Autoriser la commande traceroute via Firepower Threat Defense (FTD) via la stratégie de service de menace

Options de téléchargement

  • PDF     (280.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (279.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (227.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:12 février 2020
ID du document:215237

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration pour permettre la commande traceroute via Firepower Threat Defense (FTD)

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cet article s'applique à toutes les plates-formes Firepower
    • Cisco Firepower Threat Defense (FTD) qui exécute la version 6.4.0 du logiciel
    • Cisco Firepower Management Center Virtual (FMC) qui exécute le logiciel version 6.4.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Traceroute pour vous aider à déterminer la route que les paquets empruntent vers leur destination. Une commande traceroute fonctionne en envoyant des paquets UDP à une destination sur un port non valide. Comme le port n'est pas valide, les routeurs en cours de route vers la destination répondent avec un message ICMP Time Exceeded (Délai dépassé) et signalent cette erreur à l'ASA.

    La commande traceroute affiche le résultat de chaque sonde envoyée. Chaque ligne de sortie correspond à une valeur TTL dans un ordre croissant. Ce tableau explique les symboles de sortie.

    Symbole de sortie
    Description

    *

    Aucune réponse n'a été reçue pour la sonde dans le délai imparti.

    nn millisecondes

    Pour chaque noeud, la durée aller-retour (en millisecondes) du nombre spécifié de sondes.

    !N.

    Le réseau ICMP est inaccessible.

    !H

    L’hôte ICMP est inaccessible.

    !P

    ICMP inaccessible.

    !A

    ICMP interdit administrativement.

    ?

    Erreur ICMP inconnue.

    Par défaut, l'ASA n'apparaît pas sur les traceroutes en tant que saut. Pour qu'il apparaisse, vous devez réduire le temps de vie des paquets qui passent par l'ASA et augmenter la limite de débit des messages ICMP inaccessibles.

    Attention : Si vous diminuez le temps de vie, les paquets avec une TTL de 1 sont abandonnés, mais une connexion est ouverte pour la session en supposant que la connexion pourrait contenir des paquets avec une TTL plus grande. Notez que certains paquets, tels que les paquets Hello OSPF, sont envoyés avec TTL = 1, de sorte que la diminution du temps de vie peut avoir des conséquences inattendues. Tenez compte de ces considérations lors de la définition de votre classe de trafic.

    Configuration

    Étape 1. Créez la liste de contrôle d’accès étendue qui définit la classe de trafic pour laquelle le rapport traceroute doit être activé.

    Connectez-vous à l'interface utilisateur graphique FMC et accédez à Objets > Gestion des objets > Liste d'accès. Sélectionnez Étendu dans la table des matières et Ajouter une nouvelle liste d'accès étendue.Entrez un nom pour l'objet, par exemple Sous Traceroute_ACL,Ajoutez une règle pour autoriser le trafic intéressé et enregistrez-le, comme l'illustre l'image :

    Étape 2. Configurez la règle de stratégie de service qui décrémente la valeur de durée de vie.

    Accédez à Stratégies > Contrôle d'accès puis Modifiez la stratégie affectée au périphérique. Sous l'onglet Avancé, modifiez la stratégie de service de défense contre les menaces puis ajoutez une nouvelle règle dans l'onglet Ajouter une règle, puis activez la case à cocher Globale pour l'appliquer globalement et cliquez sur Suivant, comme l'illustre l'image :

    Accédez à Traffic Flow > Extended Access List, puis choisissez Extended Access List Object dans le menu déroulant créé lors des étapes précédentes. Cliquez maintenant sur Ensuite, comme le montre l'image :

    Activez la case à cocher Activer la durée de vie réduite et modifiez les autres options de connexion (Facultatif). Cliquez maintenant sur Terminer pour ajouter la règle, puis cliquez sur OK et enregistrez les modifications apportées à la stratégie de service de défense contre les menaces, comme illustré dans l'image :

    Une fois les étapes précédentes terminées, assurez-vous d'enregistrer la stratégie de contrôle d'accès.

       

    Étape 3. Augmenter la limite de débit des messages ICMP inaccessibles (facultatif).

    Accédez à Périphériques > Paramètres de la plate-forme, puis Modifiez ou créez une nouvelle stratégie de paramètres de la plate-forme Firepower Threat Defense et associez-la au périphérique. Sélectionnez maintenant ICMP dans la table de contenu et Augmentez la limite de débit, par exemple, à 50 (Vous pouvez ignorer la taille de rafale), puis cliquez sur Enregistrer et passez à Déployer la stratégie sur le périphérique, comme l'illustre l'image :

    Attention : Assurez-vous que la destination ICMP inaccessible (Type 3) et le temps ICMP dépassé (Type 11) sont autorisés de l'extérieur vers l'intérieur dans la stratégie de liste de contrôle d'accès ou Fastpath dans la stratégie de préfiltre.

    Vérification

    Vérifiez la configuration à partir de l'interface CLI FTD une fois le déploiement de la stratégie terminé :

    FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---

class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!

FTD# show run class-map
!
class-map inspection_default

---Output omitted---

class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!

FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#

    Dépannage

    Vous pouvez prendre des captures sur les interfaces d'entrée et de sortie FTD pour le trafic intéressant pour dépanner le problème.

    Astuce : CSCvq79913, paquets d'erreur ICMP abandonnés pour Null pdts_info, assurez-vous d'utiliser le préfiltre pour ICMP de préférence pour le trafic de retour de type 3 et 11.

    TAC Authored

    Contribution d’experts de Cisco

    • Dinesh Khandal
      Cisco TAC Engineer
    • Dinesh Verma
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits