Introduction
Este documento descreve as alterações comportamentais introduzidas pelas novas assinaturas após a atualização do Cisco Intrusion Prevention System (IPS) para um novo pacote de assinatura.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Recurso de atualização de assinatura no IPS
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Sensores IPS 4XXX Series
- ASA 5585-X IPS SSP series
- ASA 5500-X IPS SSP series
- ASA 5500 IPS SSM Series
Versão 7.1(10)E4
Versão 7.3(4)E4
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Problema
Pode haver vários problemas, como quedas de pacotes e problemas de conectividade com determinados aplicativos após executar uma atualização de assinatura no IPS.Para solucionar esses problemas, seria muito útil se você pudesse entender as alterações no conjunto de assinaturas ativo após a atualização da assinatura.
Solução
Etapa 1.
A primeira coisa que você precisa verificar é o histórico de atualização da assinatura. Isso informa o pacote de assinatura anterior que estava sendo executado no IPS e a versão atual do pacote de assinatura.
Isso pode ser encontrado na saída do comando show version ou na seção de histórico de atualização do show tech. Um trecho do mesmo é mencionado aqui:
Histórico de atualização
* IPS-sig-S733-req-E4 19:59:50 UTC Sex 09 de agosto de 2015
IPS-sig-S734-req-E4.pkg 19:59:49 UTC Tue 13 de agosto de 2015
Agora você pode verificar que o pacote de assinatura anterior que estava sendo executado no IPS era s733 e foi atualizado para s734, que é o pacote de assinatura atual.
Etapa 2.
A segunda etapa é entender as alterações que foram feitas e que podem ser verificadas por meio do IME/IDM.
1. A guia de assinatura ativa no IME/IDM é mostrada nesta imagem.
Navegue até Configuration > Policies > Signature Settings > Sig1 > Ative Signatures.
2. Esta imagem mostra como selecionar uma versão de assinatura específica.
Navegue até Configuração > Políticas > Definições de assinatura > Sig1 > Versões.
Além disso, usando a opção de filtro, você obteve todas as assinaturas de uma versão específica, você pode filtrá-las com base no mecanismo, fidelidade, gravidade etc.
Ao fazer isso, você deve ser capaz de restringir as alterações na versão de assinatura que podem ser uma causa potencial para o problema com base no qual você alinha sua solução de problemas.