Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Activer le préprocesseur de normalisation en ligne et comprendre l'inspection pré-ACK et post-ACK

Options de téléchargement

  • PDF     (405.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (392.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (301.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 février 2016
ID du document:1456245384977518

Langage sans préjugés

Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment activer le préprocesseur de normalisation en ligne et vous aide à comprendre la différence et l'impact de deux options avancées de normalisation en ligne. 

Conditions préalables

Conditions requises

Cisco vous recommande de connaître le système Cisco Firepower et Snort.

Components Used

Les informations de ce document sont basées sur les appliances Cisco FireSIGHT Management Center et Firepower.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Un préprocesseur de normalisation en ligne normalise le trafic afin de minimiser les risques qu'un pirate puisse échapper à la détection à l'aide de déploiements en ligne. La normalisation se produit immédiatement après le décodage des paquets et avant tout autre préprocesseur, et se produit à partir des couches internes du paquet vers l’extérieur. La normalisation en ligne ne génère pas d'événements, mais elle prépare les paquets à être utilisés par d'autres préprocesseurs.

Lorsque vous appliquez une stratégie d'intrusion avec le préprocesseur de normalisation en ligne activé, le périphérique Firepower teste ces deux conditions afin de s'assurer que vous utilisez un déploiement en ligne :

  • Pour les versions 5.4 et ultérieures, le mode en ligne est activé dans la stratégie d'analyse de réseau (NAP) et le Drop when Inline est également configuré dans la stratégie d'intrusion si la stratégie d'intrusion est définie pour abandonner le trafic. Pour les versions 5.3 et antérieures, l'option Déposer en ligne est activée dans la stratégie d'intrusion.

  • La stratégie est appliquée à un ensemble d'interfaces en ligne (ou inline avec failopen).

Par conséquent, en plus de l'activation et de la configuration du préprocesseur de normalisation en ligne, vous devez également vous assurer que ces exigences sont satisfaites, sinon le préprocesseur ne normalisera pas le trafic :

  • Votre stratégie doit être définie pour supprimer le trafic dans les déploiements en ligne.

  • Vous devez appliquer votre stratégie à un jeu en ligne.

Activer la normalisation en ligne

Cette section décrit comment activer la normalisation en ligne pour les versions 5.4 et ultérieures, ainsi que pour les versions 5.3 et antérieures.

Activer la normalisation en ligne dans les versions 5.4 et ultérieures

La plupart des paramètres de préprocesseur sont configurés dans le NAP pour les versions 5.4 et ultérieures. Complétez ces étapes afin d'activer la normalisation en ligne dans le NAP :

  1. Connectez-vous à l'interface Web de FireSIGHT Management Center.

  2. Accédez à Stratégies > Contrôle d'accès.

  3. Cliquez sur Stratégie d'analyse de réseau en haut à droite de la page.

  4. Sélectionnez une stratégie d'analyse réseau que vous souhaitez appliquer à votre périphérique géré.

  5. Cliquez sur l'icône crayon afin de commencer la modification, et la page Modifier la stratégie apparaît.

  6. Cliquez sur Paramètres à gauche de l'écran et la page Paramètres apparaît.

  7. Repérez l'option de normalisation en ligne dans la zone Préprocesseur de la couche transport/réseau.

  8. Sélectionnez la case d'option Activé afin d'activer cette fonctionnalité :

Le NAP avec la normalisation en ligne doit être ajouté à votre stratégie de contrôle d'accès afin que la normalisation en ligne se produise. Le NAP peut être ajouté via l'onglet Avancé de la stratégie de contrôle d'accès :

La politique de contrôle d'accès doit ensuite être appliquée au périphérique d'inspection.

Note: Pour la version 5.4 ou ultérieure, vous pouvez activer la normalisation en ligne pour certains trafics et la désactiver pour d'autres trafics. Si vous voulez l'activer pour un trafic spécifique, ajoutez une règle d'analyse de réseau et définissez les critères et la stratégie de trafic sur celui dont la normalisation en ligne est activée. Si vous voulez l'activer globalement, définissez la stratégie d'analyse réseau par défaut sur celle dont la normalisation en ligne est activée.

Activer la normalisation en ligne dans les versions 5.3 et antérieures

Complétez ces étapes afin d'activer la normalisation en ligne dans une stratégie d'intrusion :

  1. Connectez-vous à l'interface Web de FireSIGHT Management Center.

  2. Accédez à Politiques > Intrusion > Intrusion Policies.

  3. Sélectionnez une stratégie d'intrusion à appliquer à votre périphérique géré.

  4. Cliquez sur l'icône crayon afin de commencer la modification, et la page Modifier la stratégie apparaît.

  5. Cliquez sur Paramètres avancés et la page Paramètres avancés s'affiche.

  6. Repérez l'option de normalisation en ligne dans la zone Préprocesseur de la couche transport/réseau.

  7. Sélectionnez la case d'option Activé afin d'activer cette fonctionnalité :

Une fois la stratégie d'intrusion configurée pour la normalisation en ligne, elle doit être ajoutée comme action par défaut dans la stratégie de contrôle d'accès :

 

La politique de contrôle d'accès doit ensuite être appliquée au périphérique d'inspection.

Vous pouvez configurer le préprocesseur de normalisation en ligne afin de normaliser le trafic IPv4, IPv6, ICMPv4 (Internet Control Message Protocol Version 4), ICMPv6 et TCP dans n'importe quelle combinaison. La normalisation de chaque protocole se produit automatiquement lorsque cette normalisation de protocole est activée.

Activer l'inspection post-ACK et l'inspection pré-ACK

Après avoir activé le préprocesseur de normalisation en ligne, vous pouvez modifier les paramètres afin d'activer l'option Normalize TCP Payload. Cette option dans le préprocesseur de normalisation en ligne bascule entre deux modes d'inspection différents :

  • Valider accusé de réception (post-ACK)

  • Pré accusé de réception (Pre-ACK)

Comprendre l'inspection post-ACK (normaliser TCP/normaliser la charge utile TCP désactivée)

Lors de l'inspection post-ACK, le réassemblage du flux de paquets, le vidage (transfert au reste du processus d'inspection) et la détection dans Snort se produisent après l'accusé de réception (ACK) de la victime du paquet qui termine l'attaque est reçu par le système de prévention des intrusions (IPS). Avant le vidage du flux, le paquet offensant a déjà atteint la victime. Par conséquent, l'alerte/la suppression se produit après que le paquet incriminé a atteint la victime. Cette action se produit lorsque l'ACK de la victime du paquet incriminé atteint le système IPS.

Comprendre l'inspection pré-ACK (normaliser TCP/normaliser TCP Payload activé)

Cette fonctionnalité normalise le trafic immédiatement après le décodage de paquets et avant le traitement de toute autre fonction Snort afin de minimiser les efforts d'évasion TCP. Cela garantit que les paquets qui atteignent l'IPS sont identiques à ceux qui sont transmis à la victime. Snort abandonne le trafic sur le paquet qui termine l'attaque avant que l'attaque n'atteigne sa victime.

Lorsque vous activez Normalize TCP, le trafic correspondant à ces conditions est également abandonné :

  • Copies retransmises des paquets précédemment abandonnés

  • Trafic qui tente de poursuivre une session précédemment abandonnée

  • Trafic correspondant à l'une de ces règles de préprocesseur de flux TCP :

    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14 à 129:19

Note: Afin d'activer les alertes pour les règles de flux TCP qui sont abandonnées par le préprocesseur de normalisation, vous devez activer la fonctionnalité Anomalies d'inspection dynamique dans la configuration de flux TCP.

TAC Authored

Contribution d’experts de Cisco

  • Nazmul Rajib
    Ingénieur TAC Cisco
  • Aaron Williams
    Ingénieur TAC Cisco
  • John Groetzinger
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits