Безопасность : Cisco Firepower Management Center

Позвольте действующий препроцессор нормализации и поймите Pre-ACK и контроль Post-ACK

20 февраля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как позволить действующий препроцессор нормализации и помогает вам понять различие и воздействие двух продвинутых вариантов действующей нормализации.

Внесенный Nazmul Rajib, Аароном Уильямсом и Джоном Гроецинджером, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание Cisco система Огневой мощи и Фырканье.

Используемые компоненты

Информация в этом документе основана на Cisco FireSIGHT приборы Огневой мощи и Центр управления.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Справочная информация

Действующий препроцессор нормализации нормализует движение для уменьшения шанса, что нападавший может уклониться от обнаружения с помощью действующего развертывания. Нормализация немедленно происходит после расшифровки пакета и перед любыми другими препроцессорами и проистекает из внутренних слоев пакета, направленного наружу. Действующая нормализация не производит события, но она готовит пакеты к использованию другими препроцессорами.

При применении политики вторжения с действующим позволенным препроцессором нормализации устройство Огневой мощи проверяет эти два условия, чтобы гарантировать, чтобы вы использовали действующее развертывание:

  • Для Версий 5.4 и позже, Действующий Способ позволен в Сетевой аналитической политике (NAP), и Снижение, когда Действующий также формируется в политике вторжения, если политика вторжения собирается пропустить движение. Для Версий 5.3 и ранее, Снижение, когда Действующий выбор позволен в политике вторжения.

  • Политика применена к действующему (или действующая с failopen) интерфейсный набор.

Поэтому, в дополнение к enablement и конфигурации действующего препроцессора нормализации, необходимо также гарантировать, чтобы этим требованиям ответили, или препроцессор не нормализует движение:

  • Ваша политика должна собираться пропустить торговлю действующим развертыванием.

  • Необходимо применить политику к действующему набору.

Позвольте действующую нормализацию

Эта секция описывает, как позволить действующую нормализацию для Версий 5.4 и позже, и также для Версий 5.3 и ранее.

Позвольте действующую нормализацию в версиях 5.4 и позже

Большинство параметров настройки препроцессора формируется в NAP для Версий 5.4 и позже. Закончите эти шаги для предоставления возможности действующей нормализации в NAP:

  1. Загрузитесь в сеть UI своего Центра управления FireSIGHT.

  2. Проведите к политике> Управление доступом.

  3. Нажмите Network Analysis Policy около верхней правой области страницы.

  4. Выберите Сетевую Аналитическую политику, что вы хотите обратиться к своему устройству, которым управляют.

  5. Щелкните символом карандаша для начала редактировать, и Отредактировать стратегическая страница появляется.

  6. Нажмите Settings на левой стороне экрана, и Страница настроек появляется.

  7. Определите местонахождение Действующего выбора Нормализации в области Препроцессора Слоя транспорта/Сети.

  8. Выберите Позволенную радио-кнопку для активации этой опции:

NAP с действующей нормализацией должен быть добавлен к вашей политике управления доступом для действующей нормализации для появления. NAP может быть добавлен через стратегическую Вкладку "Дополнительно" управления доступом:

Политика управления доступом должна тогда быть применена к устройству осмотра.

Примечание: Для Версии 5.4 или позже, можно позволить действующую нормализацию для определенного движения и отключить его для другого движения. Если вы хотите позволить его для определенного движения, добавьте сетевое аналитическое правило и установите транспортные критерии и политику к той, которой позволили действующую нормализацию. Если вы хотите позволить его глобально, то установленный аналитическая политика сети по умолчанию в ту, которой позволили действующую нормализацию.

Позвольте действующую нормализацию в версиях 5.3 и ранее

Закончите эти шаги для предоставления возможности действующей нормализации в политике вторжения:

  1. Загрузитесь в сеть UI своего Центра управления FireSIGHT.

  2. Проведите к политике> Вторжение> политика Вторжения.

  3. Выберите политику вторжения, что вы хотите обратиться к своему устройству, которым управляют.

  4. Щелкните символом карандаша для начала редактировать, и Отредактировать стратегическая страница появляется.

  5. Нажмите Advanced Settings, и страница Расширенных настроек появляется.

  6. Определите местонахождение Действующего выбора Нормализации в области Препроцессора Слоя транспорта/Сети.

  7. Выберите Позволенную радио-кнопку для активации этой опции:

Как только политика вторжения формируется для действующей нормализации, она должна быть добавлена как действие по умолчанию в политике управления доступом:

 

Политика управления доступом должна тогда быть применена к устройству осмотра.

Можно формировать действующий препроцессор нормализации для нормализации IPv4, IPv6, интернет-Версии 4 (ICMPv4), ICMPv6 Протокола сообщения Контроля и торговли TCP любой комбинацией. Когда та нормализация протокола позволена, нормализация каждого протокола происходит автоматически.

Позвольте контроль Post-ACK и контроль Pre-ACK

После предоставления возможности действующего препроцессора нормализации можно отредактировать параметры настройки для предоставления возможности Нормализования выбора Полезного груза TCP. Этот выбор в действующем препроцессоре нормализации переключается между двумя различными способами контроля:

  • Почтовое подтверждение (Post-ACK)

  • Пред подтверждение (Pre-ACK)

Поймите Контроль Post-ACK (Нормализуйте TCP/Normalize TCP Отключенный Полезный груз),

В контроле Post-ACK, повторной сборке потока пакета, поток (передают к остальной части инспекционного процесса) и обнаружение в Фырканье происходит после того, как подтверждение (ACK) от жертвы к пакету, который заканчивает нападение, получено Системой предотвращения вторжения (IPS). Прежде чем поток потока происходит, незаконный пакет уже достиг жертвы. Поэтому, тревога/снижение происходит после того, как незаконный пакет достиг жертвы. Когда ACK от жертвы к незаконному пакету достигает IPS, это действие происходит.

Поймите Контроль Pre-ACK (Нормализуйте TCP/Normalize TCP, Полезный груз Позволил),

Эта особенность немедленно нормализует движение после расшифровки пакета и прежде чем любая другая функция Фырканья будет обработана для уменьшения усилий по уклонению TCP. Это гарантирует, что пакеты, достигающие IPS, совпадают с теми, которые переданы жертве. Фырканье пропускает движение на пакет, который заканчивает нападение, прежде чем нападение достигнет своей жертвы.

Когда вы позволяете, Нормализуют TCP, движение, которое соответствует этим условиям, также пропущено:

  • Повторно переданные копии ранее уроненных пакетов

  • Движение, которое пытается продолжить ранее пропущенную сессию

  • Движение, которое соответствует любому из этих правил препроцессора потока TCP:

    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14 через 129:19

Примечание: для предоставления возможности тревог для правил потока TCP, которые пропущены препроцессором нормализации, необходимо активировать Инспекционную опцию Аномалий Stateful в конфигурации потока TCP.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.