セキュリティ : Cisco Web セキュリティ アプライアンス

レイヤ4 トラフィック モニタはどのようにトラフィックをブロックするか。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

ジェイソン アラートおよび Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

質問:

レイヤ4 トラフィック モニタはどのように映されたトラフィックだけを受信する場合トラフィックをブロックするか。

環境

レイヤ4 トラフィック モニタ-疑わしい トラフィックをブロックするために設定される L4TM


解決策:


Cisco Web セキュリティ アプライアンス(WSA)にすべてのネットワークポート(TCP/UDP 0-65535)を渡る疑わしい セッションをブロックできる組み込みレイヤ4 トラフィック モニタ(L4TM)サービスがあります。

これらのセッション トラフィックをモニタするか、またはブロック TAPS (テスト アクセス ポート)デバイスを使用することによって、ネットワークデバイス(Ciscoデバイスの SPAN ポート)のミラー ポートを設定することによって WSA にできることが、リダイレクトする。 L4TM インライン モードはまだサポートされていません。

トラフィックがオリジナル セッションからだけアプライアンスへの(コピーされる)映るのに、WSA はまだ TCP セッションを休息させるか、または UDP セッションのための ICMP 「ホスト 到達不可能」メッセージを送信 することによって疑わしい トラフィックをブロックできます。


TCP セッションに関しては

WSA L4TM がサーバに/からパケットを受信し、トラフィックがブロック処理と一致する場合、L4TM はクライアントに TCP RST (リセット)データグラムかシナリオによってサーバを送信 します。 TCP RST データグラムは 1.へ TCP RST フラグが設定とのちょうど規則的なパケットです。

RST のレシーバは最初にそれを検証しましたり、そして状態を変更します。 レシーバが LISTEN 状態にあった場合、それを無視します。 レシーバが SYN-RECEIVED 状態にあり、LISTEN 状態に以前にあった場合、レシーバは LISTEN 状態に戻ります、他ではレシーバは接続を打ち切り、閉じた状態に行きます。 レシーバが他のどの状態にもあった場合、接続を打ち切り、ユーザに助言し、閉じた状態に行きます。

考慮するべき 2 つのケースがあります(いずれの場合もユーザ/クライアントはファイアウォールの後ろにあります):

  • 最初 1 つは疑わしい パケットが内部ネットワークのクライアントの方のファイアウォール以外から来ているときあります。 RST はサーバに送信 され、この場合 RST はクライアントから実際に来たことを信じるので通常 RST を転送しないが、セッションを終了しますファイアウォールに到達します。 この場合 RST のソース IP はクライアントのスプーフィングされたIP です。 クライアントはセッションを終了します。
  • 第 2 ケースはパケットが内部ネットワークのクライアントから来て、外部サーバに行っているときあります(ファイアウォールの外部で)。 RST はクライアントにそれから送信 され、RST ソース IP はサーバのスプーフィングされたIP です。

UDP セッションに関しては

同じような動作は WSA によって疑わしい トラフィックが UDP セッションからあるが、TCP RST を送信 するかわりに、L4TM は ICMP ホスト 到達不可能 メッセージ(クライアントまたはサーバへの 1) ICMP 型 3 コードを送信 しますとき実行された。 ただしホストは到達不能である従ってパケットを送信できないことを ICMP メッセージが示すので、このような場合 IPスプーフィングがありません。 ソース IP はこの場合 WSA の IP です。

これらの RST および ICMPパケットは、M1 によって、データ ルーティング テーブルを使用して WSA から P1、か配備によって P2、送信されます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117985