Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

Часто задаваемые вопросы ASA: Почему ASA передает пакеты Модулю ips без конфигурации политики IPS?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, почему устройство адаптивной защиты Cisco (ASA) могло бы передать трафик к встроенному сервисному модулю для контроля, когда нет никакой политики модуля Системы предотвращения вторжений (IPS) в конфигурации.

Внесенный Prapanch Ramamoorthy и Abhishek Prabhakar, специалистами службы технической поддержки Cisco.

Вопрос. . Когда нет никакой настроенной политики IPS, почему ASA передает пакеты Модулю ips для контроля?

О.

Возможно, что соединение было создано для передачи трафика к Модулю ips для контроля, когда ASA был настроен, и что соединение все еще активно.

Например, у клиента с ASA5515-IPS нет настроенной политики в карте политик для передачи трафика к Модулю ips программного обеспечения; однако, трафик достигает модуля от ASA.

Когда вы используете пакетную функцию показа на IPS, вы видите трафик, который прибывает в IPS от ASA:

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

Интерфейсные статистические данные на интерфейсе считывания IPS были очищены, и пакеты были получены:

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 128
Total Bytes Received = 17904
Total Packets Transmitted = 128
Total Bytes Transmitted = 17904

Причина проблемы состоит в том, что когда-то в прошлом конфигурация была добавлена к ASA для передачи трафика к Модулю ips, и connnections не были убраны после того, как конфигурация IPS была удалена на ASA. Это распространено с протоколами не TCP, это постоянно передает трафик.


На ASA введите команду show conn, чтобы определить, имеют ли пакеты, которые вы видите на Модуле ips, соединения. Для наблюдения времен работы без сбоев введите команду show conn detail. Чтобы гарантировать, что соединения не перенаправлены к IPS, вам, возможно, придется ввести команду <address> clear conn в ASA для очистки тех определенных соединений:

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.