위협 서비스 정책을 통해 FTD(Firepower Threat Defense)를 통한 Traceroute 허용

소개

이 문서에서는 FTD(Firepower Threat Defense)를 통해 traceroute를 허용하는 컨피그레이션에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• FMC(Firepower Management Center)
• FTD(Firepower Threat Defense)

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 이 문서는 모든 Firepower 플랫폼에 적용됩니다.
• 소프트웨어 버전 6.4.0을 실행하는 Cisco Firepower Threat Defense(FTD)
• 소프트웨어 버전 6.4.0을 실행하는 Cisco FMC(Firepower Management Center Virtual)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

배경 정보

패킷이 목적지로 이동하는 경로를 결정하는 데 도움이 되는 Traceroutetraceroute는 잘못된 포트의 대상으로 UDP 패킷을 전송하는 방식으로 작동합니다.포트가 유효하지 않기 때문에 목적지로 이동하는 라우터는 ICMP Time Exceeded Message(ICMP 시간 초과 메시지)로 응답하고 해당 오류를 ASA에 보고합니다.

traceroute는 전송된 각 프로브의 결과를 표시합니다.모든 출력 행은 TTL 값에 따라 순서가 증가합니다.이 표에서는 출력 기호를 설명합니다.

출력 기호	설명
*	시간 제한 기간 내에 프로브에 대한 응답을 받지 못했습니다.
n초	각 노드에 대해 지정된 프로브 수에 대한 왕복 시간(밀리초)입니다.
!N	ICMP 네트워크에 연결할 수 없습니다.
! H	ICMP 호스트에 연결할 수 없습니다.
! P	ICMP에 연결할 수 없습니다.
! A	ICMP가 관리상 금지됩니다.
?	알 수 없는 ICMP 오류입니다.

기본적으로 ASA는 tracerouts에 홉으로 표시되지 않습니다.이를 표시하려면 ASA를 통과하는 패킷에서 TTL(time-to-live)을 줄이고 ICMP 도달 불가 메시지의 속도 제한을 늘려야 합니다.

주의:TTL(Time to Live)을 줄일 경우 TTL(Ttl)이 1인 패킷은 삭제되지만 연결에 TTL이 더 큰 패킷이 포함될 수 있다는 가정 하에 세션에 대해 연결이 열립니다.OSPF hello 패킷과 같은 일부 패킷은 TTL = 1로 전송되므로 TTL(Time To Live)을 줄이면 예기치 않은 결과가 발생할 수 있습니다.트래픽 클래스를 정의할 때 이러한 고려 사항을 염두에 두십시오.

구성

1단계. traceroute 보고를 활성화해야 하는 트래픽 클래스를 정의하는 확장 ACL을 생성합니다.

FMC GUI에 로그인하여 객체 > 객체 관리 > 액세스 목록으로 이동합니다. 목차에서 확장을 선택하고 새 확장 액세스 목록 추가를 선택합니다.객체의 이름을 입력합니다(예: Traceroute_ACL에서). 관심 있는 트래픽을 허용하는 규칙을 추가하고 이미지에 표시된 대로 저장합니다.

2단계. Time-to-Live 값을 줄이는 서비스 정책 규칙을 구성합니다.

Policies(정책) > Access Control(액세스 제어)로 이동한 다음 디바이스에 할당된 정책을 수정합니다.Advanced(고급) 탭에서 Edit the Threat Defense Service Policy(위협 방어 서비스 정책 수정)를 수행한 다음 Add Rule(규칙 추가) 탭에서 새 규칙을 추가한 다음 Global(전역) 확인란을 선택하여 전역적으로 적용하고 Next(다음)를 클릭합니다. 이는 이미지에 표시된 대로

Traffic Flow(트래픽 흐름) > Extended Access List(확장 액세스 목록)로 이동한 다음 이전 단계에서 생성한 Dropdown(드롭다운) 메뉴에서 Extended Access List Object(확장 액세스 목록 개체)를 선택합니다.이제 다음, 이미지에 표시된 대로

Enable Decrement TTL(TTL 감소 활성화) 확인란을 선택하고 다른 연결 옵션을 수정합니다(선택 사항). 이제 Finish(마침)를 클릭하여 규칙을 추가한 다음 OK(확인)를 클릭하고 이미지에 표시된 것처럼 Threat defense 서비스 정책에 대한 변경 사항 저장을 클릭합니다.

이전 단계가 완료되면 액세스 제어 정책을 저장해야 합니다.

   

3단계. ICMP 연결 불가 메시지의 속도 제한을 늘립니다(선택 사항).

Devices(디바이스) > Platform Settings(플랫폼 설정)로 이동한 다음 Edit 또는 Create a new Firepower Threat Defense 플랫폼 설정 정책을 찾아 디바이스에 연결합니다.이제 컨텐트 테이블에서 ICMP를 선택하고 속도 제한을 50으로 늘립니다(예: 버스트 크기를 무시할 수 있음). 그런 다음 저장을 클릭하고 이미지에 표시된 대로 장치에 정책 배포를 진행합니다.

주의:ACL 정책에서 ICMP Destination Unreachable(Type 3) 및 ICMP Time Exceeded(Type 11)가 Outside to Inside 또는 Fastpath에 사전 필터 정책에서 허용되는지 확인합니다.

다음을 확인합니다.

정책 구축이 완료되면 FTD CLI에서 컨피그레이션을 확인합니다.

FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---

class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!

FTD# show run class-map
!
class-map inspection_default

---Output omitted---

class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!

FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#

문제 해결

FTD 인그레스 및 이그레스 인터페이스에서 캡처를 수행하여 흥미로운 트래픽에 대해 문제를 추가로 해결할 수 있습니다.

팁:CSCvq79913, Null pdts_info에 대해 삭제되는 ICMP 오류 패킷은 ICMP에 대해 prefilter를 사용해야 합니다. ICMP에 대해 type 3 및 11 반환 트래픽에 우선적으로 사용합니다.