Sécurité : Cisco Firepower Management Center

Inspection de POST-accusé de réception et de Pré-accusé de réception par le préprocesseur intégré de normalisation

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Le préprocesseur intégré de normalisation normalise le trafic pour réduire les possibilités des attaquants éludant la détection dans des déploiements intégrés.  La normalisation a lieu juste après le paquet décodant et avant tous les autres préprocesseurs, procédant à partir des couches intérieures du paquet à l'extérieur. La normalisation intégrée ne génère pas des événements, mais elle prépare des paquets à l'usage d'autres préprocesseurs. Ce document décrit comment configurer le préprocesseur intégré de normalisation, et vous aide à comprendre la différence et l'incidence de deux options avancées de la normalisation intégrée.

Contribué par Nazmul Rajib et Aaron Williams, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance du système de FireSIGHT et renifliez.

Quand vous appliquez une stratégie d'intrusion avec le préprocesseur intégré de normalisation activé, votre IPS teste les deux conditions suivantes pour s'assurer que vous utilisez un déploiement intégré : 

  • La baisse quand l'option intégrée est activée.
  • La stratégie est appliquée à un en ligne ou l'en ligne avec failopen le positionnement d'interface.
Par conséquent, en plus d'activer et de configurer le préprocesseur intégré de normalisation, vous devez également s'assurer que ce qui suit ou le préprocesseur ne normalisera pas le trafic :
  • Votre stratégie doit être placée pour relâcher le trafic dans des déploiements intégrés.
  • Vous devez s'appliquer votre stratégie à un positionnement d'en ligne.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliances de centre et de puissance de feu de Gestion de FireSIGHT
  • Version de logiciel 5.2 ou plus tard

Avertissement : Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel d'activer la normalisation intégrée.

Normalisation d'en ligne d'enable

Pour activer la normalisation intégrée dans une stratégie d'intrusion, suivez les étapes ci-dessous : 

Étape 1 : Ouvrez une session à l'interface utilisateur d'utilisateur web de votre centre de Gestion de FireSIGHT. 

Étape 2 : Naviguez vers des stratégies > l'intrusion > des stratégies d'intrusion 

Étape 3 : Sélectionnez une stratégie d'intrusion que vous voulez appliquer à votre périphérique géré. 

Étape 4 : Cliquez sur l'icône de crayon pour commencer éditent. Après que vous cliquiez sur, la page de stratégie d'éditer paraît.

  

Étape 5 : Paramètres avancés de clic. La page de paramètres avancés paraît. 

Étape 6 : Trouvez l'option intégrée de normalisation sous le transport/le préprocesseur couche réseau. 

Étape 7 : Sélectionnez activé pour activer cette caractéristique.

  

Vous pouvez configurer le préprocesseur intégré de normalisation pour normaliser l'ipv4, l'IPv6, l'ICMPv4, l'ICMPv6, et le trafic TCP dans n'importe quelle situation.  La normalisation de chaque protocole se produit automatiquement quand cette normalisation de protocole est activée.  

Inspection de l'enable POST-ACK et inspection Pré-ACK

 Après que vous activiez le préprocesseur intégré de normalisation, vous pouvez éditer les configurations pour activer le TCP de normalisation et pour normaliser des options de charge utile de TCP. Ces options dans le switche intégré de préprocesseur de normalisation entre deux modes différents d'inspection : 
  • Accusé de réception de courrier (POST-ACK)
  • Pré accusé de réception (Pré-ACK)

Comprenez l'inspection POST-ACK (normalisez la charge utile de TCP TCP/Normalize désactivée)

Dans l'inspection POST-ACK, le réassemblage de flux de paquets, l'annulation (main hors fonction au reste du procédé d'inspection), et la détection reniflent dedans a lieu après que l'accusé de réception (ACK) de la victime pour le paquet se terminant l'attaque soit reçu par l'IPS.  Avant que l'annulation de flot ait lieu, le paquet offensant a déjà atteint la victime. Par conséquent, l'alerte/baisse a lieu après que le paquet offensant ait atteint la victime. Cette action a lieu quand l'ACK de la victime pour le paquet offensant atteint l'IPS.

Comprenez l'inspection Pré-ACK (normalisez la charge utile de TCP TCP/Normalize activée)

Cette caractéristique normalise le trafic juste après le paquet décodant et avant le traitement de tout autre reniflez la fonction pour réduire des efforts d'évasion de TCP.  Ceci s'assure que les paquets atteignant l'IPS sont identiques que ceux passés sur la victime.  Reniflez les baisses le trafic sur le paquet qui se termine l'attaque avant que l'attaque l'atteigne soit victime.

 

L'activation normalisent le trafic de baisses de TCP également qui apparie les conditions suivantes : 

  1. Copies retransmises des paquets précédemment relâchés
  2. Trafiquez que des tentatives de continuer une session précédemment relâchée
  3. Trafiquez que les correspondances l'unes des après TCP coulent des règles de préprocesseur :
    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14 à 129:19

Remarque: Pour activer les alertes pour le TCP coulez les règles qui sont abandonnées par le préprocesseur de normalisation, vous doit activer la caractéristique d'anomalies d'inspection avec état dans la configuration de flot de TCP.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117927