Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » CISCO IDS sensor

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Кто работает с данным модулем отзовитесь
 
Имеется 3845 с установленным IDS сенсором, прикручен к Loopback0  
 
Есть вопросы когда заходишь на него при помощи  Cisco IDM 5.1 после логина он просит лицензию (файла у меня нет где взять?) В интерфейсах на мониторинг есть только FastEthernet0/1  
Мне необходимо снимать с гигабитных интерфейсов статистику.
 
В конфиге для  
interface GigabitEthernet0/0
 ids-service-module monitoring   прописано.
 
Если отсутствует файл лицензии помимо того что я немогу обновить сигнатуры ещё какие нибудь ограничения есть?
 
Как получить лицензионный файлик?

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 09:26 27-05-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
неужели никто не пользует данный модуль?

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 07:34 28-05-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
Использует... вот только IDM давно никто не юзает, ща же CS-MARS или CSM.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 13:12 28-05-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А есть вариант перешить модуль ?
 
Если да то где взять ось на него и всё остальное?
 
Добавлено:
или вариант один вынуть его из шасси просверлить дырку и на стенку повесить?
 
Посоветуйте стоит с ним биться или это бесполезный секс

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 13:14 28-05-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb

Цитата:
А есть вариант перешить модуль ?

Какой модуль у вас установлен?  

Цитата:
Если да то где взять ось на него и всё остальное?

В соответствующей теме Варезника
 

Цитата:
или вариант один вынуть его из шасси просверлить дырку и на стенку повесить?  
Посоветуйте стоит с ним биться или это бесполезный секс

Ж:зD... не надо ничего вынимать, сверлить и вешать, советую побиться, секс полезный.
 
Почитайте просто хорошенько про IDS/IPS на cisco.com. С софтом поможем. Для начала можно попробовать поработать с модулем через IPS Manager Express

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 15:35 28-05-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Благодарю за отзыв.
 
Cisco Intrusion Prevention System, Version 5.1(4)S257.0
 
Host:
    Realm Keys          key1.0
Signature Definition:
    Signature Update    S257.0                   2006-11-02
    Virus Update        V1.2                     2005-11-24
OS Version:             2.4.26-IDS-smp-bigphys
Platform:               NM-CIDS
Serial Number:          FOC10470M43
No license present
MainApp          2006_Oct_31_21.30   (Release)   2006-10-31T22:17:04-0600   Running
AnalysisEngine   2006_Oct_31_21.30   (Release)   2006-10-31T22:17:04-0600   Running
CLI              2006_Oct_31_21.30   (Release)   2006-10-31T22:17:04-0600
 
Upgrade History:
 
  IPS-K9-sp-5.1-4   15:30:00 UTC Tue Oct 31 2006
Recovery Partition Version 1.1 - 5.1(4)
 
 
Без файла лицензии функционал не теряется?
 
Добавлено:
Качнул Cisco IPS Manager Express 7.0.1  но конфигурить через неё немогу, говорит у вас версия сенсора 5,1 нада 7. Ненашёл я шиву на него на 7 версию, бывает в природе?
 
Добавлено:
качнул IPS-K9-7.0-1-E3.pkg но как его заинсталить? зашёл через IDM5.1 Update Sensor пихаю ему пакадж но он даёт ошибку что этот пакет не может быть установлен на платформу NM-CIDS
 
какие дальнейшие действия?

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 07:20 29-05-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
С данным модулем не работал, но, imho, там всё как обычно, вот только показалось, что седьмую версию он не поддерживает (не вижу этот модульв  описалове IPS 7.0]
Процедура обновления софта и сигнатур сенсора описана тут. Попробуйте накатить семерку из CLI как описано выше, если не поедет, то попробуем 6.0(5).
 
Вообще, тут момент такой: решите, что вам нужно обновить - софт и сигнатуры или только сигнатуры? Может, достаточно просто обновить сигнатуры?

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:14 01-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В идеале хотелось бы всё обновить, для начала думаю неплохо будет сигнатуры подтянуть, проблемка только у меня лицензионного ключика нету от сенсора, куда затеряли доки незнаю, как с ним быть тоже ума не приложу.
По ссылкам на цисковский сайт там в их описаловох первым шагом идёт зайдите на циско ком и введите логин и пароль %-) их нет у меня.
 
Буду сейчас перекуривать вышеописанные ресурсы.

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 09:47 01-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
IPS Manager Expres 7.0.1 цепляет сенсор, но из за разных версий с сенсором функционала нету 8-( доступен только просмотр евентов. А хочется полнофункционала

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 07:36 02-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
имхо, коль NM-CIDS нет в описалове IPS 7.0, видимо стОит попробовать из CLI проапгрейдиться на версию 6.0(х). Затем, если IME 7.0(1) по-прежнему не даст полного функционала - пробовать IME 6.2(1).  
Хотя в качестве проверки сначала можно попробовать проапгрейдиться и до IPS 7.0, вдруг поедет? Только вы делайте это из CLI.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 08:53 02-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Попытка установить 7-ю версию увенчалась провалом 8-(
 
Error: execUpgradeSoftware : This package cannot be installed on the NM-CIDS platform, please consu
lt the readme for supported platforminformation.
 
На жанную платформу не встаёт она.

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 12:11 02-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
Ожидаемо.
Пробуем:
IPS-NM_CIDS-K9-sys-1.1-a-6.0-5-E3
Release Date: 01/Nov/2008
IPS-NM_CIDS System Image File
Size: 25745.34 KB  (26363224 bytes)

 

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 12:48 02-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Нашёл на циско ком процедуру инсталла обновления (ниже)
 
Как видно из описалова если  ServicesEngine Bootloader Version : 1.0.17-1 (у меня так) то необходимо установить Caution If the bootloader version is not 1.0.17-3, you must upgrade it before installing IPS 6.0.  
 
Нужен файлик.
 
 
Step 4 Session to NM-CIDS:  
router(enable)# service-module IDS-Sensor slot_number/0 session
Note Use the show configuration | include interface IDS-Sensor command to determine the NM-CIDS slot number.  
Step 5 Suspend the session by pressing Shift-Ctrl-6 X.  
You should see the router# prompt. If you do not see this prompt, try Ctrl-6 X.  
Step 6 Reset NM-CIDS:  
router(enable)# service-module IDS-Sensor slot_number/0 reset
You are prompted to confirm the reset command.  
Step 7 Press Enter to confirm.  
Step 8 Press Enter to resume the suspended session.  
After displaying its version, the bootloader displays this prompt for 15 seconds:  
Please enter '***' to change boot configuration:
Step 9 Enter *** during the 15-second delay.  
The bootloader prompt appears.  
Step 10 Display the bootloader configuration:  
ServicesEngine boot-loader> show config
Caution If the bootloader version is not 1.0.17-3, you must upgrade it before installing IPS 6.0.  
Step 11 Configure the bootloader parameters:  
ServicesEngine boot-loader> config
Step 12 You are prompted for each value line by line.  
a. Specify the IP address—The external fast Ethernet port on NM-CIDS.  
This must be a real IP address on your network.  
b. Specify the subnet mask—The external fast Ethernet port on NM-CIDS.  
This must be a real IP address on your network.  
c. Specify the TFTP server IP address—The IP address of the TFTP server from which to download the NM-CIDS system image.  
d. Specify the gateway IP address—The IP address of the default gateway for hosts on your subnet.  
e. Specify the default helper file—The name of the helper image to boot.  
The NM-CIDS helper file is NM-CIDS-K9-helper-1.0-1.bin.  
f. Specify the Ethernet interface—The Ethernet interface is always set to external.  
g. Specify the default boot device—The default boot device is always set to disk.  
h. Specify the default bootloader—The default bootloader is always set to primary.  
If you made any changes, the bootloader stores them permanently. The bootloader command prompt appears.  
Caution The next step erases all data from the NM-CIDS hard-disk drive.  
Step 13 Boot the system image:  
ServicesEngine boot-loader> boot helper IPS-NM-CIDS-K9-sys-1.1-a-6.0-1-E1.img
The bootloader displays a spinning line while loading the system image from the TFTP server. When the system image is loaded, it is booted. The system image installs IPS 6.0(1) on NM-CIDS. When the installation is complete, NM-CIDS reboots. The system is restored to default settings. The user account and password are set to cisco.  
Step 14 Initialize NM-CIDS with the setup command.

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 14:03 02-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
NM-CIDS Bootloader 1.0.17-3: http://slil.ru/27717777

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:55 02-06-2009 | Исправлено: slut, 14:58 02-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ServicesEngine boot-loader> boot helper aesop_bl-1.0.17-3
Probing...[EEPRO100]Found Intel EtherExpressPro100 at 0x00000000 ROM address 0x
00000000
Ethernet addr: 00:1A:2F:E6:5B:19
Me: 172.16.0.254, Server: 172.16.1.40, Gateway: 172.16.0.1
Loading aesop_bl-1.0.17-3
Dbg: Final image size: 119248
Invalid signature hdr
corrupt dnld image
Unable to load aesop_bl-1.0.17-3
Please check bootloader configuration using show config and verify that:
1. network connectivity to the tftp server exists and
2. the specified helper image exists on the tftp server
 
Добавлено:
или его нужно иначе заливать?

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 15:14 02-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
Заливать нужно иначе, внимательно читайте "Upgrading the NM-CIDS Bootloader" вConfiguring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 6.0
 
Понадобится NM-CIDS-K9-helper-1.0-1  
 

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 09:08 03-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Если я всё правильно понял то:
 
 
Грузим ServicesEngine boot-loader># boot helper NM-CIDS-K9-helper-1.0-1.bin
 
выбираем 5 пункт
5 - Change file transfer method (currently secure shell)
для выбора tftp
потом выбираем 2 пункт
2 - Download bootloader and write to flash  
Selection [1234rh]:servicesengine-boot-1.0-17-3_dev.bin
Ready to begin  
Are you sure? y/n
 
Тот имидж что я скачал по ссылке выше не имеет расширения aesop_bl-1.0.17-3 это нормально?
 
Добавлено:
Обновился
 
При буте пролетает один варнинг
Checking for system modifications since last boot          [WARNING]
 
вот что получилось
 
sensor# sh ver
Application Partition:
 
Cisco Intrusion Prevention System, Version 6.0(5)E3
 
Host:
    Realm Keys          key1.0
Signature Definition:
    Signature Update    S365.0                   2008-10-31
    Virus Update        V1.4                     2007-03-02
OS Version:             2.4.30-IDS-smp-bigphys
Platform:               NM-CIDS
Serial Number:          FOC10470M43
No license present
Sensor up-time is 1 min.
Using 403492864 out of 509292544 bytes of available memory (79% usage)
system is using 17.7M out of 29.0M bytes of available disk space (61% usage)
application-data is using 39.1M out of 174.7M bytes of available disk space (24% usage)
boot is using 39.1M out of 75.9M bytes of available disk space (54% usage)
application-log is using 32.1M out of 2.8G bytes of available disk space (1% usage)
 
 
MainApp          N-2008_JUN_06_02_35    (Release)   2008-06-06T03:23:18-0500   Running
AnalysisEngine   NE-2008_OCT_16_22_05   (Release)   2008-10-16T22:30:37-0500   Running
CLI              N-2008_JUN_06_02_35    (Release)   2008-06-06T03:23:18-0500
 
Upgrade History:
 
  IPS-K9-6.0-5-E3   22:05:00 UTC Thu Oct 16 2008
 
Recovery Partition Version 1.1 - 6.0(5)E3

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 09:28 03-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
Во, софт сенсора проапгрейдился. Теперь дело за сигнатурами, недавно выкладывал тут, попозже выложу последние. А с IME 7.0(1) пробовали законнектиться? 7.0(1) видит сенсор? или только 6.2(1)?

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:34 03-06-2009
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
IME 7.0.1 видит только эвенты
Придётся качнуть 6,2,1
 
 
Сигнатуры пока не обновил, а без файла лицензии я это смогу сделать?
 
 
Добавлено:
Переинсталил на 6,2 но тоже без особого эффекта только эвенты
 
Sensor version 6.0(5)E3 is not supported by the Configuration engine of this application. The integrated Configuration feature available only from sensor version 6.2.

Всего записей: 72 | Зарегистр. 22-09-2005 | Отправлено: 12:44 03-06-2009
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AMuHb
Забыл, что нет лицензии;) Дернул 60-day trial license, киньте в приват ваш email, сброшу.
 
NM-CIDS - старый модуль (EOS/EOL), руками бы попробовать. Cisco уверяет, что обновить только при наличии лицензии. Вот почему-то не верится. что нельзя этого сделать из CLI без лицензии.
Сравнив то, что было:

Цитата:
Cisco Intrusion Prevention System, Version 5.1(4)S257.0  
Host:  
    Realm Keys          key1.0  
Signature Definition:  
    Signature Update    S257.0                   2006-11-02  
    Virus Update        V1.2                     2005-11-24

и

Цитата:
Cisco Intrusion Prevention System, Version 6.0(5)E3  
Host:  
    Realm Keys          key1.0  
Signature Definition:  
    Signature Update    S365.0                   2008-10-31  
    Virus Update        V1.4                     2007-03-02

 
видим, что сигнатуры всё-таки обновлены, т.е. подтянуты из того, что идут в дистрибутиве софта. Значит, теоретически, обновление всё-таки возможно.
 
Касательно IME 6.2... действительно, только с IPS 6.2... А вот максимум для NM-CIDS - 6.0(x)

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 13:32 03-06-2009 | Исправлено: slut, 13:36 03-06-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » CISCO IDS sensor

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru