» CISCO IDS sensor

Кто работает с данным модулем отзовитесь

Имеется 3845 с установленным IDS сенсором, прикручен к Loopback0

Есть вопросы когда заходишь на него при помощи Cisco IDM 5.1 после логина он просит лицензию (файла у меня нет где взять?) В интерфейсах на мониторинг есть только FastEthernet0/1
Мне необходимо снимать с гигабитных интерфейсов статистику.

В конфиге для
interface GigabitEthernet0/0
ids-service-module monitoring прописано.

Если отсутствует файл лицензии помимо того что я немогу обновить сигнатуры ещё какие нибудь ограничения есть?

Как получить лицензионный файлик?

неужели никто не пользует данный модуль?

AMuHb
Использует... вот только IDM давно никто не юзает, ща же CS-MARS или CSM.

А есть вариант перешить модуль ?

Если да то где взять ось на него и всё остальное?

Добавлено:
или вариант один вынуть его из шасси просверлить дырку и на стенку повесить?

Посоветуйте стоит с ним биться или это бесполезный секс

AMuHb

Цитата:

А есть вариант перешить модуль ?

Какой модуль у вас установлен?

Цитата:

Если да то где взять ось на него и всё остальное?

В соответствующей теме Варезника


Цитата:

или вариант один вынуть его из шасси просверлить дырку и на стенку повесить?
Посоветуйте стоит с ним биться или это бесполезный секс

Ж:зD... не надо ничего вынимать, сверлить и вешать, советую побиться, секс полезный.

Почитайте просто хорошенько про IDS/IPS на cisco.com. С софтом поможем. Для начала можно попробовать поработать с модулем через IPS Manager Express

Благодарю за отзыв.

Cisco Intrusion Prevention System, Version 5.1(4)S257.0

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S257.0 2006-11-02
Virus Update V1.2 2005-11-24
OS Version: 2.4.26-IDS-smp-bigphys
Platform: NM-CIDS
Serial Number: FOC10470M43
No license present
MainApp 2006_Oct_31_21.30 (Release) 2006-10-31T22:17:04-0600 Running
AnalysisEngine 2006_Oct_31_21.30 (Release) 2006-10-31T22:17:04-0600 Running
CLI 2006_Oct_31_21.30 (Release) 2006-10-31T22:17:04-0600

Upgrade History:

IPS-K9-sp-5.1-4 15:30:00 UTC Tue Oct 31 2006
Recovery Partition Version 1.1 - 5.1(4)


Без файла лицензии функционал не теряется?

Добавлено:
Качнул Cisco IPS Manager Express 7.0.1 но конфигурить через неё немогу, говорит у вас версия сенсора 5,1 нада 7. Ненашёл я шиву на него на 7 версию, бывает в природе?

Добавлено:
качнул IPS-K9-7.0-1-E3.pkg но как его заинсталить? зашёл через IDM5.1 Update Sensor пихаю ему пакадж но он даёт ошибку что этот пакет не может быть установлен на платформу NM-CIDS

какие дальнейшие действия?

AMuHb
С данным модулем не работал, но, imho, там всё как обычно, вот только показалось, что седьмую версию он не поддерживает (не вижу этот модульв описалове IPS 7.0]
Процедура обновления софта и сигнатур сенсора описана тут. Попробуйте накатить семерку из CLI как описано выше, если не поедет, то попробуем 6.0(5).

Вообще, тут момент такой: решите, что вам нужно обновить - софт и сигнатуры или только сигнатуры? Может, достаточно просто обновить сигнатуры?

В идеале хотелось бы всё обновить, для начала думаю неплохо будет сигнатуры подтянуть, проблемка только у меня лицензионного ключика нету от сенсора, куда затеряли доки незнаю, как с ним быть тоже ума не приложу.
По ссылкам на цисковский сайт там в их описаловох первым шагом идёт зайдите на циско ком и введите логин и пароль %-) их нет у меня.

Буду сейчас перекуривать вышеописанные ресурсы.

IPS Manager Expres 7.0.1 цепляет сенсор, но из за разных версий с сенсором функционала нету 8-( доступен только просмотр евентов. А хочется полнофункционала

AMuHb
имхо, коль NM-CIDS нет в описалове IPS 7.0, видимо стОит попробовать из CLI проапгрейдиться на версию 6.0(х). Затем, если IME 7.0(1) по-прежнему не даст полного функционала - пробовать IME 6.2(1).
Хотя в качестве проверки сначала можно попробовать проапгрейдиться и до IPS 7.0, вдруг поедет? Только вы делайте это из CLI.

Попытка установить 7-ю версию увенчалась провалом 8-(

Error: execUpgradeSoftware : This package cannot be installed on the NM-CIDS platform, please consu
lt the readme for supported platforminformation.

На жанную платформу не встаёт она.

AMuHb
Ожидаемо.
Пробуем:
IPS-NM_CIDS-K9-sys-1.1-a-6.0-5-E3
Release Date: 01/Nov/2008
IPS-NM_CIDS System Image File
Size: 25745.34 KB (26363224 bytes)

Нашёл на циско ком процедуру инсталла обновления (ниже)

Как видно из описалова если ServicesEngine Bootloader Version : 1.0.17-1 (у меня так) то необходимо установить Caution If the bootloader version is not 1.0.17-3, you must upgrade it before installing IPS 6.0.

Нужен файлик.


Step 4 Session to NM-CIDS:
router(enable)# service-module IDS-Sensor slot_number/0 session
Note Use the show configuration | include interface IDS-Sensor command to determine the NM-CIDS slot number.
Step 5 Suspend the session by pressing Shift-Ctrl-6 X.
You should see the router# prompt. If you do not see this prompt, try Ctrl-6 X.
Step 6 Reset NM-CIDS:
router(enable)# service-module IDS-Sensor slot_number/0 reset
You are prompted to confirm the reset command.
Step 7 Press Enter to confirm.
Step 8 Press Enter to resume the suspended session.
After displaying its version, the bootloader displays this prompt for 15 seconds:
Please enter '***' to change boot configuration:
Step 9 Enter *** during the 15-second delay.
The bootloader prompt appears.
Step 10 Display the bootloader configuration:
ServicesEngine boot-loader> show config
Caution If the bootloader version is not 1.0.17-3, you must upgrade it before installing IPS 6.0.
Step 11 Configure the bootloader parameters:
ServicesEngine boot-loader> config
Step 12 You are prompted for each value line by line.
a. Specify the IP address—The external fast Ethernet port on NM-CIDS.
This must be a real IP address on your network.
b. Specify the subnet mask—The external fast Ethernet port on NM-CIDS.
This must be a real IP address on your network.
c. Specify the TFTP server IP address—The IP address of the TFTP server from which to download the NM-CIDS system image.
d. Specify the gateway IP address—The IP address of the default gateway for hosts on your subnet.
e. Specify the default helper file—The name of the helper image to boot.
The NM-CIDS helper file is NM-CIDS-K9-helper-1.0-1.bin.
f. Specify the Ethernet interface—The Ethernet interface is always set to external.
g. Specify the default boot device—The default boot device is always set to disk.
h. Specify the default bootloader—The default bootloader is always set to primary.
If you made any changes, the bootloader stores them permanently. The bootloader command prompt appears.
Caution The next step erases all data from the NM-CIDS hard-disk drive.
Step 13 Boot the system image:
ServicesEngine boot-loader> boot helper IPS-NM-CIDS-K9-sys-1.1-a-6.0-1-E1.img
The bootloader displays a spinning line while loading the system image from the TFTP server. When the system image is loaded, it is booted. The system image installs IPS 6.0(1) on NM-CIDS. When the installation is complete, NM-CIDS reboots. The system is restored to default settings. The user account and password are set to cisco.
Step 14 Initialize NM-CIDS with the setup command.

AMuHb
NM-CIDS Bootloader 1.0.17-3: http://slil.ru/27717777

ServicesEngine boot-loader> boot helper aesop_bl-1.0.17-3
Probing...[EEPRO100]Found Intel EtherExpressPro100 at 0x00000000 ROM address 0x
00000000
Ethernet addr: 00:1A:2F:E6:5B:19
Me: 172.16.0.254, Server: 172.16.1.40, Gateway: 172.16.0.1
Loading aesop_bl-1.0.17-3
Dbg: Final image size: 119248
Invalid signature hdr
corrupt dnld image
Unable to load aesop_bl-1.0.17-3
Please check bootloader configuration using show config and verify that:
1. network connectivity to the tftp server exists and
2. the specified helper image exists on the tftp server

Добавлено:
или его нужно иначе заливать?

AMuHb
Заливать нужно иначе, внимательно читайте "Upgrading the NM-CIDS Bootloader" вConfiguring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 6.0

Понадобится NM-CIDS-K9-helper-1.0-1

Если я всё правильно понял то:


Грузим ServicesEngine boot-loader># boot helper NM-CIDS-K9-helper-1.0-1.bin

выбираем 5 пункт
5 - Change file transfer method (currently secure shell)
для выбора tftp
потом выбираем 2 пункт
2 - Download bootloader and write to flash
Selection [1234rh]:servicesengine-boot-1.0-17-3_dev.bin
Ready to begin
Are you sure? y/n

Тот имидж что я скачал по ссылке выше не имеет расширения aesop_bl-1.0.17-3 это нормально?

Добавлено:
Обновился

При буте пролетает один варнинг
Checking for system modifications since last boot [WARNING]

вот что получилось

sensor# sh ver
Application Partition:

Cisco Intrusion Prevention System, Version 6.0(5)E3

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S365.0 2008-10-31
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: NM-CIDS
Serial Number: FOC10470M43
No license present
Sensor up-time is 1 min.
Using 403492864 out of 509292544 bytes of available memory (79% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 39.1M out of 174.7M bytes of available disk space (24% usage)
boot is using 39.1M out of 75.9M bytes of available disk space (54% usage)
application-log is using 32.1M out of 2.8G bytes of available disk space (1% usage)


MainApp N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
AnalysisEngine NE-2008_OCT_16_22_05 (Release) 2008-10-16T22:30:37-0500 Running
CLI N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500

Upgrade History:

IPS-K9-6.0-5-E3 22:05:00 UTC Thu Oct 16 2008

Recovery Partition Version 1.1 - 6.0(5)E3

AMuHb
Во, софт сенсора проапгрейдился. Теперь дело за сигнатурами, недавно выкладывал тут, попозже выложу последние. А с IME 7.0(1) пробовали законнектиться? 7.0(1) видит сенсор? или только 6.2(1)?

IME 7.0.1 видит только эвенты
Придётся качнуть 6,2,1


Сигнатуры пока не обновил, а без файла лицензии я это смогу сделать?


Добавлено:
Переинсталил на 6,2 но тоже без особого эффекта только эвенты

Sensor version 6.0(5)E3 is not supported by the Configuration engine of this application. The integrated Configuration feature available only from sensor version 6.2.

AMuHb
Забыл, что нет лицензии;) Дернул 60-day trial license, киньте в приват ваш email, сброшу.

NM-CIDS - старый модуль (EOS/EOL), руками бы попробовать. Cisco уверяет, что обновить только при наличии лицензии. Вот почему-то не верится. что нельзя этого сделать из CLI без лицензии.
Сравнив то, что было:

Цитата:

Cisco Intrusion Prevention System, Version 5.1(4)S257.0
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S257.0 2006-11-02
Virus Update V1.2 2005-11-24

и

Цитата:

Cisco Intrusion Prevention System, Version 6.0(5)E3
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S365.0 2008-10-31
Virus Update V1.4 2007-03-02

видим, что сигнатуры всё-таки обновлены, т.е. подтянуты из того, что идут в дистрибутиве софта. Значит, теоретически, обновление всё-таки возможно.

Касательно IME 6.2... действительно, только с IPS 6.2... А вот максимум для NM-CIDS - 6.0(x)

На просторах инета нашёл именно такой расклад что сигнатуры обновляются вместе с софтом (шивой) иначе их туда не втулить.

По поводу IME 6.0 чтоб полнофункционально работал с данной версией прошивки не подскажите где качнуть?

Добавлено:
Вариант если только сигнатуры впихнуть в прошивку, но она подписана циской.

Откуда нить можно качнуть IME 6.0

AMuHb

Цитата:

Откуда нить можно качнуть IME 6.0

Не получится, продукт достаточно новый, пришел на смену IPS Event Viewer (IEV), поддерживает IPS начиная с 6.1(1)
[more=Подробнее]
Cisco Systems, Inc.
Cisco Intrusion Prevention System
Cisco IPS Manager Express (IME) 6.1(1)
April 29, 2008

Copyright (C) 2008 Cisco Systems, Inc. All rights reserved. Printed in
the USA. Cisco, Cisco Systems, and the Cisco Systems logo are
registered trademarks of Cisco Systems, Inc. in the U.S. and certain
other countries. All other trademarks mentioned in this document are
the property of their registered owners.

======================================================================
Table Of Contents
======================================================================

REVISION HISTORY

CISCO IPS MANAGER EXPRESS
- FEATURES
- IMPORTANT INSTALLATION NOTE
- FILE LIST
- SYSTEM REQUIREMENTS
- INSTALLATION
- MIGRATING FROM IEV 5.X TO IME 6.1
- UNINSTALL
- STARTING IME
- DOCUMENTATION
- CAVEATS

======================================================================

REVISION HISTORY

4/29/2008: Initial Version
4/30/2008: Added MIGRATING FROM IEV 5.X TO IME 6.1 section
5/08/2008: Re-formatted to fixed width font.
======================================================================

CISCO IPS MANAGER EXPRESS

FEATURES

The Cisco IPS Manager Express (IME) is a new powerful all-in-one IPS
management application. With one application, you can provision,
monitor, troubleshoot, and generate reports for as many as five IDS,
IPS, or IOS IPS devices.

NOTE: While IME can be used to monitor sensor devices running Cisco
IPS 5.0 and later, some of the new features and functionality delivered
in IME are only supported on sensors running Cisco IPS 6.1 or later.

IME introduces the following new features:

- Real-time and historical events monitoring
- Customizable dashboards
- Integrated configuration management *
- Health monitoring console *
- RSS Feeds
- Video Help
- Reporting
- Startup Wizard *
- Integrated tools (ping, traceroute, whois, DNS)

* Only supported on sensors running Cisco IPS 6.1 and later.

NOTE: IME replaces IPS Event Viewer (IEV).

IMPORTANT INSTALLATION NOTE

You cannot install IME on systems with existing CSM or IEV install-
ations. You must uninstall these applications before installing the
IME application file. For more details, refer to "Installing and
Using Cisco Intrusion Prevention System Manager Express 6.1.”

FILE LIST

The following files are included as part of this release:

Readme
- IME-6.1-1.readme.txt

Cisco IME
- IME-6.1.1.exe

SYSTEM REQUIREMENTS

Minimum Hardware Requirement        
- CPU: Pentium, AMD Athlon or equivalent running at 2 GHz (minimum)    
- Memory: 2 GB     

Supported OS        
- Windows Vista Business and Ultimate, Windows XP Professional,
Windows Server 2003 R2 
(Note: both the English and Japanese versions of Windows are
supported)
- 32-bit (64-bit not supported)

Hard-disk capacity        
- 100GB    

Minimum Screen Size        
- 1024x768    

INSTALLATION

WARNING: Do not install IME on top of existing installations of CSM or
IEV. You must uninstall these applications before installing IME. If
you are migrating from IEV 5.x and want to import your existing
database into IME, refer to the MIGRATING FROM IEV 5.X TO IME 6.1
Section below.

WARNING: Disable any anti-virus or host-based intrusion detection
software before beginning the installation, and close any open
applications. The installer spawns a command shell application that
may trigger your host-based detection software causing the install to
fail. The installation and run account must have Administrator
privileges.

NOTE: IME 6.1 supports Cisco IPS 5.0 and later sensors. It does not
support Cisco IPS 4.x or 3.x sensors. The new functionality[/more]

Качнул по ссылке сигнатуры, они в архиве в виде xml файлов, не берёт он их, через CLI нужно их вливать при буте?


Благодарю за lic

Добавлено:
Сорри тупанул, качнул
IPS-sig-S396-req-E3

он приехал.


Теперь почётываю репу чем лучше юзать данный сенсор, чтоб реализовать весь его потенциал.

Добавлено:
Хвала slut-у

Cisco Intrusion Prevention System, Version 6.0(5)E3

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S396.0 2009-04-21
Virus Update V1.4 2007-03-02
OS Version: 2.4.30-IDS-smp-bigphys
Platform: NM-CIDS
Serial Number: FOC10470M43
Trial license, expires: 02-Aug-2009 UTC
Sensor up-time is 2:57.
Using 402300928 out of 509292544 bytes of available memory (78% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 33.5M out of 174.7M bytes of available disk space (20% usage)
boot is using 39.1M out of 75.9M bytes of available disk space (54% usage)
application-log is using 529.9M out of 2.8G bytes of available disk space (20% usage)


MainApp N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500 Running
AnalysisEngine NE-2008_OCT_16_22_05 (Release) 2008-10-16T22:30:37-0500 Running
CLI N-2008_JUN_06_02_35 (Release) 2008-06-06T03:23:18-0500

Upgrade History:

* IPS-K9-6.0-5-E3 22:05:00 UTC Thu Oct 16 2008
IPS-sig-S396-req-E3.pkg 10:22:17 UTC Wed Jun 03 2009

Recovery Partition Version 1.1 - 6.0(5)E3

AMuHb
Опишите, пожалуйста, как именно проапгрейдили сигнатуры? Пусть будет для истории.
Свежая сигнатура:
IPS-sig-S405-req-E3.pkg
Release Date: 29/May/2009
E3 Signature Update S405
Size: 230.88 KB (236421 bytes)

Ложим файл сигнатур на локальный комп, с компа заходим на IDM через https://sensor-ip
Логинимся, заходим в конфигурирование, пункт Update Sensor выбираем файл обновления и нажимаем обновить сенсор. Радуемся новым сигнатурам.

Оталось только как узнать как обновить вирусные базы?

присоединяюсь к вопросу:
что-то на оффсайте не могу найти где их скачать...

Привет всем!

Парни поделитесь Cisco IDM 6.0 если у кого есть. У меня есть обновления на 4215

Перезалейте пожалуйста
ftp://212.48.153.19/pub/cisco/ips_ids/NM-CIDS-K9-helper-1.0-1.bin
ftp://212.48.153.19/pub/cisco/ips_ids/aesop_bl-1.0.17-3.bin

и если есть возможность, еще вот это:

IPS-NM_CIDS-K9-sys-1.1-a-6.0-6-E4.img
Release Date: 29/Mar/2010
IPS-NM_CIDS System Image File
Size: 25284.34 KB (25891160 bytes)

А посвежее сигнатур нет?

Скажите а есть что нить почитать на русском про настройку IDS ?