Détection de flux d’éléphants

Les flux d’éléphants sont des flux extrêmement volumineux (en octets totaux) et continus configurés par un flux TCP (ou d’autres protocoles) mesurés sur une liaison réseau. Par défaut, les flux d’éléphants sont ceux dont la taille est supérieure à 1 Go/10 secondes. Ils peuvent nuire aux performances des cœurs Snort. Les flux d’éléphants ne sont pas nombreux, mais ils peuvent occuper une part disproportionnée de la bande passante totale sur une période de temps. Ils peuvent entraîner des problèmes comme une utilisation élevée du processeur, des pertes de paquets, etc.

À partir de la version centre de gestion 7.2.0 (périphériques Snort 3 uniquement), vous pouvez utiliser la fonctionnalité de flux d’éléphants pour détecter et corriger les flux d’éléphants, ce qui aide à réduire la pression du système et à résoudre les problèmes mentionnés.

À propos de la détection de flux d’éléphants et de la correction

Vous pouvez utiliser la fonctionnalité de détection de flux d’éléphants pour détecter et corriger des flux d’éléphants. Les actions correctives suivantes peuvent être appliquées :

  • Bypass elephant flow (Contourner le flux d’éléphants) : vous pouvez configurer le flux d’éléphants pour contourner l’inspection Snort. Si cette option est configurée, Snort ne reçoit aucun paquet de ce flux.

  • Throttle elephant flow (Limitation du flux d’éléphants) : vous pouvez appliquer une limite de débit au flux et continuer à inspecter les flux. Le débit est calculé dynamiquement et 10 % du débit est réduit. Snort envoie le verdict (flux de qualité de service avec 10 % de débit en moins) au moteur du pare-feu. Si vous choisissez de contourner toutes les applications, y compris les applications non identifiées, vous ne pouvez pas configurer l’action de limitation (rate-limit) pour aucun flux.


Remarque

Pour que la détection de flux d’éléphants fonctionne, Snort 3 doit être le moteur de détection.

Mise à niveau de flux d’éléphants à partir du contournement intelligent des applications

Intelligent Application Bypass (IAB) est obsolète à partir de la version 7.2.0 pour les dispositifs Snort 3.

Pour les périphériques exécutant la version 7.2.0 ou une version ultérieure, vous devez configurer les paramètres de flux d’éléphants dans la section des paramètres de flux d’éléphants dans la politique de CA (onglet Paramètres avancés).

Après la mise à niveau vers la version 7.2.0 (ou ultérieure), si vous utilisez un périphérique Snort 3, les paramètres de configuration du flux d’éléphants seront choisis et déployés à partir de la section des paramètres de flux d’éléphants et non à partir de la section des paramètres de contournement de l’application intelligente. n’ont pas migré vers les paramètres de configuration d’Elephant Flow, votre appareil perdra la configuration de flux d’éléphants lors du prochain déploiement.

Le tableau suivant présente les configurations de l’IAB ou de flux d’éléphants qui peuvent être appliquées à la version 7.2.0 ou ultérieure et à la version 7.1.0 ou antérieure qui exécutent des moteurs Snort 3 ou 2.

Centre de gestion

Threat Defense

Flux d’éléphants ou configuration IAB

Centre de gestion 7.0 ou 7.1

Périphérique Snort 2

 La configuration de l’IAB s’applique.

Périphérique Snort 3

 La configuration de l’IAB s’applique.

Centre de gestion 7.2.0

Périphérique Snort 2

 La configuration de l’IAB s’applique.

Périphérique Snort 3 (7.1.0 et versions antérieures)

 La configuration de l’IAB s’applique.

Périphérique Snort 3 (7.2.0 ou ultérieure)

La configuration d’Elephant Flow s’applique.

Configurer le flux d’éléphants

Vous pouvez configurer le flux d’éléphants pour qu’il agisse sur les flux d’éléphants, ce qui aide à résoudre des problèmes tels que la contraintes du système, une utilisation élevée du processeur, les abandons de paquets, etc.


Attention

La détection de flux d’éléphants ne s’applique pas aux flux préfiltrés, de confiance ou à avance rapide, qui ne passent pas par Snort. Étant donné que les flux d’éléphants sont détectés par Snort, la détection de flux d’éléphants ne s’applique pas au trafic chiffré.

Procédure

Étape 1

Dans l’éditeur de politique de contrôle d’accès, cliquez sur Advanced Settings (paramètres avancés) à partir de la flèche de la liste déroulante Plus à la fin de la ligne de flux de paquets. Ensuite, cliquez sur Modifier (icône modifier) à côté d’ Elephant Flow Settings.

Si Afficher (bouton Afficher) apparaît au contraire, les paramètres sont hérités d'une politique ancêtre ou vous n'êtes pas autorisé à modifier la configuration. Si la configuration est déverrouillée, décochez la case Inherit from base policy (hériter de la politique de base) pour activer la modification.

Illustration 1. Configurer la détection du flux d’éléphants
Illustration 2. Configurer la détection du flux d’éléphants

Étape 2

Le bouton à bascule de détection de flux d’éléphants est activé par défaut. Vous pouvez configurer les valeurs des octets de flux et de la durée du flux. Lorsqu’elles dépassent vos valeurs configurées, des événements de flux d’éléphants sont générés.

Étape 3

Pour corriger les flux d’éléphants, activez le bouton à bascule Elephant Flow Remédiation (correction du flux d’éléphants).

Étape 4

Pour définir les critères de correction du flux d’éléphants, configurez les valeurs du % d’utilisation de la CPU, de la durée des fenêtres horaires fixes et du % d’abandon de paquets.

L’utilisation du CPU est calculée par flux d’éléphants et dérivée de la latence du flux. Si l’utilisation du CPU franchit le seuil configuré et que d’autres configurations, telles que les fenêtres temporelles fixes et les abandons de paquets, correspondent également, les actions de correction de flux d’éléphants sont appliquées. De même, le calcul des abandons de paquets est basé sur le nombre de paquets abandonnés par CPU. Lorsque le pourcentage des abandons de paquets dépasse la valeur configurée sur un CPU donné, les actions de correction sont appliquées. Par exemple, considérons que les configurations sont définies par défaut, c'est-à-dire une utilisation du CPU de 40 %, une fenêtre temporelle fixe de 30 secondes et des abandons de paquets de 5 %. Sur un CPU donné, si plus de 5 % d’abandons de paquets sont détectés et que l’utilisation du CPU par flux dépasse 40 % pendant la période fixe de 30 secondes, les flux sont contournés ou régulés.

Étape 5

Vous pouvez effectuer les actions suivantes pour la correction de flux d’éléphants lorsqu’il répond aux critères configurés :

  1. Contourner le flux : activez ce bouton pour contourner l’inspection Snort pour les applications ou les filtres sélectionnés. Choisissez parmi :

    • Toutes les applications, y compris les applications non identifiées :sélectionnez cette option pour contourner tout le trafic des applications. Si vous configurez cette option, vous ne pouvez pas configurer l’action de limitation (taux-limite) pour aucun flux.

    • sélectionner les applications et les filtres : sélectionnez cette option pour sélectionner les applications ou les filtres dont vous souhaitez contourner le trafic; Consultez la section Configuration des conditions d’application et des filtres dans le chapitre Règles de contrôle d’accès duGuide de configuration des périphériques de Cisco Secure Firewall Management Center.

  2. Limitez le flux : activez ce bouton pour appliquer la limite de débit au flux et continuer à inspecter les flux. Notez que vous pouvez sélectionner les applications ou les filtres pour contourner l’inspection Snort et limiter les flux restants.

Remarque

 

La suppression automatique de la limitation d’un flux d’éléphants limité se produit lorsque le système est protégé, c’est-à-dire que le pourcentage d’abandons de paquets Snort est inférieur au seuil configuré. Par conséquent, la limitation de débit est également supprimée.

Vous pouvez également supprimer manuellement la limitation d’un flux d’éléphants limité à l’aide des commandes Threat Defense suivantes :

  • clear efd-throttle <5-tuple/all> bypass : cette commande supprime la limitation du flux d’éléphants et contourne l’inspection Snort.

  • clear efd-throttle <5-tuple/all> : Cette commande supprime la limitation du flux d’éléphants et l’inspection Snort se poursuit. La correction de flux d’éléphants est ignorée après l’utilisation de cette commande.

    Pour en savoir plus sur ces commandes, consultez le Guide de référence des commandes de Cisco Secure Firewall Threat Defense.

Remarque

 

La prise de mesures sur la détection de flux d’éléphants n’est pas prise en charge sur les périphériques Cisco Firepower de la série 2100.

Étape 6

Cliquez sur OK pour enregistrer les paramètres de flux d’éléphants.

Étape 7

Cliquez sur Save (Enregistrer) pour enregistrer la politique.

Prochaine étape

Déployer les changements de configuration.

Après avoir configuré vos paramètres de flux d’éléphants, surveillez vos événements de connexion pour voir si des flux sont détectés, contournés ou limités. Vous pouvez le voir dans le champ Reason de votre événement de connexion. Les trois raisons des connexions de flux d’éléphants sont les suivantes :

  • Flux d‘éléphants

  • Flux d’éléphants limité

  • Flux d’éléphants de confiance


Attention
L’activation de la détection de flux d’éléphants à elle seule n’entraîne pas la génération d’événements de connexion pour les flux d’éléphants. Si un événement de connexion est déjà enregistré pour une autre raison et que le flux est également un flux éléphant, le champ Reason (motif) contient cette information. Cependant, pour vous assurer que vous enregistrez tous les flux d’éléphants, vous devez activer la journalisation des connexions dans les règles de contrôle d’accès applicables.
Reportez-vous à Détection de flux d’éléphants dans Cisco Secure Firewall pour en savoir plus.