FTD: Cómo habilitar la configuración de puente del estado TCP usando la directiva de FlexConfig

Introducción

Este documento describe cómo implementar la característica de puente del Transmission Control Protocol (TCP) en las aplicaciones de la defensa de la amenaza de FirePOWER (FTD) vía el centro de administración de FirePOWER (FMC) usando la directiva de FlexConfig.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento del centro de administración de FirePOWER.
• Conocimiento básico de la defensa de la amenaza de FirePOWER.
• Comprensión de la característica de puente del estado TCP.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión 6.2 y posterior de la defensa de la amenaza de FirePOWER (FTD).
• Versión 6.2 y posterior del centro de administración de FirePOWER (FMC).

Antecedentes

Puente del estado TCP es una característica heredada del dispositivo de seguridad adaptante (ASA) y proporciona la ayuda al resolver problemas el tráfico que se podría caer por cualquier características de la normalización TCP, Asymmetric Routing condiciona y ciertas Inspecciones de la aplicación. 

En el momento de escribir este documento, FMC no soporta naturalmente para configurar puente del estado TCP, a menos que se utilice la directiva de FlexConfig. 

La defensa de la amenaza de FirePOWER utiliza los comandos configuration ASA de implementar algunas características, pero no todas las características. No hay conjunto único de comandos configuration de la defensa de la amenaza de FirePOWER. En lugar, la punta de FlexConfig es permitir que usted configure las características que no se soportan todavía directamente a través de las directivas y de las configuraciones del centro de administración de FirePOWER.

Note: Puente del estado TCP se debe utilizar solamente para los propósitos de Troubleshooting o cuando el Asymmetric Routing no puede ser resuelto. El uso de esta característica inhabilita las funciones de seguridad múltiples y puede causar el número alto de conexiones si no se implementa correctamente. 

Para saber más sobre la característica de puente del estado TCP o su implementación en el ASA, refiera a la configuración la característica de puente del estado TCP en las 5500 Series ASA y la guía de configuración de las 5500 Series de Cisco ASA.

Configuración

Esta sección describe cómo configurar puente TCP en FMC con una directiva de FlexConfig.

Paso 1. Configure un objeto de la lista de acceso ampliada 

Para crear una lista de acceso ampliada en FMC, vaya a la Administración del >Object de los objetos y en el menú izquierdo, bajo extendido selecto de la lista de acceso. Lista de acceso ampliada de ClickAdd.

Llene el campo de nombre del valor deseado. en este ejemplo, el nombre es TCP_Bypass. Botón Add del tecleo.

  

La acción para esta regla se debe configurar como permite. Una red definida del sistema puede ser utilizada o un nuevo objeto de red se puede crear para cada fuente y destino. En este ejemplo, la lista de acceso hace juego el tráfico IP de Host1 a Host2 pues ésta es la comunicación para aplicar puente del estado TCP. La lengueta del puerto se puede utilizar opcionalmente para hacer juego un puerto específico TCP o UDP. Haga clic en el botón Add para continuar. 

Una vez que se seleccionan la fuente y las redes de destino o los host, haga clic en la salvaguardia.

Paso 2. Configure un objeto de FlexConfig

Navegue a los objetos > a la Administración del objeto > a FlexConfig > al objeto de FlexConfig y haga clic en agregan el botón del objeto de FlexConfig.

  

El nombre del objeto por este ejemplo se llama TCP_Bypass apenas como la lista de acceso. Este nombre no necesita hacer juego el nombre de la lista de acceso.

Seleccione el objeto de la directiva del separador de millares > el objeto del ACL ampliado.

Seleccione la lista de acceso creada en el paso 1 de la sección disponible de los objetos y asigne un nombre de variable. Entonces, haga clic en el botón Add. En este ejemplo, el nombre de variable es TCP_Bypass.

Haga clic en la salvaguardia.

Agregue las líneas de configuración siguientes en la derecha del campo vacío debajo del botón Insertar e incluya la variable definida previamente ($TCP_Bypass) en la línea de la configuración de la lista de acceso de la coincidencia. Observe que un símbolo $ prepended al nombre de variable. Esto ayuda a definir que una variable sigue después de ella. 

class-map tcp_bypass
match access-list $TCP_Bypass
policy-map tcp_bypass_policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
service-policy tcp_bypass_policy interface outside

En este ejemplo, se crea un directiva-mapa y se aplica a la interfaz exterior. Si puente del estado TCP requiere para ser configurado como parte de la directiva de servicio global, la correspondencia de la clase de los tcp_bypass se puede aplicar al global_policy. 

Haga clic en la salvaguardia cuando está acabado.

Paso 3. Asigne una directiva de FlexConfig al FTD

Vaya a los dispositivos > a FlexConfig y cree una nueva directiva (a menos que hay ya una creada para otro propósito y asignada al mismo FTD). En este ejemplo la nueva directiva de FelxConfig se llama TCP_Bypass.

 Asigne la directiva de TCP_Bypass FlexConfig al dispositivo FTD.

Seleccione el objeto de FlexConfig llamado TCP_Bypass creado en el paso 2 bajo sección definida por el usario y haga clic en la flecha para agregar ese objeto a la directiva.

Salve los cambios y despliegúelos,

 Verificación

Acceda el FTD a través de SSH o de la consola y utilice el soporte de diagnóstico-CLI del comando system. 

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower# show access-list TCP_Bypass
access-list TCP_Bypass; 1 elements; name hash: 0xec2b41eb
access-list TCP_Bypass line 1 extended permit object-group ProxySG_ExtendedACL_34359739205 object Host1 object Host2 log informational interval 300 (hitcnt=0) 0x42940b0e 
 access-list TCP_Bypass line 1 extended permit ip host 1.1.1.1 host 1.1.1.2 log informational interval 300 (hitcnt=0) 0x769561fc 

firepower# show running-config class-map 
!
class-map inspection_default
 match default-inspection-traffic
class-map tcp_bypass
 match access-list TCP_Bypass
!
firepower# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
 message-length maximum client auto
 message-length maximum 512
 no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
 parameters
 eool action allow
 nop action allow
 router-alert action allow
policy-map global_policy
 class inspection_default
 inspect dns preset_dns_map 
 inspect ftp 
 inspect h323 h225 
 inspect h323 ras 
 inspect rsh 
 inspect rtsp 
 inspect sqlnet 
 inspect skinny 
 inspect sunrpc 
 inspect xdmcp 
 inspect sip 
 inspect netbios 
 inspect tftp 
 inspect icmp 
 inspect icmp error 
 inspect ip-options UM_STATIC_IP_OPTIONS_MAP 
 class class-default
 set connection advanced-options UM_STATIC_TCP_MAP
policy-map tcp_bypass_policy
 class tcp_bypass
 set connection advanced-options tcp-state-bypass
!

Troubleshooting

Para resolver problemas esta característica, resultado de estos comandos útil.

- show conn [detail] 
Shows connection information. Detailed information uses flags to indicate special connection characteristics. 
For example, the “b” flag indicates traffic subject to TCP State Bypass

- show service-policy 
Shows service policy statistics, including Dead Connection Detection (DCD) statistics

Links relacionados

https://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_connlimits.html

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html

https://www.cisco.com/c/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/flexconfig_policies.html