セキュリティ : Cisco Firepower Management Center

インライン正規化プリプロセッサによる後確認応答および前確認応答 インスペクション

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

インライン正規化プリプロセッサはインライン配備の検出を避けている攻撃者の可能性を最小限に抑えるためにトラフィックを正規化します。  正規化はデコードするパケットの直後におよびパケットの内部層から外側に続行する他のどのプリプロセッサの前にも起こります。 インライン正規化はイベントを生成しませんが、他のプリプロセッサによって使用のパケットを準備をします。 この資料にインライン正規化プリプロセッサを設定する方法を記述されインライン正規化の 2 つの詳細オプションの違いおよび影響を理解するのを助けます。

Nazmul Rajib およびアーロン ウィリアムスによって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は FireSIGHT システムのナレッジがあり、鼻を鳴らすことを推奨します。

有効に なるインライン正規化プリプロセッサとの不正侵入 ポリシーを適用するとき IPS はインライン配備を使用していることを確認するために次の 2 条件をテストします: 

  • インライン オプションが有効に なる場合のドロップする
  • ポリシーはインラインに適用されますまたはとインライン インターフェイス セットを failopen。
従って、インライン正規化プリプロセッサを有効に し、設定することに加えて、また次を確認して下さいプリプロセッサはトラフィックを正規化しません:
  • ポリシーはインライン配備のトラフィックを廃棄するために設定 する必要があります。
  • インラインに設定 されるにポリシーを適用して下さい。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • FireSIGHT Management Center および FirePOWER アプライアンス
  • ソフトウェア バージョン 5.2 以降

警告: このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークがライブである場合、インライン正規化を有効に することの潜在的影響を理解することを確かめて下さい。

インライン正規化を有効に して下さい

不正侵入 ポリシーのインライン正規化を有効に するために、下記のようにステップに従って下さい: 

ステップ 1: FireSIGHT Management Center の Web ユーザ ユーザー・インターフェースへのログイン。 

ステップ 2: ポリシー > 不正侵入 > 不正侵入ポリシーへのナビゲート 

ステップ 3: 管理対象装置に適用したいと思う不正侵入 ポリシーを選択して下さい。 

ステップ 4: 始まるために鉛筆アイコンを編集しますクリックして下さい。 クリックした後、編集ポリシー ページは提示されます。

  

ステップ 5: 設定を『Advanced』 をクリック して下さい。 高度 Settings ページは現われます。 

ステップ 6: 転送する/ネットワーク層プリプロセッサの下でインライン正規化 オプションを見つけて下さい。 

ステップ 7: この機能を有効に するために『Enabled』 を選択 して下さい。

  

任意に組み合わせて IPv4、IPv6、ICMPv4、ICMPv6 および TCPトラフィックを正規化するためにインライン正規化プリプロセッサを設定できます。  各プロトコルの正規化はそのプロトコル 正規化がつくとき自動的に発生します。  

イネーブル後 Ack インスペクションおよび前 Ack インスペクション

 インライン正規化プリプロセッサを有効に した後、正規化 TCP を有効に し、TCP ペイロード オプションを正規化するために設定を編集できます。 インスペクションの 2 つの異なるモードの間のインライン正規化プリプロセッサ switche のこれらのオプション: 
  • ポスト確認応答(後 Ack)
  • 前に確認応答(前 Ack)

後 Ack インスペクションを理解して下さい(ディセーブルにされる TCP/Normalize TCP ペイロードを正規化して下さい)

後 Ack インスペクションでは、攻撃を完了する IPS によってパケットのための対象からの確認応答(ACK)が受け取られた後 Snort のパケットストリーム再組立て、フラッシュ(ハンド インスペクション プロセスの他に)、および検出は起こります。  ストリーム フラッシュが起こる前に、おこるパケットは既に対象に到着してしまいました。 従っておこるパケットが対象に到着した後、アラート/ドロップするは起こります。 この処置はおこるパケットのための対象からの ACK が IPS に達するととられます。

前 Ack インスペクションを理解して下さい(有効に なる TCP/Normalize TCP ペイロードを正規化して下さい)

この機能はトラフィックを直後に TCP 回避努力を最小に するために他のどの Snort 機能のも処理する前にデコードするパケット正規化し。  これは IPS に到着するパケットが対象に渡される物と同じであることを確認します。  攻撃がそれにである対象達する前に攻撃を完了する Snort はパケットのトラフィックを廃棄します。

 

有効に なることはまた次の状態と一致する TCP を廃棄しますトラフィックを正規化します

  1. 以前に 破棄された パケットの再送信されたコピー
  2. トラフィック 以前に廃棄されたセッションを続けるように試みる
  3. トラフィックはの次の TCP ストリーム プリプロセッサ一致する支配します:
    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14 〜 129:19

: 正規化プリプロセッサによって廃棄される TCP ストリーム ルールのためのアラートを有効に するために、TCP ストリーム 設定のステートフル 点検 アノーマリ 機能を有効に して下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117927