Seguridad : Software Cisco Adaptive Security Appliance (ASA)

ASA FAQ: ¿Por qué el ASA envía los paquetes al módulo ips sin la configuración de la política IPS?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe porqué el dispositivo de seguridad adaptante de Cisco (ASA) pudo enviar el tráfico a un módulo de servicio integrado para el examen cuando no hay directiva del módulo del Sistema de prevención de intrusiones (IPS) en la configuración.

Contribuido por Prapanch Ramamoorthy y Abhishek Prabhakar, ingenieros de Cisco TAC.

Q. ¿Por qué el ASA envía los paquetes al módulo ips para el examen cuando no hay directiva IPS configurada?

R.

Es posible que una conexión fue construida para enviar el tráfico al módulo ips para el examen cuando el ASA fue configurado, y que la conexión es todavía activa.

Por ejemplo, un cliente con un ASA5515-IPS no tiene ninguna directiva configurada en una correspondencia de políticas para enviar el tráfico al módulo ips del software; sin embargo, el tráfico llega el módulo del ASA.

Cuando usted utiliza la característica de la visualización del paquete en el IPS, usted puede ver el tráfico que viene al IPS del ASA:

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

Las estadísticas de la interfaz sobre el IPS que detectaba la interfaz fueron borradas, y los paquetes fueron recibidos:

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 128
Total Bytes Received = 17904
Total Packets Transmitted = 128
Total Bytes Transmitted = 17904

La causa del problema es ésa en el pasado una configuración fue agregada alguna vez al ASA para enviar el tráfico al módulo ips, y los connnections no fueron vaciados después de que la configuración IPS fuera quitada en el ASA. Esto es común con los protocolos del no TCP que pasan constantemente el tráfico.


En el ASA, ingrese el comando show conn de determinar si los paquetes que usted ve en el módulo ips tienen entradas de la conexión. Para ver los uptimes, ingrese el comando detail del show conn. Para asegurar las conexiones no se reorientan al IPS, usted pudo tener que ingresar el comando claro del <address> conec en el ASA de borrar esas conexiones específicas:

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

Información Relacionada



Document ID: 116145