aclare las acciones de la regla de la directiva del ... · posibles se muestran en la imagen: cómo...

Aclare las acciones de la regla de la directiva delcontrol de acceso de la defensa de la amenazade FirePOWER Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesCómo se despliega el ACPConfigurarAcciones disponibles ACPCómo ACP y directiva de Prefilter interactivaAcción del bloque ACPDescenso temprano de LINA del escenario 1.Descenso del escenario 2. debido resoplar veredictoEl ACP permite la acciónEl escenario 1. ACP permite la acción (las condiciones L3/L4)El escenario 2. ACP permite la acción (las condiciones L3-7)El veredicto Rápido-delantero del Snort del escenario 3. con permiteAcción de la confianza ACPAcción de la confianza del escenario 1. ACP (condiciones L3/L4)Acción de la confianza del escenario 2. ACP (condición L7)Acción de la confianza del escenario 3. ACP (L3/L4 con el SI inhabilitado)Acción del bloque de la directiva de PrefilterAcción del fastpath de la directiva de PrefilterAcción del fastpath de la directiva de Prefilter (En línea-conjunto)La directiva de Prefilter analiza la acciónEl escenario 1. Prefilter analiza con la regla de bloques ACPEl escenario 2. Prefilter analiza con el ACP permite la reglaEl escenario 3. Prefilter analiza con la regla de la confianza ACPEl escenario 4. Prefilter analiza con la regla de la confianza ACPComportamiento FTD con los protocolos que abren las conexiones secundariasGuías de consulta de la regla FTDSummaryInformación Relacionada

Introducción

Este documento describe las diversas acciones disponibles en la directiva del control de accesode la defensa de la amenaza de FirePOWER (FTD) (ACP) y la directiva de Prefilter. Además, laoperación de fondo de cada acción se examina junto con su interacción con las otras funcionescomo el flujo descarga y los protocolos que abren las conexiones secundarias.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

El flujo descarga●

Capturas de paquetes en los dispositivos adaptantes del dispositivo de seguridad (ASA)●

Trazalíneas del paquete en los dispositivos ASA●

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Versión 6.2.2 (estructura 81) de la defensa de la amenaza de Cisco FirePOWER 4110●

Versión 6.2.2 (estructura 81) del centro de administración de FirePOWER (FMC)●

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.

Productos Relacionados

Este documento se puede también utilizar con estas versiones de software y hardware:

ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X●

ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X●

FPR2100, FPR4100, FPR9300●

VMware (ESXi), servicios web del Amazonas (AWS), máquina virtual Corazón-basada (KVM)●

Módulo del router del router del servicio integrado (ISR)●

Versión de software 6.1.x FTD y posterior●

Nota: El flujo Offload se soporta solamente en las Plataformas FPR4100 y FPR9300.

Antecedentes

FTD es una imagen del software unificada que consiste en 2 motores principales:

Motor de LINA●

Motor del Snort●

Esta figura muestra cómo obran recíprocamente los 2 motores:

Un paquete ingresa la interfaz de ingreso y es manejado por el motor de LINA●

Si es requerido por la directiva FTD el paquete es examinado por el motor del Snort●

El motor del Snort vuelve un veredicto (lista blanca o lista negra) para el paquete●

Los descensos del motor de LINA o adelante el paquete basados en el veredicto del Snort●

Cómo se despliega el ACP

La directiva FTD se configura en FMC cuando utilizan a la Administración del apagado-cuadro(telecontrol) o al administrador de dispositivo de FirePOWER (FDM) cuando utilizan a laadministración local. En ambos escenarios, el ACP se despliega como:

Una lista de control de acceso (ACL) global nombrada como CSM_FW_ACL_ al motor FTDLINA

●

Reglas del control de acceso en el archivo de /var/sf/detection_engines/UUID/ngfw.rules almotor del Snort FTD

●

Configurar

Acciones disponibles ACP

El FTD ACP contiene una o más reglas y cada regla puede tener uno de estas acciones y tal ycomo se muestra en de la imagen:

Permita●

Confianza●

Monitor●

Bloque●

Bloque con la restauración●

Bloque interactivo●

Bloque interactivo con la restauración●

Semejantemente, una directiva de Prefilter puede contener una o más reglas y las accionesposibles se muestran en la imagen:

Cómo ACP y directiva de Prefilter interactiva

La directiva de Prefilter consiguió introducida en 6.1 versión y servicios 2 propósitos principales:

Permite el examen del tráfico de túnel donde el motor FTD LINA marca el encabezado IPexterno mientras que el motor del Snort marca el encabezado IP interno. Másespecíficamente, en caso del tráfico de túnel (e.g. GRE) las reglas en la directiva de Prefilteractúan siempre en los outerheaders mientras que las reglas en el ACP son siempreaplicables a las sesiones interiores (encabezados internos). El tráfico de túnel refiere a estosprotocolos:

1.

GRE●

IP en IP●

IPv6-in-IP●

Puerto 3544 de Teredo●

Proporciona el control de acceso temprano (EAC) que permite que un flujo desvíe totalmenteel motor del Snort tal y como se muestra en de la imagen.

2.

Las reglas de Prefilter se despliegan en FTD como elementos del control de acceso L3/L4 (ACE)y se ponen sobre el L3/L4 configurado ACP ACE tal y como se muestra en de la imagen:

Nota: Las reglas de Prefilter v/s ACP = primero hacen juego son aplicadas.

Acción del bloque ACP

Considere la topología mostrada en la imagen:

Descenso temprano de LINA del escenario 1.

El ACP contiene una regla de bloques que utilice una condición L4 (puerto destino TCP 80) tal ycomo se muestra en de la imagen:

La directiva desplegada en el Snort:

268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6

La directiva desplegada en LINA. Observe que la regla está avanzada como niega acción:

firepower# show access-list

…

access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L4 RULE: Rule1

access-list CSM_FW_ACL_ line 10 advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www

rule-id 268435461 event-log flow-start (hitcnt=0) 0x6149c43c

Verifique el comportamiento:

Cuando intentos del Host-a (192.168.1.40) para abrir HTTP session al Host-b (192.168.2.40) queel TCP sincroniza los paquetes (SYN) son caídos por el motor FTD LINA sin alcanzar el motor delSnort o el destino:

firepower# show capture

capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing -

430 bytes]

match ip host 192.168.1.40 any

capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing -

0 bytes]

match ip host 192.168.1.40 any

firepower# show capture CAPI

1: 11:08:09.672801 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920

<mss 1460,sackOK,timestamp 4060517 0>

2: 11:08:12.672435 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920


3: 11:08:18.672847 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920


4: 11:08:30.673610 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920


firepower# show capture CAPI packet-number 1 trace

1: 11:08:09.672801 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920


...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: DROP

Config:

access-group CSM_FW_ACL_ global

access-list CSM_FW_ACL_ advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id

268435461 event-log flow-start

access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory

access-list CSM_FW_ACL_ remark rule-id 268435461: L4 RULE: Rule1

Additional Information:

<- No Additional Information = No Snort Inspection

Result:

input-interface: INSIDE

input-status: up

input-line-status: up

output-interface: OUTSIDE

output-status: up

output-line-status: up

Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

Descenso del escenario 2. debido resoplar veredicto

El ACP contiene una regla de bloques que utilice una condición L7 (aplicación HTTP) tal y comose muestra en de la imagen:

La directiva desplegada en el Snort:

268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any (appid 676:1)

Appid 676:1 = HTTP

La directiva desplegada en LINA.

Nota: La regla se avanza como acción del permiso porque LINA no puede determinar que lasesión utiliza el HTTP. En FTD el mecanismo de detección de la aplicación está en el motordel Snort.


…


access-list CSM_FW_ACL_ line 10 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id

268435461 (hitcnt=0) 0xb788b786

Para una regla de bloques que utilice la aplicación como condición, la traza de un paquete realmuestra que la sesión es caída por la LINA debida resoplar veredicto del motor.

Nota: Para que el motor del Snort determine la aplicación tiene que examinar algunospaquetes (generalmente 3-10 que depende del decodificador de la aplicación). Así algunospaquetes se permiten con el FTD y lo hacen al destino. Los paquetes permitidos todavíaestán conforme al control de la directiva de la intrusión basado en la política de acceso >avanzado > “directiva de la intrusión usada antes de que la regla del control de acceso sea”opción determinada.


Cuando intentos del Host-a (192.168.1.40) para establecer HTTP session con el Host-b(192.168.2.40) que la captura del ingreso de LINA muestra:


8 packets captured

1: 11:31:19.825564 192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920


2: 11:31:19.826403 192.168.2.40.80 > 192.168.1.40.32790: S 1283931030:1283931030(0) ack

357753152 win 2896 <mss 1380,sackOK,timestamp 5449236 5450579>

3: 11:31:19.826556 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack

1283931031 win 2920 <nop,nop,timestamp 5450580 5449236>

4: 11:31:20.026899 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack


5: 11:31:20.428887 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack


...

La captura de la salida:

firepower# show capture CAPO

5 packets captured

1: 11:31:19.825869 192.168.1.40.32790 > 192.168.2.40.80: S 1163713179:1163713179(0) win 2920


2: 11:31:19.826312 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack


3: 11:31:23.426049 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack


4: 11:31:29.426430 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack


5: 11:31:41.427208 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack


La traza muestra que el primer paquete (TCP SYN) es permitido por el Snort puesto que elveredicto de la detección de la aplicación está pendiente:


1: 11:31:19.825564 192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920


...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:


access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461




This packet will be sent to snort for additional processing where a verdict will be reached

...

Phase: 10

Type: FLOW-CREATION

Subtype:

Result: ALLOW

Config:


New flow created with id 23194, packet dispatched to next module

…

Phase: 12

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: TCP, SYN, seq 357753151

AppID: service unknown (0), application unknown (0)

Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,

icmpType 0, icmpCode 0

Firewall: pending rule-matching, id 268435461, pending AppID

NAP id 1, IPS id 0, Verdict PASS

Snort Verdict: (pass-packet) allow this packet

Result:

input-interface: OUTSIDE

input-status: up



output-status: up


Action: allow

Lo mismo para el paquete TCP SYN/ACK:

firepower# show capture CAPO packet-number 2 trace

2: 11:31:19.826312 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack


…

Phase: 3

Type: FLOW-LOOKUP

Subtype:

Result: ALLOW

Config:


Found flow with id 23194, using existing flow

…

Phase: 5

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: TCP, SYN, ACK, seq 1283931030, ack 357753152




Firewall: pending rule-matching, id 268435461, pending AppID



Result:


input-status: up


output-interface: INSIDE

output-status: up


Action: allow

El Snort vuelve un veredicto del DESCENSO después de examinar el tercer paquete:


3: 11:31:19.826556 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack


Phase: 3

Type: FLOW-LOOKUP

Subtype:

Result: ALLOW

Config:



Phase: 5

Type: SNORT

Subtype:

Result: DROP

Config:


Snort Trace:

Packet: TCP, ACK, seq 357753152, ack 1283931031

AppID: service HTTP (676), application unknown (0)

Firewall: starting rule matching, zone -1 -> -1, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997,

url http://192.168.2.40/128k.html

Firewall: block rule, id 268435461, drop

Snort: processed decoder alerts or actions queue, drop

NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall

Snort Verdict: (black-list) black list this flow

Result:


input-status: up


Action: drop

Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor

Usted puede también ejecutar la traza del soporte del comando system del modo FTD CLISH.Esta herramienta proporciona 2 funciones:

Muestra el veredicto del Snort para cada paquete mientras que se envía a la biblioteca deadquisición de datos (DAQ) y se ve en LINA. DAQ es un componente establecido entre elmotor FTD LINA y el motor del Snort

●

Permite ejecutar el Firewall-motor-debug del soporte de sistema al mismo tiempo para verqué sucede dentro del motor sí mismo del Snort

●

Aquí está la salida:

> system support trace

Please specify an IP protocol: tcp

Please specify a client IP address: 192.168.1.40

Please specify a client port:

Please specify a server IP address: 192.168.2.40

Please specify a server port:

Enable firewall-engine-debug too? [n]: y

Monitoring packet tracer debug messages

Tracing enabled by Lina

192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, seq 2620409313

192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 New session

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone

first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0,

payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0

192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 ->

0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID

192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID

192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS

Trace buffer and verdict reason are sent to DAQ's PDTS


192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, ACK, seq 3700371680, ack 2620409314



first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0,

payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0



192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID





192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, ACK, seq 2620409314, ack 3700371681

192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service HTTP (676), application unknown (0)


first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc

676, payload 0, client 686, misc 0, user 9999997, url http://192.168.2.40/128k.html, xff

192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0(0)

-> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/128k.html

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 match rule order 2, 'Rule1', action Block

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 deny action

192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: block rule, 'Rule1', drop

192.168.1.40-32791 > 192.168.2.40-80 6 Snort: processed decoder alerts or actions queue, drop

192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Deleting session

192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict BLACKLIST

192.168.1.40-32791 > 192.168.2.40-80 6 ===> Blocked by Firewall

Resumen

La acción del bloque ACP consigue desplegada como cualquier regla del permit or deny enLINA que dependa de las condiciones de la regla

●

Si las condiciones son L3/L4 entonces la LINA bloquea el paquete. En caso del TCP sebloquea el primer paquete (TCP SYN)

●

Si las condiciones son L7 entonces el paquete se remite al motor del Snort para el examenadicional. En caso del TCP, algunos paquetes se permiten con FTD hasta que el Snortalcance un veredicto. Los paquetes permitidos todavía están conforme al control de ladirectiva de la intrusión basado en la política de acceso > avanzado > “directiva de la intrusiónusada antes de que la regla del control de acceso sea” opción determinada.

●

El ACP permite la acción

El escenario 1. ACP permite la acción (las condiciones L3/L4)

Normalmente, usted configuraría una regla de la permit para especificar los exámenes adicionalescomo una directiva de la intrusión y/o una directiva del archivo. En este primer escenario aquí, sedemuestra la operación de una regla de la permit cuando la condición L3/L4 es aplicada.

Considere esta topología tal y como se muestra en de la imagen:

Esta directiva es aplicada tal y como se muestra en de la imagen:

La directiva desplegada en el Snort. Observe que la regla está desplegada como acción de lapermit:

# Start of AC rule.

268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6

La directiva en LINA.

Nota: Se despliega la regla mientras que una acción del permiso que esencialmentesignifica reorienta para resoplar para el examen adicional.


…


access-list CSM_FW_ACL_ line 10 advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www

rule-id 268435461 (hitcnt=1) 0x641a20c3

Para ver cómo un flujo que hace juego una regla de la permit es manejado por FTD allí seaalgunas maneras:

Verifique las estadísticas del Snort●

Con el uso del soporte de sistema localice la herramienta CLISH●

Con el uso de la captura con la traza en LINA y opcionalmente con el captura-tráfico en elmotor del Snort

●

Captura de LINA contra el captura-tráfico del Snort:


Borre las estadísticas del Snort, habilite la traza del soporte de sistema de CLISH e inicie un flujoHTTP del Host-a (192.168.1.40) al Host-b (192.168.2.40). Todos los paquetes se remiten al motordel Snort y consiguen el veredicto del PASO por el Snort:

firepower# clear snort statistics


Please specify an IP protocol:





Enable firewall-engine-debug too? [n]:





192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow














Las estadísticas del Snort reflejan los veredictos antedichos del PASO del Snort:

> show snort statistics

Packet Counters:

Passed Packets 54

Blocked Packets 0

Injected Packets 0

Packets bypassed (Snort Down) 0

Packets bypassed (Snort Busy) 0

Flow Counters:

Fast-Forwarded Flows 0

Blacklisted Flows 0

...

Los paquetes pasajeros = examinaron por el motor del Snort

El escenario 2. ACP permite la acción (las condiciones L3-7)

Se considera el comportamiento similar cuando la regla de la permit se despliega como sigue.

Solamente una condición L3/L4 tal y como se muestra en de la imagen:

Una condición L7 (e.g. directiva de la intrusión, directiva del archivo, aplicación etc) tal y como semuestra en de la imagen:

Resumen

Para resumir, éste es cómo un flujo es manejado por un FTD desplegado en un FP4100/9300cuando una regla de la permit se corresponde con tal y como se muestra en de la imagen:

Nota: La entrada-salida de la Administración (MIO) es el Supervisor Engine del chasis defirePOWER.

El veredicto Rápido-delantero del Snort del escenario 3. con permite

Hay los escenarios específicos donde el motor del Snort FTD da un veredicto WHITELIST(rápido-delantero) y el resto del flujo se descarga al motor de LINA (en algunos casos entonces sedescarga al HW Accelarator - SmartNIC). Estos incluyen:

Directiva del control de acceso con la acción de la confianza1.Tráfico SSL sin una directiva SSL configurada2.directiva de la ARCHIVO-detección3.Bypass(IAB) inteligente de la aplicación4.

El antedicho se puede visualizar a:

o en algunos casos a:

Puntos principales

La regla de la permit se despliega como permite en el Snort y permite en LINA●

En la mayoría de los casos, todos los paquetes de una sesión se remiten para resoplar motorpara el examen adicional

●

Utilice los casos

Usted configuraría una regla de la permit cuando usted necesita el examen L7 por el motor delSnort por ejemplo:

Directiva de la intrusión●

Directiva del archivo●

Acción de la confianza ACP

Acción de la confianza del escenario 1. ACP (condiciones L3/L4)

Si usted no quiere aplicar ninguna acciones L7 en el nivel del Snort (e.g. directiva de la intrusión,directiva del archivo, detección de la aplicación, Filtrado de URL, inteligencia de Seguridad etc)entonces se recomienda para utilizar la acción de la confianza en su regla.

Considere la topología tal y como se muestra en de la imagen:

Esta directiva es aplicada tal y como se muestra en de la imagen:

La regla de la confianza como se despliega en el motor del Snort FTD:

# Start of AC rule.

268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6

Nota: El número 6 es el (TCP) del protocolo.

La regla en FTD LINA:

access-list CSM_FW_ACL_ line 10 advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www

rule-id 268435461 (hitcnt=0) 0x641a20c3


Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40) mientras que usted estáfuncionando con la herramienta de la traza CLI del soporte de sistema. Hay solamente unpaquete (el TCP SYN) que se remite para resoplar motor. El motor del Snort envía a LINA elveredicto WHITELIST que esencialmente descarga el resto del flujo a la LINA sí mismo:












192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: trust/fastpath rule, 'Rule1', allow

192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict WHITELIST

La captura de LINA muestra a flujo cuál pasa con él:

> show capture CAPI

29 packets captured

1: 19:14:29.214817 192.168.1.40.32791 > 192.168.2.40.80: S 69186463:69186463(0) win 2920 <mss

1460,sackOK,timestamp 3139222 0>

2: 19:14:29.215549 192.168.2.40.80 > 192.168.1.40.32791: S 413254738:413254738(0) ack


3: 19:14:29.215687 192.168.1.40.32791 > 192.168.2.40.80: P 69186464:69186662(198) ack


4: 19:14:29.216038 192.168.2.40.80 > 192.168.1.40.32791: . 413254739:413256107(1368) ack


5: 19:14:29.216053 192.168.2.40.80 > 192.168.1.40.32791: P 413256107:413257475(1368) ack


6: 19:14:29.216144 192.168.1.40.32791 > 192.168.2.40.80: . ack 413257475 win 2736

<nop,nop,timestamp 3139224 3137896>

7: 19:14:29.216251 192.168.2.40.80 > 192.168.1.40.32791: P 413257475:413258843(1368) ack


…

cuando usted localiza el primer paquete, usted puede ver el veredicto WHITELIST:


1: 19:14:29.214817 192.168.1.40.32791 > 192.168.2.40.80: S 69186463:69186463(0) win 2920


…

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:


access-list CSM_FW_ACL_ advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id

268435461





…

Phase: 12

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: TCP, SYN, seq 69186463


Firewall: trust/fastpath rule, id 268435461, allow

NAP id 1, IPS id 0, Verdict WHITELIST

Snort Verdict: (fast-forward) fast forward this flow

Para el resto del flujo (e.g. TCP SYN/ACK) usted ve:

firepower# show capture CAPO packet-number 2 trace

2: 19:14:29.215503 192.168.2.40.80 > 192.168.1.40.32791: S 60351089:60351089(0) ack


…

Phase: 3

Type: FLOW-LOOKUP

Subtype:

Result: ALLOW

Config:



Phase: 4

Type: SNORT

Subtype:

Result: ALLOW

Config:



Las estadísticas del Snort confirman esto:


Packet Counters:

Passed Packets 0

Blocked Packets 0

Injected Packets 0



Flow Counters:


Blacklisted Flows 0

... 0

la captura del Snort-nivel también confirma esto:

> capture-traffic

Please choose domain to capture traffic from:

0 - management0

1 - Router

Selection? 1

Please specify tcpdump options desired.

(or enter '?' for a list of supported options)

Options: -n

19:04:17.429711 IP 192.168.1.40.32791 > 192.168.2.40.80: Flags [S], seq 69186463, win 2920,

options [mss 1380,sackOK,TS val 2527484 ecr 0], length 0

Consejo: El parámetro “n” no convierte los IP Addresses a los nombres.

Acción de la confianza del escenario 2. ACP (condición L7)

Considere esta regla ACP tal y como se muestra en de la imagen:

La regla como se despliega en el motor del Snort FTD:

268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any (appid 676:1)

La regla en FTD LINA:


268435461 (hitcnt=0) 0xb788b786

Verifique el comportamiento

Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40) mientras que ustedfunciona con la herramienta de la traza CLI del soporte de sistema. Hay algunos paquetes (2 eneste caso) que se envían para resoplar motor y para conseguir el veredicto del PASO mientrasque el AppID está pendiente. Después del Snort determina la aplicación él adelante el veredictoWHITELIST a LINA y el resto del flujo es manejado por LINA:




























192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0(0)

-> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/16k.html

192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: trust/fastpath rule, 'Rule1', allow

192.168.1.40-32836 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict WHITELIST

La captura de LINA muestra que el paquete # 3 tenía el método HTTP GET:

firepower# show capture CAPI dump

1: 11:24:38.895888 192.168.1.40.32836 > 192.168.2.40.80: S 3970971741:3970971741(0) win

2920 <mss 1460,sackOK,timestamp 320516154 0>

0x0000 2c33 118d 570e 00c0 a801 2800 0800 4500 ,3..W.....(...E.

0x0010 0038 c03d 0000 4006 35e2 c0a8 0128 c0a8 [email protected]....(..

0x0020 0228 8044 0050 ecb0 385d 0000 0000 9002 .(.D.P..8]......

0x0030 0b68 630e 0000 0204 05b4 0402 080a 131a .hc.............

0x0040 b03a 0000 0000 .:....

2: 11:24:38.896682 192.168.2.40.80 > 192.168.1.40.32836: S 18638120:18638120(0) ack


0x0000 00c0 a801 2800 2c33 118d 570e 0800 4500 ....(.,3..W...E.

0x0010 0038 1d1e 0000 4006 d901 c0a8 0228 c0a8 .8....@......(..

0x0020 0128 0050 8044 011c 6528 ecb0 385e 9012 .(.P.D..e(..8^..

0x0030 0b50 3efb 0000 0204 0564 0402 080a 131a .P>......d......

0x0040 ab0b 131a b03a .....:

3: 11:24:38.896849 192.168.1.40.32836 > 192.168.2.40.80: P 3970971742:3970971940(198)

ack 18638121 win 2920 <nop,nop,timestamp 320516155 320514827>

0x0000 2c33 118d 570e 00c0 a801 2800 0800 4500 ,3..W.....(...E.

0x0010 00fa c03e 0000 4006 351f c0a8 0128 c0a8 ...>[email protected]....(..

0x0020 0228 8044 0050 ecb0 385e 011c 6529 8018 .(.D.P..8^..e)..

0x0030 0b68 0f62 0000 0101 080a 131a b03b 131a .h.b.........;..

0x0040 ab0b 4745 5420 2f31 366b 2e68 746d 6c20 ..GET /16k.html

0x0050 4854 5450 2f31 2e30 0d0a 486f 7374 3a20 HTTP/1.0..Host:

...

Las estadísticas del Snort confirman el antedicho:


Packet Counters:

Passed Packets 2

Blocked Packets 0

Injected Packets 0



Flow Counters:


Blacklisted Flows 0

...

En FTD que los funcionamientos en los escenarios 1 y 2 del dispositivo FP4100/9300 se puedenvisualizar tal y como se muestra en de la imagen:

Acción de la confianza del escenario 3. ACP (L3/L4 con el SI inhabilitado)

En caso de que usted quisiera que el FTD aplicara los controles de la inteligencia de Seguridad(SI) a todos los flujos que el SI se habilita ya en el nivel ACP y usted puede especificar las fuentesSI (TALOS, alimentaciones, listas etc). Por otra parte, en caso de que usted quiera inhabilitarlo,usted inhabilita el SI para las redes global por el ACP, el SI para el URL y el SI para el DNS. El SIpara las redes y el URL se inhabilita tal y como se muestra en de la imagen:

En este caso la regla de la confianza se despliega a LINA como plena confianza:

> show access-list

...


access-list CSM_FW_ACL_ line 10 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id

268435461 event-log flow-end (hitcnt=0) 0x5c1346d6

Nota: Como a partir de 6.2.2 TID de los soportes FTD. El TID trabaja de una manera similaral SI, pero en caso de que se inhabilite el SI, “no fuerza” la redirección de paquete aresoplar motor para el examen del TID.


Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40). Puesto que esto un flujoFP4100 y de los soportes descarga en hardware estas cosas suceden:

Algunos paquetes se remiten a través del motor FTD LINA y el resto del flujo se descarga a●

SmartNIC (acelerador HW)No se remite ningunos paquetes para resoplar motor●

La tabla de conexiones FTD LINA muestra el indicador “o” qué medios el flujo fue descargado alHW. También observe la ausencia de indicador “N”. Esto esencialmente no significa “ningúncambio de dirección del Snort”:

firepower# show conn

1 in use, 15 most used

TCP OUTSIDE 192.168.2.40:80 INSIDE 192.168.1.40:32809, idle 0:00:00, bytes 949584, flags UIOo

Las estadísticas del Snort muestran solamente los eventos de registro al principio y en el final dela sesión:

firepower# show snort statistics

Packet Counters:

Passed Packets 0

Blocked Packets 0

Injected Packets 0



Flow Counters:


Blacklisted Flows 0

Miscellaneous Counters:

Start-of-Flow events 1

End-of-Flow events 1

Los registros FTD LINA muestran que para cada sesión había 2 flujos (uno por cada dirección)descargados al HW:

Sep 27 2017 20:16:05: %ASA-7-609001: Built local-host INSIDE:192.168.1.40

Sep 27 2017 20:16:05: %ASA-6-302013: Built inbound TCP connection 25384 for

INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)

Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from


Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from

OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32809 (192.168.1.40/32809)

Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from


Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from


Sep 27 2017 20:16:05: %ASA-6-302014: Teardown TCP connection 25384 for INSIDE:192.168.1.40/32809

to OUTSIDE:192.168.2.40/80 duration 0:00:00 bytes 1055048 TCP FINs

Sep 27 2017 20:16:05: %ASA-7-609002: Teardown local-host INSIDE:192.168.1.40 duration 0:00:00

En FTD que los funcionamientos en los escenarios 1 y 2 del dispositivo FP4100/9300 se puedenvisualizar tal y como se muestra en de la imagen:

Utilice los casos

Usted debe utilizar la acción de la confianza cuando usted quisiera que solamente algunospaquetes fueran marcados por el motor del Snort (e.g. detección de la aplicación, control SI) yel resto del flujo que se descargará al motor de LINA

●

Si usted utiliza FTD en FP4100/9300 y quisiera que el flujo desviara totalmente el examen delSnort después considere la regla de Prefilter con la acción del fastpath (véase la secciónrelacionada en este documento)

●

No utilice la acción de la confianza para los protocolos que las conexiones secundariasabiertas (e.g. FTP, el SORBO etc), solamente uso no prohiben a acción en lugar de otro(véase la sección relacionada en este documento)

●

Acción del bloque de la directiva de Prefilter

Considere la topología tal y como se muestra en de la imagen:

Considere también la directiva tal y como se muestra en de la imagen:

Ésta es la directiva desplegada en el motor del Snort FTD (archivo ngfw.rules):

# Start of tunnel and priority rules.

# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.

268437506 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any (tunnel -1

En LINA:

access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter

access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1

access-list CSM_FW_ACL_ line 3 advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id

268437506 event-log flow-start (hitcnt=0) 0x76476240

cuando usted localiza un paquete virtual, muestra que el paquete es caído por LINA y nuncaremitido para resoplar:

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40

…

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: DROP

Config:


access-list CSM_FW_ACL_ advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id 268437506

event-log flow-start

access-list CSM_FW_ACL_ remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter

access-list CSM_FW_ACL_ remark rule-id 268437506: RULE: Prefilter1


Result:


input-status: up



output-status: up


Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

Demostración de las estadísticas del Snort:

firepower# show snort statistics

Packet Counters:

Passed Packets 0

Blocked Packets 0

Injected Packets 0



Flow Counters:


Blacklisted Flows 0

Miscellaneous Counters:

Start-of-Flow events 0

End-of-Flow events 0

Denied flow events 1

Demostración de los descensos de LINA ASP:

firepower# show asp drop

Frame drop:

Flow is denied by configured rule (acl-drop) 1

Utilice los casos

Usted puede utilizar la regla de bloques de Prefilter cuando usted quiere bloquear el tráficobasado en las condiciones L3/L4 y sin la necesidad de hacer cualquier examen del Snort altráfico.

Acción del fastpath de la directiva de Prefilter

Considere la regla de la directiva de Prefilter tal y como se muestra en de la imagen:

Ésta es la directiva desplegada en el motor del Snort FTD:

268437506 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6 (tunnel -1)

En FTD LINA:

access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter

access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1

access-list CSM_FW_ACL_ line 3 advanced trust tcp host 192.168.1.40 host 192.168.2.40 eq www

rule-id 268437506 event-log flow-end (hitcnt=0) 0xf3410b6f


Cuando los intentos del Host-a (192.168.1.40) para abrir HTTP session en el Host-b(192.168.2.40) algunos paquetes pasan con LINA y el resto se descargan a SmartNIC. En estecaso la “traza del soporte de sistema” con el Firewall-motor-debug habilitado muestra:







Enable firewall-engine-debug too? [n]: y


192.168.1.40-32840 > 192.168.2.40-80 6 AS 1 I 8 Got end of flow event from hardware with flags

04000000

Los registros de LINA muestran el flujo descargado:

Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host INSIDE:192.168.1.40

Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host OUTSIDE:192.168.2.40

Oct 01 2017 14:36:51: %ASA-6-302013: Built inbound TCP connection 966 for


Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from


Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from


Las capturas de LINA muestran 8 paquetes que van a través:

firepower# show capture

capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing -

3908 bytes]

match ip host 192.168.1.40 host 192.168.2.40

capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing -

3908 bytes]

match ip host 192.168.1.40 host 192.168.2.40


8 packets captured

1: 14:45:32.700021 192.168.1.40.32842 > 192.168.2.40.80: S 3195173118:3195173118(0) win 2920


2: 14:45:32.700372 192.168.2.40.80 > 192.168.1.40.32842: S 184794124:184794124(0) ack


3: 14:45:32.700540 192.168.1.40.32842 > 192.168.2.40.80: P 3195173119:3195173317(198) ack


4: 14:45:32.700876 192.168.2.40.80 > 192.168.1.40.32842: . 184794125:184795493(1368) ack


5: 14:45:32.700922 192.168.2.40.80 > 192.168.1.40.32842: P 184795493:184796861(1368) ack


6: 14:45:32.701425 192.168.2.40.80 > 192.168.1.40.32842: FP 184810541:184810851(310) ack


7: 14:45:32.701532 192.168.1.40.32842 > 192.168.2.40.80: F 3195173317:3195173317(0) ack


8: 14:45:32.701639 192.168.2.40.80 > 192.168.1.40.32842: . ack 3195173318 win 2697

<nop,nop,timestamp 332567734 332569061>

FTD Flujo-descargan los paquetes de la demostración 22 de las estadísticas descargados al HW:

firepower# show flow-offload statistics

Packet stats of port : 0

Tx Packet count : 22

Rx Packet count : 22

Dropped Packet count : 0

VNIC transmitted packet : 22

VNIC transmitted bytes : 15308

VNIC Dropped packets : 0

VNIC erroneous received : 0

VNIC CRC errors : 0

VNIC transmit failed : 0

VNIC multicast received : 0

Usted puede también utilizar “demostración flujo-descarga el comando del flujo” de verrelacionado con la información adicional a los flujos descargados. Aquí tiene un ejemplo:

firepower# show flow-offload flow

Total offloaded flow stats: 2 in use, 4 most used, 20% offloaded, 0 collisions

TCP intfc 103 src 192.168.1.40:39301 dest 192.168.2.40:20, static, timestamp 616063741, packets

33240, bytes 2326800

TCP intfc 104 src 192.168.2.40:20 dest 192.168.1.40:39301, static, timestamp 616063760, packets

249140, bytes 358263320

firepower# show conn

5 in use, 5 most used

Inspect Snort:

preserve-connection: 1 enabled, 0 in effect, 4 most enabled, 0 most in effect

TCP OUTSIDE 192.168.2.40:21 INSIDE 192.168.1.40:40988, idle 0:00:00, bytes 723, flags UIO



N1

TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:39301, idle 0:00:00, bytes 485268628, flags Uo

<- offloaded flow

TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:34713, idle 0:02:40, bytes 821799360, flags

UFRIO

El porcentaje se basa en la salida del “show conn”. Por ejemplo si 5 conns consisten en pasartotal a través del motor FTD LINA y 1 de ellos entonces se descarga el 20% será señaladosegún lo descargado

●

El límite máximo de sesiones descargadas depende de la versión de software (soporte e.g.ASA 9.8.3 y FTD 6.2.3 4 millones de (o 8 millones unidireccionales) flujos descargadosbidireccionales)

●

En caso de que el número de flujos descargados alcance el límite (e.g. 4 millones de flujosbidireccionales) no se descargará ningunas nuevas conexiones, hasta que las conexionesexistentes se quiten de la tabla descargada

●

Para ver todos los paquetes en FP4100/9300 que pasen con FTD (descargado + LINA) allí esnecesidad de habilitar la captura en el chasis llano tal y como se muestra en de la imagen:

La captura del backplane del chasis muestra a las ambas direcciones. Debido a la arquitectura dela captura FXO (2 puntas de la captura por la dirección) cada paquete se muestra dos veces tal ycomo se muestra en de la imagen:

De acuerdo con el antedicho:

Totales de paquetes con FTD: 30●

Paquetes con FTD LINA: 8●

Paquetes descargados al acelerador de SmartNIC HW: 22●

Utilice los casos

Utilice la acción del fastpath de Prefilter cuando usted quiere desviar totalmente el examendel Snort. Usted quiere típicamente hacer esto para los flujos gordos grandes que ustedconfía en como los respaldos, las transferencias etc de la base de datos

●

En los dispositivos FP4100/9300 los activadores de la acción del fastpath flujo-descargan ysolamente algunos paquetes pasan a través del motor FTD LINA. El resto es manejado porSmartNIC que disminuya el tiempo de espera

●

Acción del fastpath de la directiva de Prefilter (En línea-conjunto)

En caso de que una acción del fastpath de la directiva de Prefilter se aplique en el tráfico quepasa a través de un en línea-conjunto (interfaces NGIPS) las puntas siguientes se deben tomaren la consideración:

La regla será aplicada al motor de LINA como acción de la confianza●

El flujo no será examinado por el motor del Snort●

El flujo descarga (aceleración HW) no ocurrirá puesto que el flujo descarga es nocorresponde en las interfaces NGIPS

●

Aquí está un ejemplo de una traza del paquete en caso de la acción del fastpath de Prefilteraplicada en un en línea-conjunto:

firepower# packet-tracer input inside tcp 192.168.1.40 12345 192.168.1.50 80 detailed

Phase: 1

Type: NGIPS-MODE

Subtype: ngips-mode

Result: ALLOW

Config:


The flow ingressed an interface configured for NGIPS mode and NGIPS services will be applied

Forward Flow based lookup yields rule:

in id=0x2ad7ac48b330, priority=501, domain=ips-mode, deny=false

hits=2, user_data=0x2ad80d54abd0, cs_id=0x0, flags=0x0, protocol=0

src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any

dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0

input_ifc=inside, output_ifc=any

Phase: 2

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:


access-list CSM_FW_ACL_ advanced trust ip object 192.168.1.0 object 192.168.1.0 rule-id

268438531 event-log flow-end

access-list CSM_FW_ACL_ remark rule-id 268438531: PREFILTER POLICY: PF1

access-list CSM_FW_ACL_ remark rule-id 268438531: RULE: 1


Forward Flow based lookup yields rule:

in id=0x2ad9f9f8a7f0, priority=12, domain=permit, trust

hits=1, user_data=0x2ad9b23c5d40, cs_id=0x0, use_real_addr, flags=0x0, protocol=0

src ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any

dst ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any, vlan=0, dscp=0x0

input_ifc=any, output_ifc=any

Phase: 3

Type: NGIPS-EGRESS-INTERFACE-LOOKUP

Subtype: Resolve Egress Interface

Result: ALLOW

Config:


Ingress interface inside is in NGIPS inline mode.

Egress interface outside is determined by inline-set configuration

Phase: 4

Type: FLOW-CREATION

Subtype:

Result: ALLOW

Config:


New flow created with id 7, packet dispatched to next module

Module information for forward flow ...

snp_fp_ips_tcp_state_track_lite

snp_fp_ips_mode_adj

snp_fp_tracer_drop

snp_ifc_stat

Module information for reverse flow ...

snp_fp_ips_tcp_state_track_lite

snp_fp_ips_mode_adj

snp_fp_tracer_drop

snp_ifc_stat

Result:

input-interface: inside

input-status: up


Action: allow

El antedicho se puede visualizar como:

La directiva de Prefilter analiza la acción

El escenario 1. Prefilter analiza con la regla de bloques ACP

Considere la directiva de Prefilter que contiene una regla del analizar tal y como se muestra en dela imagen:

El ACP contiene solamente la regla predeterminada que se fija para bloquear todo el tráfico tal ycomo se muestra en de la imagen:

Ésta es la directiva desplegada en el motor del Snort FTD (archivo ngfw.rules):

# Start of tunnel and priority rules.

# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.

268435460 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any (tunnel -1)

268435459 allow any any 1025-65535 any any 3544 any 17 (tunnel -1)

268435459 allow any any 3544 any any 1025-65535 any 17 (tunnel -1)

268435459 allow any any any any any any any 47 (tunnel -1)



# End of tunnel and priority rules.

# Start of AC rule.

268435458 deny any any any any any any any any (log dcforward flowstart)

# End of AC rule.

Ésta es la directiva desplegada en el motor FTD LINA:


268435460 (hitcnt=0) 0xb788b786


Para probar con el paquete-trazalíneas, muestra que el paquete es permitido por LINA, se remitepara resoplar motor (debido permitir la acción) y el motor del Snort vuelve un veredicto del bloquepuesto que la acción predeterminada del AC se corresponde con.

Nota: El Snort no evalúa el tráfico basado en las reglas del túnel

Cuando usted localiza un paquete revela lo mismo:


...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:



access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1

access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1



…

Phase: 14

Type: SNORT

Subtype:

Result: DROP

Config:


Snort Trace:

Packet: ICMP

AppID: service ICMP (3501), application unknown (0)



Firewall: block rule, id 268435458, drop

Snort: processed decoder alerts or actions queue, drop

NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall

Snort Verdict: (black-list) black list this flow

Result:


input-status: up



output-status: up


Action: drop

Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor

El escenario 2. Prefilter analiza con el ACP permite la regla

Si la meta es permitir que el paquete atraviese con el FTD, hay necesidad de agregar una reglaen el ACP. La acción puede ser admite o confía en cuál depende de la meta (e.g si usted quiereaplicar un examen L7 usted debe utilizar permite la acción) tal y como se muestra en de laimagen:

La directiva desplegada en el motor del Snort FTD:

# Start of AC rule.

268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any


# End of AC rule.

En el motor de LINA:


268435460 (hitcnt=1) 0xb788b786


el Paquete-trazalíneas muestra que el paquete hace juego la regla 268435460 en LINA y268435461 en el motor del Snort:


...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:







…

Phase: 14

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: ICMP




Firewall: allow rule, id 268435461, allow



…

Result:


input-status: up



output-status: up


Action: allow

El escenario 3. Prefilter analiza con la regla de la confianza ACP

En caso de que el ACP contenga una regla de la confianza entonces usted tiene esto tal y comose muestra en de la imagen:

Snort:

# Start of AC rule.

268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any


# End of AC rule.

LINA:


268435460 (hitcnt=2) 0xb788b786

Recuerde que puesto que el SI se habilita por abandono, la regla de la confianza está desplegadacomo acción del permiso en LINA tan por lo menos que algunos paquetes se reorientan pararesoplar motor para el examen.


el Paquete-trazalíneas muestra que las listas blancas del motor del Snort el paqueteesencialmente que descarga el flujo del resto a LINA:


...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:







…

Phase: 14

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: ICMP







…

Result:


input-status: up



output-status: up


Action: allow

El escenario 4. Prefilter analiza con la regla de la confianza ACP

En este escenario el SI fue inhabilitado manualmente.

La regla se despliega en el Snort como sigue:

# Start of AC rule.

268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any


# End of AC rule.

En LINA la regla se despliega como plena confianza. Un paquete debe hacer juego sin embargola regla del permiso (véase las golpe-cuentas de ACE) que es debido desplegada analizar la reglade Prefilter y el paquete es examinado por el motor del Snort:


268435460 (hitcnt=3) 0xb788b786

...

access-list CSM_FW_ACL_ line 13 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id

268435461 event-log flow-end (hitcnt=0) 0x5c1346d6

...

access-list CSM_FW_ACL_ line 16 advanced deny ip any any rule-id 268435458 event-log flow-start

(hitcnt=0) 0x97aa021a



...

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:







...

Phase: 14

Type: SNORT

Subtype:

Result: ALLOW

Config:


Snort Trace:

Packet: ICMP







…

Result:


input-status: up



output-status: up


Action: allow

Puntos principales

Se despliega la acción del analizar como regla del permiso en el motor de LINA. Esto tienecomo efecto el paquete que se remitirá para resoplar motor para el examen

●

La acción del analizar no despliega ninguna regla en el motor así que usted del Snortnecesidad de asegurarse de que usted configura una regla en el ACP que hace juego en elSnort

●

Depende de la regla ACP que se despliega en el motor del Snort (el bloque contra permitecontra el fastpath) ningunos o todos o algunos paquetes son permitidos por el Snort

●

Utilice los casos

Un caso del uso de la acción Analyze es cuando usted hace que una regla amplia delfastpath en la directiva y usted de Prefilter quiera poner algunas excepciones para los flujosespecíficos de modo que sean examinadas por el Snort

●

Además, el examen del Snort implica que el flujo no está descargado en el hardware(SmartNIC), sino que es manejado por el Snort y LINA

●

Comportamiento FTD con los protocolos que abren las conexiones secundarias

Hay protocolos como FTP, el SORBO etc que negocia y las conexiones secundarias abiertasdinámicamente. FTD abre los agujeritos para las conexiones secundarias en 2 nivelesindependientemente:

Motor de LINA●

Motor del Snort●

Además, cuando el Snort abre un agujerito señala a LINA para abrir el mismo agujerito en casode que no esté ya abierto.

Con los protocolos que negocian y las conexiones secundarias abiertas que usted debe utilizarpermita la acción en el ACP y nunca utilice la confianza. La razón es ésa puesto que el Snorttambién abre los agujeritos que necesita examinar algunos paquetes (el número depende de laaplicación) antes de que usted abra un agujerito en el nivel del Snort. Si usted utiliza una acciónde la confianza, la mayor parte de los tiempos solamente que algunos paquetes se envían pararesoplar motor para el examen y el flujo se descarga a LINA antes del Snort tiene la época demarcar la fase de la negociación del protocolo y de abrir los agujeritos necesarios en el nivel delSnort. El resultado es LINA para abrir los agujeritos, pero resopla para caer las conexionessecundarias (e.g. canal de datos FTD).

Nota: Para los protocolos que requieren los agujeritos que se abrirán por FTD se asegurande que la regla ACP hace juego una aplicación. Si la regla utiliza un puerto del protocolo como una condición entonces que el motor delSnort no se abrirá un agujerito y los flujos como los datos FTD serán caídos por FTD

Guías de consulta de la regla FTD

Utilice las reglas del fastpath de la directiva de Prefilter para los flujos gordos grandes y paradisminuir el tiempo de espera a través del cuadro

●

Utilice las reglas de bloques de Prefilter para el tráfico que se debe bloquear sobre la base delas condiciones L3/L4

●

Utilice las reglas de la confianza ACP si usted quiere desviar muchos de los controles delSnort, pero todavía aprovéchese de las características como la directiva de la identidad, QoS,SI, detección de la aplicación, filtro URL

●

Ponga las reglas que afectan menos al funcionamiento del Firewall en la cima de la directivadel control de acceso con el uso de estas guías de consulta:

●

Reglas de bloques (capas 1-4) - Bloque de Prefilter1.Permita las reglas (capas 1-4) - Fastpath de Prefilter2.Reglas de bloques ACP (capas 1-4)3.La confianza gobierna (las capas 1-4)4.Reglas de bloques (capas 5-7 - detección, Filtrado de URL de la aplicación)5.Permita las reglas (capas 1-7 - detección de la aplicación, Filtrado de URL, directiva de laintrusión/la directiva del archivo)

6.

Regla de bloques (regla predeterminada)7.Para más detalles marque el documento siguiente:

Orden de funcionamiento de la directiva NGFW

Evite el registro excesivo (el registro al principio o en el extremo y evita ambos al mismotiempo)

●

Sea consciente de la extensión de la regla, marcar el número de reglas en LINA●

firepower# show access-list | include elements

access-list CSM_FW_ACL_; 7 elements; name hash: 0x4a69e3f3

Resumen

Cómo se despliegan las reglas:

/content/dam/en/us/td/docs/security/firepower/Self-Help/NGFW_Policy_Order_of_Operations.pdf

Permita contra la confianza

Nota: Como a partir del código del software 6.3 FTD que el flujo dinámico descarga puededescargar las conexiones que cumplen los criterios adicionales incluyendo los paquetes deconfianza que requieren el examen del Snort. Marque “descargan la sección de lasconexiones grandes (flujos)” de la guía de configuración del centro de administración deFirePOWER para más detalles

Información Relacionada

Reglas del control de acceso FTD●

FTD Prefiltering y directivas de Prefilter●

Trabajo con las capturas y el Paquete-trazalíneas de la defensa de la amenaza deFirePOWER (FTD)

●

Configuración que abre una sesión FTD vía FMC●

Soporte Técnico y Documentación - Cisco Systems●

Descargue las conexiones grandes●

Orden de funcionamiento de la directiva NGFW●

/content/en/us/td/docs/security/firepower/622/configuration/guide/fpmc-config-guide-v622/access_control_rules.html

/content/en/us/td/docs/security/firepower/622/configuration/guide/fpmc-config-guide-v622/prefiltering_and_prefilter_policies.html

/content/en/us/support/docs/security/firepower-ngfw/200867-Working-with-Firepower-Threat-Defense-F.html

/content/en/us/support/docs/security/firepower-ngfw/200867-Working-with-Firepower-Threat-Defense-F.html

https://www.cisco.com/c/es_mx/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

https://www.cisco.com/c/es_mx/support/index.html

/content/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/rule_management__common_characteristics.html#id_14502

/content/dam/en/us/td/docs/security/firepower/Self-Help/NGFW_Policy_Order_of_Operations.pdf

aclare las acciones de la regla de la directiva del ... · posibles se muestran en la imagen: cómo...

Documents