham ip ips subscription <sigid> [<sigsubid>] disabled no arquivo de configuração do roteador. Se o arquivo de configuração não contiver esse comando CLI, não há necessidade do script de migração ler o arquivo de configuração CLI. A conversão de assinaturas, como tal, se baseia apenas no SDF.

Se você executar o script de migração antes de atualizar o Cisco IOS IPS para o Cisco IOS versão 12.4(11)T ou posterior, siga o processo em Executar o script de migração do Cisco IOS IPS.

Se você executar o script de migração depois de atualizar o Cisco IOS IPS para o Cisco IOS versão 12.4(11)T ou posterior, faça o seguinte:

1. Verifique se há necessidade de converter comandos CLI, ip ips subscription <sigid> [<sigsubid>] desativado, conforme mencionado acima.

2. Use o comando copy running-config flash:ipscfg.cfg para salvar a configuração da CLI do roteador em um arquivo.

   Esse comando faz backup da configuração existente do roteador para flash em um arquivo chamado ipscfg.cfg. O processo de migração usa esse arquivo para conversão completa do formato de assinatura 4.x a 5.x.

3. Continue a executar o script de migração de IPS do Cisco IOS.

Executar o script de migração do Cisco IOS IPS

O script de migração está disponível no Cisco.com neste URL: http://www.cisco.com/cgi-bin/tablebuild.pl/ios-v5sigup. Salve o script de migração na memória flash do roteador ou em um local acessível pelo roteador, como um servidor TFTP (Trivial File Transfer Protocol).

O script de migração converte um SDF do formato Cisco IPS Versão 4.x para o formato Versão 5.x. O script de migração suporta apenas estes parâmetros de assinatura:

• severity

• ação

• habilitado

Além disso, o script de migração também pode ler de um arquivo de configuração do IOS IPS e migrar assinaturas desabilitadas que foram configuradas pelo comando CLI ip ips subscription <sigid> <sigsubid> disabled em versões anteriores ao Cisco IOS versão 12.4(11)T.

Observação: assinaturas personalizadas (não da Cisco) não são convertidas com este script.

Este exemplo mostra como migrar o arquivo formatado de IPS 4.x sdmips.sdf para o Cisco IOS IPS no Cisco IOS versão 12.4(11)T com suporte para o formato de assinatura do Cisco IOS IPS 5.x.

C2821#tclsh flash:ios-ips-migrate.tbc
This migration script will migrate Signature Definition Files
     from 4.x format to 5.x format.
The migration script will migrate only the following signature
     parameters - severity, action, enabled - for Cisco (non-custom) signatures.
Do you want to continue? [y/n] y
Please choose an IOS config file from which to migrate IOS IPS configuration.
Config File: [startup-config]
The following SDF locations were found configured in startup-config:
  flash://sdmips.sdf
Please provide SDF to migrate from the above list or of your own
     choice: flash:// sdmips.sdf
Migrating following SDF file (this will a take few minutes):
  flash://sdmips.sdf
Time Elapsed: 0:02:23
Migration completed successfully. The migrated file is
  C2821-sigdef-delta.xml
C2821#

Primeiro, o script de migração exibe um texto breve sobre sua função. Em seguida, o script fornece uma opção para escolher um local de onde ler a configuração atual (pré-migração) para o Cisco IOS IPS. O padrão é a leitura da configuração de inicialização. Se você já salvou uma configuração em um servidor TFTP ou na memória flash do roteador, especifique o local no prompt.

Por exemplo:

Use tftp:// 192.168.1.5/<configuração CLI do roteador> para notificar o script para carregar uma configuração CLI do servidor TFTP 192.168.1.5.

Use flash://<saved-configuration> para ler um arquivo salvo na flash.

Carregar as assinaturas migradas no Cisco IOS IPS no Cisco IOS Software Release 12.4(11)T

Após a conclusão da migração da assinatura, atualize a imagem do roteador para o Cisco IOS versão 12.4(11)T, se ainda não o fez. Depois que o roteador for recarregado, faça o seguinte.

1. Ative o Cisco IOS IPS.

   Esta saída mostra como habilitar o Cisco IOS IPS em um roteador Cisco 2821. Para obter mais informações sobre como configurar o Cisco IOS IPS, consulte Suporte ao formato de assinatura IPS 5.x e aprimoramentos de usabilidade.

   C2821#mkdir ips
   Create directory filename [ips]?
   Created dir flash:ips
   C2821#conf t
   Enter configuration commands, one per line. End with CNTL/Z.
   C2821(config)#ip ips name MYIPS
   C2821(config)#ip ips config location ips
   C2821(config)#ip ips signature-category
   C2821(config-ips-category)#category all
   C2821(config-ips-category-action)#retired true
   C2821(config-ips-category-action)#exit
   C2821(config-ips-category)#exit
   Do you want to accept these changes? [confirm]y
   C2821(config)#

2. Copie e cole essa chave no roteador para configurar a chave pública de assinatura de criptografia.

   crypto key pubkey-chain rsa
    named-key realm-cisco.pub signature
    key-string
    30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
    00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
    17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
    B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
    5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
    FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
    50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
    006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 
    2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
    F3020301 0001
    quit
    exit
    exit

3. Ative o Cisco IOS IPS nas interfaces como mostrado neste exemplo:

   C2821(config)#
   C2821(config)#interface gigabitEthernet 0/0
   C2821(config-if)#ip ips MYIPS in
   C2821(config-if)#ip ips MYIPS out
   C2821(config-if)#exit
   

4. Use o comando copy para carregar o pacote de assinatura mais recente:

   C2821#copy tftp://192.168.1.5/IOS-S253-CLI.pkg idconf
   

   Este comando carrega assinaturas do pacote de assinatura IOS-S253-CLI.pkg no Cisco IOS IPS.

   Observação: a categoria de assinatura ios-ips todas foi configurada na etapa 1, que retira todas as assinaturas. Depois que o pacote de assinatura for carregado com êxito, nenhuma assinatura será selecionada e compilada.

5. Use este comando para carregar o arquivo XML migrado para o Cisco IOS IPS:

   <router-hostname>-sigdef-delta.xml

   Por exemplo:

   copy flash:C2821-sigdef-delta.xml idconf
   

   Quando o roteador analisa o arquivo de assinatura formatado da versão 5.x, a migração é concluída.

6. Use o comando show ip ips subscription count para verificar o status resumido da assinatura e use o comando show ip ips subscription details para exibir detalhes específicos de todas as assinaturas.

Informações Relacionadas

• Cisco Intrusion Prevention System
• Avisos de campo do produto de segurança (incluindo CiscoSecure Intrusion Detection)
• Suporte Técnico - Cisco Systems