Segurança : Cisco Firepower Management Center

Permita o Preprocessor Inline da normalização e compreenda a inspeção PRE-ACK e Cargo-ACK

20 Fevereiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Feedback

Introdução

Este documento descreve como permitir o preprocessor inline da normalização e ajuda-o a compreender a diferença e o impacto de duas opções avançadas da normalização inline.

Contribuído por Nazmul Rajib, por Aaron Williams, e por John Groetzinger, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento do sistema da potência de fogo de Cisco e ronca.

Componentes Utilizados

A informação neste documento é baseada nos dispositivos do centro de gerenciamento e da potência de fogo de Cisco FireSIGHT.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Um preprocessor inline da normalização normaliza o tráfego a fim minimizar a possibilidade que um atacante pode iludir a detecção usando disposições inline. A normalização ocorre imediatamente depois do pacote que descodifica e antes de todos os outros preprocessors, e continua das camadas internas do pacote para fora. A normalização Inline não gera eventos, mas prepara pacotes para o uso de outros preprocessors.

Quando você aplica uma política da intrusão com o preprocessor inline da normalização permitido, o dispositivo da potência de fogo testa estas duas circunstâncias a fim assegurar-se de que você use um desenvolvimento inline:

  • Para versões 5.4 e mais recente, o modo Inline é permitido na política da análise de rede (SESTA), e na gota quando está configurado Inline igualmente na política da intrusão se a política da intrusão está ajustada para deixar cair o tráfego. Para versões 5.3 e anterior, a gota quando a opção Inline for permitida na política da intrusão.

  • A política é aplicada com failopen) a um grupo inline (ou inline da relação.

Consequentemente, além do que a habilitação e a configuração do preprocessor inline da normalização, você deve igualmente assegurar-se de que estas exigências estejam cumpridas, ou o preprocessor não normalizará o tráfego:

  • Sua política deve ser ajustada para deixar cair o tráfego em disposições inline.

  • Você deve aplicar sua política a um grupo inline.

Permita a normalização Inline

Esta seção descreve como permitir a normalização inline para versões 5.4 e mais recente, e igualmente para versões 5.3 e anterior.

Permita a normalização Inline nas versões 5.4 e mais recente

A maioria dos ajustes do preprocessor são configurados na SESTA para versões 5.4 e mais recente. Termine estas etapas a fim permitir a normalização inline na SESTA:

  1. Entre à Web UI de seu centro de gerenciamento de FireSIGHT.

  2. Navegue às políticas > ao controle de acesso.

  3. Clique a política da análise de rede perto da área do direita superior da página.

  4. Selecione uma política da análise de rede que você queira aplicar a seu dispositivo gerenciado.

  5. Clique o ícone do lápis a fim começar a edição, e a página da política da edição publica-se.

  6. Clique ajustes no lado esquerdo da tela, e a página dos ajustes publica-se.

  7. Encontre a opção Inline da normalização na área do Preprocessor da camada do /Network do transporte.

  8. Selecione o botão de rádio permitido a fim permitir esta característica:

A SESTA com a normalização inline deve ser adicionada a sua política do controle de acesso para que a normalização inline ocorra. A SESTA pode ser adicionada através do guia avançada da política do controle de acesso:

A política do controle de acesso deve então ser aplicada ao dispositivo de inspeção.

Nota: Para a versão 5.4 ou mais recente, você pode permitir o tráfego inline da normalização com certeza e desabilitá-lo para o outro tráfego. Se você quer o permitir para o tráfego específico, adicionar uma regra da análise de rede e ajuste os critérios e a política do tráfego a essa que tem a normalização inline permitida. Se você quer a permitir globalmente, a seguir ajuste a política da análise de rede padrão a essa que tem a normalização inline permitida.

Permita a normalização Inline nas versões 5.3 e anterior

Termine estas etapas a fim permitir a normalização inline em uma política da intrusão:

  1. Entre à Web UI de seu centro de gerenciamento de FireSIGHT.

  2. Navegue às políticas > à intrusão > às políticas da intrusão.

  3. Selecione uma política da intrusão que você queira aplicar a seu dispositivo gerenciado.

  4. Clique o ícone do lápis a fim começar a edição, e a página da política da edição publica-se.

  5. Clique ajustes avançados, e a página avançada dos ajustes publica-se.

  6. Encontre a opção Inline da normalização na área do Preprocessor da camada do /Network do transporte.

  7. Selecione o botão de rádio permitido a fim permitir esta característica:

Uma vez que a política da intrusão é configurada para a normalização inline, deve ser adicionada como a ação padrão na política do controle de acesso:

 

A política do controle de acesso deve então ser aplicada ao dispositivo de inspeção.

Você pode configurar o preprocessor inline da normalização a fim normalizar o IPv4, o IPv6, a versão 4 do protocolo Protocolo de control de mensajes de Internet (ICMP) (ICMPv4), o ICMPv6, e o tráfego TCP em toda a combinação. A normalização de cada protocolo ocorre automaticamente quando essa normalização do protocolo é permitida.

Permita a inspeção Cargo-ACK e a inspeção PRE-ACK

Depois que você permite o preprocessor inline da normalização, você pode editar os ajustes a fim permitir a opção do payload de TCP da normalização. Esta opção no preprocessor inline da normalização comuta entre dois modos diferentes de inspeção:

  • Reconhecimento do cargo (Cargo-ACK)

  • Pre reconhecimento (PRE-ACK)

Compreenda a inspeção Cargo-ACK (normalize o payload de TCP TCP/Normalize desabilitado)

Na inspeção Cargo-ACK, a remontagem da corrente de pacote de informação, o resplendor (mão fora ao resto do processo da inspeção), e a detecção no Snort ocorrem depois que o reconhecimento (ACK) da vítima para o pacote que termina o ataque é recebido pelo Intrusion Prevention System (IPS). Antes que o resplendor do córrego ocorra, o pacote de ofensa tem alcançado já a vítima. Consequentemente, o alerta/gota ocorre depois que o pacote de ofensa alcançou a vítima. Esta ação ocorre quando o ACK da vítima para o pacote de ofensa alcança o IPS.

Compreenda a inspeção PRE-ACK (normalize o payload de TCP TCP/Normalize permitido)

Esta característica normaliza o tráfego imediatamente depois do pacote que descodifica e antes que toda a outra função do Snort estiver processada a fim minimizar esforços da evasão TCP. Isto assegura-se de que os pacotes que alcançam o IPS sejam os mesmos como aqueles que são passadas sobre à vítima. O Snort deixa cair o tráfego no pacote que termina o ataque antes que o ataque alcance sua vítima.

Quando você permite normalize o TCP, o tráfego que combina estas circunstâncias é deixado cair igualmente:

  • Cópias retransmitidas previamente de pacotes descartado

  • Trafique que tentativas de continuar uma sessão previamente deixada cair

  • Trafique que combina qualqueras um regras do preprocessor do córrego TCP:

    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14 a 129:19

Nota: A fim permitir os alertas para as regras do córrego TCP que são deixadas cair pelo preprocessor da normalização, você deve permitir a característica das anomalias da inspeção stateful na configuração do córrego TCP.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.