Permitir Traceroute a través de Firepower Threat Defense (FTD) mediante la política de servicio de amenazas

Opciones de descarga

  • PDF     (312.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (280.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (227.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de febrero de 2020
ID del documento:215237

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración para permitir el traceroute a través de Firepower Threat Defense (FTD)

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Este artículo se aplica a todas las plataformas Firepower
    • Cisco Firepower Threat Defense (FTD) que ejecuta la versión de software 6.4.0
    • Cisco Firepower Management Center Virtual (FMC), que ejecuta la versión de software 6.4.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Traceroute para ayudarle a determinar la ruta que los paquetes llevan a su destino. Un traceroute funciona enviando paquetes UDP a un destino en un puerto no válido. Debido a que el puerto no es válido, los routers en el camino al destino responden con un mensaje ICMP Time Exceeded e informan ese error al ASA.

    El traceroute muestra el resultado de cada sonda enviada. Cada línea de salida corresponde a un valor TTL en orden creciente. Esta tabla explica los símbolos de salida.

    Símbolo de salida
    Descripción

    *

    No se recibió respuesta para la sonda dentro del período de tiempo de espera.

    nn msec

    Para cada nodo, el tiempo de ida y vuelta (en milisegundos) para el número especificado de sondas.

    !N

    La red ICMP es inalcanzable.

    !H

    El host ICMP es inalcanzable.

    !P

    ICMP inalcanzable.

    !A

    ICMP prohibido administrativamente.

    ?

    Error ICMP desconocido.

    De forma predeterminada, el ASA no aparece en traceroutes como salto. Para que aparezca, necesita reducir el tiempo de vida de los paquetes que pasan a través del ASA y aumentar el límite de velocidad en los mensajes ICMP inalcanzables.

    Precaución: Si disminuye el tiempo de vida, se descartan los paquetes con un TTL de 1, pero se abre una conexión para la sesión suponiendo que la conexión podría contener paquetes con un TTL mayor. Tenga en cuenta que algunos paquetes, como los paquetes hello OSPF, se envían con TTL = 1, por lo que reducir el tiempo de vida puede tener consecuencias inesperadas. Tenga en cuenta estas consideraciones al definir la clase de tráfico.

    Configurar

    Paso 1. Cree la ACL extendida que define la clase de tráfico para la que se debe habilitar el informe de traceroute.

    Inicie sesión en la GUI de FMC y navegue hasta Objetos > Administración de objetos > Lista de acceso. Seleccione Extended de la tabla de contenido y Add a new Extended Access List.Ingrese un Nombre para el objeto, por ejemplo, En Traceroute_ACL, Add una regla para permitir el tráfico interesado y guardarlo, como se muestra en la imagen:

    Paso 2. Configure la regla de política de servicio que reduce el valor de tiempo de vida.

    Navegue hasta Políticas > Control de Acceso y luego Editar la política asignada al dispositivo. En la ficha Advanced, edite la directiva Threat Defense Service y, a continuación, agregue una nueva regla desde la ficha Add Rule y, a continuación, seleccione la casilla de verificación Global para aplicarla globalmente y haga clic en Next, como se muestra en la imagen:

    Navegue hasta Flujo de Tráfico > Lista de Acceso Extendido y luego elija Objeto de Lista de Acceso Extendido del menú desplegable que se creó en pasos anteriores. Haga clic en Siguiente, como se muestra en la imagen:

    Seleccione la casilla Enable Decrement TTL y modifique las demás opciones de conexión (Opcional). Ahora haga clic en Finalizar para agregar la regla y luego haga clic en Aceptar y Guardar los cambios en la política de servicio de Threat Defence, como se muestra en la imagen:

    Una vez completados los pasos anteriores, asegúrese de guardar la política de control de acceso.

       

    Paso 3. Aumente el límite de velocidad de los mensajes ICMP inalcanzables (opcional).

    Navegue hasta Dispositivos > Configuración de la plataforma y, a continuación, Editar o Crear una nueva política de configuración de la plataforma Firepower Threat Defense y asóciela al dispositivo. Ahora seleccione ICMP de la tabla de contenido y Aumente el Límite de Velocidad, por ejemplo, a 50 (puede ignorar el Tamaño de Ráfaga) y luego haga clic en Guardar y continúe con la Implementación de la Política en el dispositivo, como se muestra en la imagen:

    Precaución: Asegúrese de que el Destino ICMP Inalcanzable (Tipo 3) y el Tiempo ICMP Excedido (Tipo 11) estén permitidos desde el exterior al interior en la política ACL o Fastpath'ed en la política de prefiltro.

    Verificación

    Verifique la configuración de la CLI de FTD una vez que se haya completado la implementación de la política:

    FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---

class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!

FTD# show run class-map
!
class-map inspection_default

---Output omitted---

class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!

FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#

    Troubleshoot

    Puede tomar capturas en interfaces de entrada y salida de FTD para el tráfico interesante para resolver el problema.

    Consejo: CSCvq79913, paquetes de error ICMP que se descartan para Null pdts_info, asegúrese de utilizar el prefiltro para ICMP preferiblemente para el tráfico de retorno tipo 3 y 11.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Dinesh Khandal
      Cisco TAC Engineer
    • Dinesh Verma
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos