Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

FOIRE AUX QUESTIONS ASA : Pourquoi l'ASA envoie-t-elle des paquets au module IPS sans la configuration de politique IPS ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit pourquoi l'appliance de sécurité adaptable Cisco (ASA) pourrait envoyer le trafic à un module de service inclus pour l'inspection quand il n'y a aucune stratégie de module de Système de prévention d'intrusion (IPS) dans la configuration.

Contribué par Prapanch Ramamoorthy et Abhishek Prabhakar, ingénieurs TAC Cisco.

Q. Pourquoi l'ASA envoie-t-elle des paquets au module IPS pour l'inspection quand il n'y a aucune stratégie configurée IPS ?

R.

Il est possible qu'une connexion ait été établie pour envoyer le trafic au module IPS pour l'inspection quand l'ASA a été configurée, et que la connexion est encore en activité.

Par exemple, un client avec un ASA5515-IPS n'a aucune stratégie configurée dans une carte de stratégie pour envoyer le trafic au module IPS de logiciel ; cependant, le trafic arrive au module de l'ASA.

Quand vous utilisez la caractéristique d'affichage de paquet sur l'IPS, vous pouvez voir le trafic qui est livré à l'IPS de l'ASA :

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

La statistique d'interface sur l'IPS sentant l'interface ont été effacées, et des paquets ont été reçus :

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 128
Total Bytes Received = 17904
Total Packets Transmitted = 128
Total Bytes Transmitted = 17904

La cause de la question est celle un jour ou l'autre dans après une configuration a été ajoutée à l'ASA pour envoyer le trafic au module IPS, et les connnections n'ont pas été effacés après que la configuration IPS ait été retirée sur l'ASA. C'est commun avec les protocoles de non-tcp qui passent constamment le trafic.


Sur l'ASA, sélectionnez la commande de show conn de déterminer si les paquets que vous voyez sur le module IPS ont des entrées de connexion. Afin de voir les disponibilités, sélectionnez la commande de détail de show conn. Afin d'assurer les connexions ne sont pas réorientés à l'IPS, vous pourrait devoir sélectionner la commande de <address> de clear conn sur l'ASA d'effacer ces connexions spécifiques :

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

Informations connexes



Document ID: 116145