أستكشاف أخطاء حركة المرور وإصلاحها بسبب فحص بروتوكول LINA على FTD

المقدمة

يوضح هذا المستند كيفية تحديد ما إذا كان فحص بروتوكول LINA لإطار السياسة النمطية (MPF)، يقوم بإسقاط حركة مرور البيانات في "برنامج الإرسال فائق السرعة (FTD) الآمن من Cisco".

المتطلبات الأساسية

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco.
• مركز مدير جدار الحماية الآمن (FMC) من Cisco.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Virtual Secure Firewall Threat Defense (FTD)، الإصدار 7.4.2
• مركز مدير جدار الحماية الآمن (FMC) الظاهري من Cisco، الإصدار 7.4.2
  
  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تكون محركات التفتيش مطلوبة في جدار حماية للخدمات التي تقوم بدمج معلومات عنونة IP في حزمة بيانات المستخدم أو التي تفتح القنوات الثانوية على المنافذ المعينة بشكل ديناميكي.

يمكن أن يساعد فحص البروتوكول في منع حركة المرور الضارة من دخول الشبكة من خلال فحص محتوى حزم الشبكة وحظر حركة مرور البيانات أو تعديلها استنادا إلى التطبيق أو البروتوكول المستخدم.
ونتيجة لهذا فإن محركات الفحص من الممكن أن تؤثر على الإنتاجية الإجمالية. يتم تمكين العديد من محركات الفحص الشائعة على جدار الحماية بشكل افتراضي، وقد تكون هناك حاجة إليه لتمكين محركات أخرى حسب الشبكة.

التكوينات الافتراضية

بشكل افتراضي، يتضمن تكوين FTD LINA سياسة تطابق كل حركة مرور فحص التطبيق الافتراضية.

يطبق التفتيش على الحركة مرور على كل قارن (سياسة عالمية). 

تتضمن حركة مرور فحص التطبيق الافتراضية حركة مرور البيانات إلى المنافذ الافتراضية لكل بروتوكول. يمكنك تطبيق سياسة عامة واحدة فقط، لذلك إذا كنت تريد تغيير السياسة العامة، على سبيل المثال، لتطبيق فحص على منافذ غير قياسية، أو لإضافة عمليات فحص لم يتم تمكينها بشكل افتراضي، تحتاج إما إلى تحرير السياسة الافتراضية أو تعطيلها وتطبيق سياسة جديدة.

قم بتشغيل الأمر show running-config policy-map على LINA، واجهة سطر الأوامر (CLI) من خلال دعم النظام diagnostic-cli، للحصول على المعلومات.

firepower# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
 parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect icmp error 
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP 
 class class_snmp
  inspect snmp 
 class class-default
  set connection advanced-options UM_STATIC_TCP_MAP
!

التعرف على عمليات إسقاط الحزم بسبب فحص بروتوكول MPF

حتى عند توافق حركة المرور مع سياسة التحكم في الوصول (ACP) المعينة إلى جدار الحماية، في سيناريوهات معينة، تقوم عملية التفتيش بإنهاء الاتصالات نظرا لسلوك حركة مرور معين تم إستقباله بواسطة جدار الحماية، أو بسبب عدم اعتماد تصميم أو معيار تطبيق أو حد للتفتيش.

أثناء أستكشاف أخطاء حركة المرور وإصلاحها، تكون العملية المفيدة هي:

• قم بتعيين سجلات التقاط الوقت الفعلي على الواجهات التي تتدفق منها حركة المرور (واجهات الدخول والخروج)، الأمر:

firepower# capture  [interface ][match   [port ]  [port ]] 

باستخدام اللقطات، يمكنك تضمين تفاصيل التتبع الخاصة برقم الحزمة X للخيار ويجب أن توفر مرحلة النتائج حسب مرحلة أخذ الاتصال، كما يفعل أمر packet-tracer، ولكن مع هذا الخيار تضمن أنها حركة مرور في الوقت الفعلي.

firepower# show capture  packet number X trace detail

• ضبط إسقاط مسار الأمان السريع في الوقت الفعلي (ASP)، يعرض نوع الالتقاط asp-drop الحزم أو الاتصالات التي تم إسقاطها بواسطة ASP، هناك قائمة بالأسباب التي يمكنك العثور عليها في الارتباطات ذات الصلة للمستند، الأمر:

firepower# capture  [type ] [interface ][match   [port ]  [port ]] 

يمكن تجاهل عمليات إسقاط فحص البروتوكول، حيث يمكن ملاحظة نتيجة السماح في مراحل Packet-tracer. ولهذا السبب، من المهم التحقق دائما من سبب الإسقاط باستخدام سجلات الالتقاط في الوقت الفعلي.

رسائل خطأ الإسقاط الشائعة

غالبا ما يتم إستخدام إسقاط مسار الأمان السريع (ASP) لأغراض تصحيح الأخطاء للمساعدة في أستكشاف أخطاء الشبكة وإصلاحها. يتم إستخدام الأمر show asp drop لعرض هذه الحزم أو الاتصالات التي تم إسقاطها، مما يوفر رؤى في أسباب عمليات الإسقاط، والتي يمكن أن تتضمن مشاكل مثل حالات فشل NAT أو حالات فشل الفحص أو حالات رفض قاعدة الوصول.

النقاط الرئيسية حول حالات إسقاط ASP:

• عمليات إسقاط الإطارات: وهذه عمليات إسقاط مرتبطة بالحزم الفردية، مثل التضمين غير الصحيح أو لا يوجد مسار إلى المضيف.
• حالات سقوط التدفق: وهذه مرتبطة بالاتصالات، مثل التدفقات التي يتم رفضها بواسطة قواعد الوصول أو حالات فشل NAT.
• الاستخدام: الأمر في المقام الأول للتصحيح ويمكن أن يتغير المخرجات.

رسائل الخطأ هذه أو أسباب الإسقاط هي أمثلة يمكنك مواجهتها أثناء أستكشاف الأخطاء وإصلاحها. يمكن أن تؤجل حسب بروتوكول التفتيش المستخدم.

مثال إسقاط فحص RPC ل Sun

هذا سيناريو ل FTDv أحادي الذراع في نشر AWS، حركة مرور RPC يغلف بواسطة Geneve، إذا تم تمكين فحص RPC للشمس الاتصال.

يبدي الإنتاج ASP قطرات ل Sun RPC تفتيش، Sun RCP يستعمل ميناء 111 كغاية آخر ربط يكون Geneve عملية كبسلة ميناء أي يستعمل 6081 كغاية. سبب الإسقاط في الإخراج كما يمكنك ملاحظته هو "لا يوجد تجاور صالح"

firepower# show capture asp-drop
...
8: 16:23:02.462958 10.0.0.5.780 > 172.16.0.3.111: . ack 526534108 win 29200 Drop-reason: (no-adjacency) No valid adjacency, Drop-location: frame 0x000055d8bea9ebbe flow (NA)/NA 
9: 16:23:09.769338 10.0.0.5.780 > 172.16.0.3.111: P 1795131583:1795131679(96) ack 526534108 win 29200 Drop-reason: (no-adjacency) No valid adjacency, Drop-location: frame 0x000055d8bea9ebbe flow (NA)/NA 
10: 16:23:10.148658 172.16.0.3.111 > 10.0.0.5.780: . ack 4026726685 win 26880 Drop-reason: (no-adjacency) No valid adjacency, Drop-location: frame 0x000055d8bea9ebbe flow (NA)/NA 
11: 16:23:10.463004 10.0.0.5.780 > 172.16.0.3.111: . ack 526534108 win 29200 Drop-reason: (no-adjacency) No valid adjacency, Drop-location: frame 0x000055d8bea9ebbe flow (NA)/NA 
12: 16:23:26.462729 10.0.0.5.780 > 172.16.0.3.111: . ack 526534108 win 29200 Drop-reason: (no-adjacency) No valid adjacency, Drop-location: frame 0x000055d8bea9ebbe flow (NA)/NA
13: 16:23:27.548692 10.79.67.11.60855 > 10.79.67.4.6081: udp 176 [GENEVE segment-id 0 payload-length 136] Drop-reason: (tcp-not-syn) First TCP packet not SYN, Drop-location: frame 0x000055d8beb803ea flow (NA)/NA 

معرف تصحيح الأخطاء من Cisco CSCwj00074

يقوم وكيل FTDv أحادي الذراع بإسقاط حركة المرور مع عدم التجاور مع تمكين فحص SunRPC

يتم إسقاط حركة المرور على أنها "التجاور غير الصحيح" في ASP من محرك LINA لأن عنوان MAC المصدر والوجهة يتم ملؤه فجأة بالأصفار بعد الحزمة الثانية (SYN/ACK) من المصافحة ثلاثية الإتجاه.

سبب إسقاط ASP:

الاسم: عدم التجاور
عدم التجاور الصحيح:
    يتزايد هذا العداد عندما يستقبل جهاز الأمان حزمة على تدفق موجود لم يعد لديه تجاور إخراج صالح. يمكن أن يحدث ذلك إذا لم تعد الخطوة التالية قابلة للوصول أو إذا حدث تغيير توجيه بشكل خاص في بيئة توجيه ديناميكية.

الحل: تعطيل فحص SunRPC.

مثال SQL*NET Inspection Drop

هذا السيناريو ل FTDv للوكيل أحادي الذراع في نشر AWS، إذا تم تمكين فحص SQL*Nel، يتم إسقاط حركة المرور المغلفة بواسطة Geneve.

الإنتاج ل الربط على قبض مدمج (أنت يستطيع لاحظت ال نفسه ربط رقم):
السطر الأول: لم يتم تضمين التقاط حزمة ASP-Drop، يستخدم SQL*Net منفذ 1521 كوجهة.
السطر الثاني: VNI قارن asp-drop على LINA، Gen يستعمل عملية كبسلة ميناء 6081 كغاية.

هناك إثنان سبب إسقاط مختلف في الإنتاج، بما أن أنت يستطيع لاحظت هم "tcp-buffer-timeout" و "tcp-not-syn"

95	2024-12-14 07:55:58.771764	172.16.0.14	10.0.8.2	TCP	251	53905 → 1521 [PSH, ACK] Seq=1 Ack=1 Win=7479 Len=129
95: 07:55:58.771764       10.7.0.3.64056 > 10.7.2.5.6081:  udp 209 [GENEVE segment-id 0 payload-length 169] Drop-reason: (tcp-buffer-timeout) TCP Out-of-Order packet buffer timeout, Drop-location: frame 0x000055845d5c0317 flow (NA)/NA

96	2024-12-14 07:55:58.771780	172.16.0.14	10.0.8.2	TCP	1514	[TCP Out-Of-Order] 53905 → 1521 [ACK] Seq=4294965905 Ack=1 Win=7479 Len=1392
96: 07:55:58.771780       10.7.0.3.64056 > 10.7.2.5.6081:  udp 1472 [GENEVE segment-id 0 payload-length 1432] Drop-reason: (tcp-not-syn) First TCP packet not SYN, Drop-location: frame 0x000055845c68fa5f flow (NA)/NA

99	2024-12-14 07:55:58.997049	172.16.0.14	10.0.8.2	TCP	308	53903 → 1521 [PSH, ACK] Seq=1 Ack=1 Win=7537 Len=186
99: 07:55:58.997049       10.7.0.3.64056 > 10.7.2.5.6081:  udp 266 [GENEVE segment-id 0 payload-length 226] Drop-reason: (tcp-buffer-timeout) TCP Out-of-Order packet buffer timeout, Drop-location: frame 0x000055845d5c0317 flow (NA)/NA

100	2024-12-14 07:55:58.997079	172.16.0.14	10.0.8.2	TCP	1514	[TCP Out-Of-Order] 53903 → 1521 [ACK] Seq=4294965905 Ack=1 Win=7537 Len=1392
100: 07:55:58.997079       10.7.0.3.64056 > 10.7.2.5.6081:  udp 1472 [GENEVE segment-id 0 payload-length 1432] Drop-reason: (tcp-not-syn) First TCP packet not SYN, Drop-location: frame 0x000055845c68fa5f flow (NA)/NA

سبب إسقاط ASP:

الاسم: tcp-buffer-timeout
مهلة المخزن المؤقت لحزمة TCP التي انتهت صلاحيتها:
    يتم زيادة هذا العداد وإسقاط الحزمة عندما يتم إحتجاز حزمة TCP قيد الانتظار خارج الأمر في المخزن المؤقت لمدة طويلة للغاية.بشكل خاص، يتم وضع حزم TCP في الأمر على الاتصالات التي يتم فحصها بواسطة جهاز الأمان أو عند إرسال الحزم إلى SSM للتفتيش. عند عدم وصول حزمة TCP المتوقعة التالية خلال فترة معينة، يتم إسقاط حزمة الخروج من الأمر الموجودة في قائمة الانتظار.

التوصيات:
    لا تصل حزمة TCP المتوقعة التالية بسبب الازدحام في الشبكة وهو أمر طبيعي في شبكة مشغولة. يجب أن تعيد آلية إعادة إرسال TCP في المضيف الطرفي إرسال الحزمة ويمكن أن تستمر الجلسة.

الاسم: tcp-not-syn
حزمة TCP الأولى ليست syn:
    تم تلقي حزمة غير SYN كالحزمة الأولى من اتصال غير معترض وغير متصل.

التوصية:
    في الظروف العادية، يمكن ملاحظة ذلك عندما يكون الجهاز قد قام بالفعل بإغلاق اتصال، ولا يزال العميل أو الخادم يعتقد أن الاتصال مفتوح، ويستمر في إرسال البيانات.  بعض الأمثلة التي يمكن أن يحدث فيها ذلك بعد إصدار 'مضيف محلي واضح' أو 'xlate واضح'. كذلك، إذا لم تتم إزالة الاتصالات مؤخرا، وإذا كان العداد يتزايد بسرعة، فيمكن أن يتعرض الجهاز للهجوم. التقاط تتبع sniffer للمساعدة في عزل السبب.

الحل: قم بتعطيل فحص SQL*Net عند حدوث نقل بيانات SQL على نفس المنفذ مثل منفذ TCP للتحكم في SQL 1521. يعمل جهاز الأمان كوكيل عند تمكين فحص SQL*Net وتقليل حجم نافذة العميل من 65000 إلى حوالي 16000 مما يتسبب في حدوث مشاكل في نقل البيانات.

مثال إسقاط فحص ICMP

هذا السيناريو خاص ببيئة نظام مجموعة FTD.
يمكن إستخدام معرف ICMP لرأس ICMP كمنفذ المصدر للسلسلة 5-tupe في التدفق، لذلك فإن جميع الحزم 5-tupe من إختبار الاتصال هي نفسها، وسبب إسقاط ASP هو "inspection-icmp-seq-num-not-match" كما يمكنك ملاحظته في هذا الإخراج.

firepower#show cap asp-drop
 1: 19:47:09.293136 10.0.5.8 > 10.50.0.53 icmp: echo reply Drop-reason: (inspect-icmp-seq-num-not-matched) ICMP Inspect seq num not matched, Drop-location: frame 0x00005584202e6509 flow (NA)/NA

معرف الخطأ من Cisco CSCvb92417

تسقط مجموعة ASA إلى المربع ردود ICMP مع سبب "inspection-icmp-seq-num-not-match"

سبب إسقاط ASP:

الاسم: inspection-icmp-seq-num غير متطابق
لم تتم مطابقة رقم فحص ICMP:
    يجب زيادة هذا العداد عندما لا يتطابق الرقم التسلسلي في رسالة الرد على ICMP Echo مع أي رسالة صدى ICMP التي مرت عبر الجهاز مسبقا على نفس الاتصال.

الحل: تعطيل فحص ICMP. في بيئة نظام المجموعة: يمكن أن يكون هناك إثنان أو أكثر من FTD في نظام المجموعة وحركة مرور ICMP غير متماثلين. تتم ملاحظة وجود تأخير لحذف تدفق ICMP، يتم إرسال إختبار الاتصال اللاحق بسرعة قبل تنظيف تدفق إختبار الاتصال السابق. في هذه الحالة، يمكن أن يحدث فقد لحزمة إختبار الاتصال المتتالية.

مثال إسقاط فحص SIP

في هذا السيناريو، استغرقت المكالمات خمس دقائق فقط، ثم تم قطع الاتصال. عند إستخدام RTP، يمكن أن يسقط فحص SIP الاتصالات.
وكما يمكنك الملاحظة في إخراج التقاط الحزمة على الواجهة لحركة مرور VoIP، تعني علامة BYE في حركة مرور SIP أن المكالمة الهاتفية مغلقة في ذلك الوقت.

1	2023-10-13 18:39:03.421456	10.6.6.66	172.16.3.77	SIP/SDP	1055	Request: INVITE sip:12345678901@voip.example.com | 
2	2023-10-13 18:39:03.448325	172.16.3.77	10.6.6.66	SIP	497	Status: 100 Trying | 
3	2023-10-13 18:39:03.525424	172.16.3.77	10.6.6.66	SIP	687	Status: 401 Unauthorized | 
4	2023-10-13 18:39:03.525943	10.6.6.66	172.16.3.77	SIP	425	Request: ACK sip:12345678901@voip.example.com | 
5	2023-10-13 18:39:03.527331	10.6.6.66	172.16.3.77	SIP/SDP	1343	Request: INVITE sip:12345678901@voip.example.com | 
6	2023-10-13 18:39:03.553544	172.16.3.77	10.6.6.66	SIP	497	Status: 100 Trying | 
7	2023-10-13 18:39:05.902815	172.16.3.77	10.6.6.66	SIP/SDP	992	Status: 183 Session Progress | 
8	2023-10-13 18:39:06.091822	172.16.3.77	10.6.6.66	SIP/SDP	967	Status: 180 Ringing | 
9	2023-10-13 18:39:13.114435	172.16.3.77	10.6.6.66	SIP/SDP	1063	Status: 200 OK (INVITE) | 
10	2023-10-13 18:39:13.115899	10.6.6.66	172.16.3.77	SIP	560	Request: ACK sip:5566339933@65.149.36.87:5100 | 
11	2023-10-13 18:40:29.206593	172.16.3.77	10.6.6.66	SIP	642	Request: UPDATE sip:FD3a56NOYf5zyP_BN@10.6.6.66 | 
12	2023-10-13 18:40:29.207630	10.6.6.66	172.16.3.77	SIP	659	Status: 200 OK (UPDATE) | 
13	2023-10-13 18:41:09.940854	10.6.6.66	172.16.3.77	SIP	684	Request: BYE sip:3344556677@172.140.3.77:5100 | 
14	2023-10-13 18:41:10.003066	172.16.3.77	10.6.6.66	SIP	659	Status: 200 OK (BYE) | ​

في هذا مثال آخر، يبدي ال syslog يخطط ip أي يستعمل ضرب، ال ip تركت مع فقط واحد ميناء يتوفر وال SIP جلسة سقطت على ال نفسه ميناء، SIP failed واجب إلى توزيع أيسر. إن يكون ضرب في إستعمال SIP تفتيش يستطيع سقطت التوصيل.

سبب إسقاط ASP: "غير قادر على إنشاء اتصال UDP من IP/port إلى IP/port بسبب الوصول إلى حد كتلة منفذ PAT لكل مضيف وهو x" و"تم إنهاؤه بواسطة محرك الفحص، السبب - إعادة التعيين استنادا إلى تكوين "الخدمة إعادة تينبمود"

Nov 18 2019 10:19:34: %FTD-6-607001: Pre-allocate SIP Via UDP secondary channel for 3111:10.11.0.13/5060 to 3121:10.21.0.12 from ACK message 
Nov 18 2019 10:19:35: %FTD-6-302022: Built backup stub TCP connection for identity:172.16.2.20/2325 (172.16.2.20/2325) to 99:10.70.2.20/1470 (10.70.2.20/1470) 
Nov 18 2019 10:19:38: %FTD-3-305016: Unable to create UDP connection from 3111:10.11.0.12/50195 to 3121:10.21.0.12/50195 due to reaching per-host PAT port block limit of 4. 
Nov 18 2019 10:19:38: %FTD-4-507003: udp flow from 3111:10.11.0.12/5060 to 3121:10.21.0.12/5060 terminated by inspection engine, reason - reset based on 'service resetinbound' configuration. 
Nov 18 2019 10:19:39: %FTD-3-305016: Unable to create UDP connection from 3111:10.11.0.12/50195 to 3121:10.21.0.12/50195 due to reaching per-host PAT port block limit of 4. 
Nov 18 2019 10:19:39: %FTD-4-507003: udp flow from 3111:10.11.0.12/5060 to 3121:10.21.0.12/5060 terminated by inspection engine, reason - reset based on 'service resetinbound' configuration.

سبب إسقاط ASP:

الاسم: حد قائمة الانتظار غير المتزامن
تم تجاوز حد قائمة انتظار التأمين غير المتزامن:
    يجب أن يكون لكل قائمة انتظار عمل تأمين غير متزامن حد أقصى يبلغ 1000. عند محاولة إرسال المزيد من حزم SIP إلى قائمة انتظار العمل، يجب إسقاط الحزمة.
التوصية:
    يمكن إسقاط حركة مرور SIP فقط. عندما يكون لحزم SIP نفس التأمين الأصلي ويمكن وضعها في قائمة الانتظار نفسها الخاصة بالقفل غير المتزامن، يمكن أن يؤدي ذلك إلى إستنزاف الكتل، نظرا لأن المعالج الأحادي فقط هو الذي يعالج جميع الوسائط. إذا كانت حزمة SIP تحاول أن تكون في قائمة الانتظار عندما يتجاوز حجم قائمة انتظار تأمين غير متزامن الحد، فيجب إسقاط الحزمة.

الاسم: عنوان تكرار sp
عنوان التكرار:
    يتزايد هذا العداد عندما تكون عناوين المصدر والوجهة في تدفق هي نفسها.  يتم إستبعاد تدفقات SIP التي يتم فيها تمكين خصوصية العنوان، حيث أنه من الطبيعي أن يكون لتلك التدفقات نفس عنوان المصدر والوجهة.

التوصية:
    هناك شرطان محتملان عندما يمكن أن يزيد هذا العداد. واحد عندما يستلم الجهاز ربط مع المصدر عنوان تساوي الغاية. يمثل هذا نوع هجوم رفض الخدمة (DoS).  والثانية عندما ال nat تشكيل من الجهاز nat عنوان مصدر أن يساوي أن الغاية. 

الاسم: والد-مغلق
تم إغلاق التدفق الأصلي:
    عندما يتم إغلاق التدفق الأصلي لتدفق ثانوي، يتم أيضا إغلاق التدفق الفرعي.  على سبيل المثال، يمكن إغلاق تدفق بيانات FTP (تدفق ثانوي) لهذا السبب المحدد عند إنهاء تدفق التحكم (التدفق الأصلي) الخاص به.  ويتم توضيح هذا السبب أيضا عندما يتم إغلاق تدفق ثانوي (ثقب رقم التعريف الشخصي) بواسطة تطبيق التحكم الخاص به.  على سبيل المثال، عند إستلام رسالة "التضمين"، يجب أن يقوم محرك فحص SIP (التحكم في التطبيق) بإغلاق تدفقات SIP RTP المقابلة (التدفق الثانوي).

الحل: تعطيل فحص SIP. بسبب القيود على البروتوكول:

• يدعم فحص SIP ميزة الدردشة فقط. لا يتم دعم اللوحة البيضاء ونقل الملفات ومشاركة التطبيقات. عميل RTC 5.0 غير مدعوم.
• عند إستخدام ضرب، أي عنوان SIP يحتوي على عنوان IP داخلي بدون ميناء يستطيع لا يكون ترجمت وبالتالي العنوان داخلي يستطيع كنت تسربت خارج. إن يريد أنت أن يتجنب هذا تسرب، شكلت nat بدلا من ضرب.
• يتم تمكين فحص SIP بشكل افتراضي باستخدام خريطة الفحص الافتراضية، والتي تتضمن:
  * امتدادات المراسلة الفورية (IM) عبر بروتوكول SIP: ممكن.
  * حركة مرور غير SIP على منفذ SIP: أسقطتا.
  * إخفاء عناوين IP للخادم ونقطة النهاية: معطل.
  * إصدار برنامج القناع وأولويات URI غير SIP: معطل.
  * تأكد من أن عدد الخطوات إلى الوجهة أكبر من 0: ممكن.
  * توافق RTP: غير مفروض.
  * توافق SIP: عدم إجراء التحقق من الحالة والتحقق من صحة الرأس.

استكشاف الأخطاء وإصلاحها

هذه بعض الأوامر المقترحة لاستكشاف أخطاء حركة المرور المتعلقة بفحص بروتوكول LINA MPF وإصلاحها.

• إظهار نهج الخدمة عرض إحصائيات نهج الخدمة لعمليات فحص LINA MPF الممكنة.

firepower# show service-policy

Global policy: 
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: dns preset_dns_map, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: ftp, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: h323 h225 _default_h323_map, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: h323 ras _default_h323_map, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: rsh, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: rtsp, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: sqlnet, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: skinny, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: sunrpc, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: sip , packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
               tcp-proxy: bytes in buffer 0, bytes dropped 0
      Inspect: netbios, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: tftp, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: icmp, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: icmp error, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
      Inspect: ip-options UM_STATIC_IP_OPTIONS_MAP, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
    Class-map: class_snmp
      Inspect: snmp, packet 0, lock fail 0, drop 0, reset-drop 0, 5-min-pkt-rate 0 pkts/sec, v6-fail-close 0 sctp-drop-override 0
    Class-map: class-default

      Default Queueing      Set connection policy:         drop 0
      Set connection advanced-options: UM_STATIC_TCP_MAP
        Retransmission drops: 0                   TCP checksum drops : 0          
        Exceeded MSS drops  : 0                   SYN with data drops: 0          
        Invalid ACK drops   : 0                   SYN-ACK with data drops: 0          
        Out-of-order (OoO) packets : 0            OoO no buffer drops: 0          
        OoO buffer timeout drops : 0              SEQ past window drops: 0          
        Reserved bit cleared: 0                   Reserved bit drops : 0          
        IP TTL modified     : 0                   Urgent flag cleared: 0          
        Window varied resets: 0          
        TCP-options:
          Selective ACK cleared: 0                Timestamp cleared  : 0          
          Window scale cleared : 0          
          Other options cleared: 0          
          Other options drops: 0          

يوضح هذا النموذج الناتج من الأمر show service-policy inspection http إحصائيات http:

firepower# show service-policy inspect http
	Global policy: 
	  Service-policy: global_policy
	    Class-map: inspection_default
	      Inspect: http http, packet 1916, drop 0, reset-drop 0
	        protocol violations
	          packet 0
	        class http_any (match-any) 
	          Match: request method get, 638 packets
	          Match: request method put, 10 packets
	          Match: request method post, 0 packets
	          Match: request method connect, 0 packets
	          log, packet 648

• تعيين التقاط ASP-Drop على الواجهة للفحص.

Syntax
#Capture  type asp-drop  match   

for example
#Capture asp type asp-drop all match ip any any
#Capture asp type asp-drop all match ip any host x.x.x.x
#Capture asp type asp-drop all match ip host x.x.x.x host x.x.x.x

كيفية تمكين عمليات فحص تطبيقات LINA MPF المحددة أو تعطيلها

هذه هي الخيارات المتاحة لتمكين أو تعطيل عمليات فحص تطبيق MPF LINA في "الدفاع ضد تهديد جدار الحماية الآمن من Cisco".

• التكوين عبر FlexConfig: تحتاج إلى وصول المسؤول إلى واجهة مستخدم FMC، وهذا التغيير دائم في التكوين.
• التكوين عبر CLI ل FTD: تحتاج إلى وصول المسؤول إلى FTD CLI، وهذا التغيير ليس دائما، إذا حدثت عملية إعادة تمهيد أو عملية نشر جديدة، تتم إزالة التكوين.

التكوين عبر FlexConfig

FlexConfig هي طريقة للملاذ الأخير لتكوين الميزات المستندة إلى ASA المتوافقة مع الدفاع عن التهديد ولكنها غير قابلة للتكوين في مركز الإدارة.

يكون التكوين لتعطيل الفحص أو تمكينه بشكل دائم على FlexConfig عبر واجهة مستخدم FMC، ويمكن تطبيقه بشكل عام أو لحركة مرور معينة فقط.

الخطوة 1.

على واجهة مستخدم FMC، انتقل إلى Objects > Object Management > FlexConfig > FlexConfig Object، وهناك يمكنك العثور على قائمة كائنات فحص البروتوكول الافتراضية.

كائنات فحص بروتوكول FlexConfig الافتراضية

الخطوة 2.

لتعطيل فحص بروتوكول محدد، يمكنك إنشاء كائن FlexConfig.

انتقل إلى الكائنات > إدارة الكائن > FlexConfig > FlexConfig Object > إضافة كائن FlexConfig

في هذا المثال، يجب أن تكون الصياغة لتعطيل فحص SIP من global_policy:

policy-map global_policy
 class inspection_default
  no inspect sip

عند تكوين كائن FlexConfig، يمكنك إختيار تردد النشر وكتابته.

النشر

• إذا كان الكائن FlexConfig يشير إلى كائنات تتم إدارتها بواسطة النظام مثل كائنات الشبكة أو قائمة التحكم في الوصول (ACL)، فأختر كل وقت. وإلا، تعذر نشر تحديثات الكائنات.

• أستخدم Once إذا كان الشيء الوحيد الذي تقوم به في الكائن هو مسح تكوين. بعد ذلك، قم بإزالة الكائن من نهج FlexConfig بعد النشر التالي.

النوع

• إلحاق (الافتراضي.) يتم وضع الأوامر الموجودة في الكائن في نهاية التكوينات التي تم إنشاؤها من نهج مركز الإدارة. يجب أن تستخدم الإلحاق إذا كنت تستخدم متغيرات كائن السياسة، والتي تشير إلى كائنات تم توليدها من كائنات تتم إدارتها. إذا كانت الأوامر المولدة لنهج أخرى تتداخل مع تلك المحددة في الكائن، يجب أن تحدد هذا الخيار بحيث لا يتم إستبدال الأوامر الخاصة بك. هذا هو الخيار الأكثر أمانا.

• الإعداد المسبق. يتم وضع الأوامر الموجودة في الكائن في بداية التكوينات التي تم إنشاؤها من نهج مركز الإدارة. أنت تستخدم عادة الإعداد للأوامر التي تقوم بمسح أو إلغاء تكوين ما.

إنشاء كائن لتعطيل بروتوكول واحد من الإعداد الافتراضي global_policy

الخطوة 3.

إضافة الكائنات في نهج FlexConfig المعين إلى LINA.

انتقل إلى الأجهزة > FlexConfig حدد سياسة FlexConfig المطبقة على جدار الحماية مع مشاكل الإسقاط.

لتعطيل كافة عمليات الفحص بشكل عام، حدد الكائن default_inspection_protocol_disable ضمن كائنات FlexConfig المعرفة بواسطة النظام، ثم انقر فوق السهم الأزرق في المنتصف لإضافته إلى نهج FlexConfig.

حدد الكائن المعرف من قبل النظام لتعطيل كل فحص البروتوكول

الخطوة 4.

بمجرد تحديد هذا الخيار، تأكد من ظهوره في المربعات الصحيحة، ولا تنس حفظ التكوين ونشره ليسري مفعوله.

الكائن المحدد لتعطيل فحص البروتوكول بالكامل

الخطوة 5.
لتعطيل فحص بروتوكول واحد، حدد الكائن الذي تم إنشاؤه مسبقا من القائمة المعرفة من قبل المستخدم وقم بإضافته إلى النهج باستخدام السهم الموجود بين المربعات.

حدد هذا لتعطيل فحص بروتوكول واحد من global_policy

الخطوة 6.

بمجرد تحديد هذا الخيار، تأكد من ظهوره في المربعات الصحيحة، ولا تنس حفظ التكوين ونشره ليسري مفعوله.

التكوين باستخدام واجهة سطر الأوامر (CLI) ل FTD

يمكن تطبيق هذا الحل فورا من واجهة سطر الأوامر (CLI) الخاصة ب FTD لاختبار ما إذا كان الفحص يؤثر على حركة المرور. ومع ذلك، لا يتم حفظ تغيير التكوين في حالة حدوث عملية إعادة تمهيد أو عملية نشر جديدة.

يجب تنفيذ الأمر من واجهة سطر الأوامر (CLI) الخاصة ب FTD في وضع Clish.

> configure inspection  disable

for example
> configure inspection SIP disable

التحقق من الصحة

للتحقق من فعالية تعطيل البروتوكول، قم بتنفيذ الأمر show running-config policy-map. في هذا المثال، يتم تعطيل فحص SIP لأنه لم يعد يظهر في قائمة البروتوكولات الافتراضية.

firepower# show running-config policy-map   
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
 parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect icmp error 
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP 
 class class_snmp
  inspect snmp 
 class class-default
  set connection advanced-options UM_STATIC_TCP_MAP
!
firepower# 

معلومات ذات صلة

الدعم التقني والمستندات - Cisco Systems

• يحصل يبدأ مع التطبيق طبقة بروتوكول تفتيش
• فحص بروتوكولات الإنترنت الأساسية
• إستخدام الأمر show asp drop