관리 인터페이스가 실패할 때 데이터 인터페이스를 통해 FDM 액세스 추가

소개

이 문서에서는 관리 포트가 실패할 경우 HTTP(HyperText Transfer Protocol) 액세스를 Firepower FTD(Thread Defense)에 추가하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 디바이스에 대한 콘솔 액세스

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Firepower 1120 Thread Defense 버전 7.4.2

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

구성

설정

1단계. 디바이스의 콘솔 세션에서 FTD CLI(Command Line Interface Cell)에 연결합니다.

Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved.

The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license.

Certain components of this software are licensed under the "GNU General Public
License, version 3" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, Version 3", available here:
http://www.gnu.org/licenses/gpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU General Public
License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/gpl-2.0.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU LESSER GENERAL
PUBLIC LICENSE, version 3" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU LESSER GENERAL PUBLIC LICENSE" Version 3", available here:
http://www.gnu.org/licenses/lgpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU Lesser General
Public License, version 2.1" provided with ABSOLUTELY NO WARRANTY under the
terms of "GNU Lesser General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.1.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU Library General
Public License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU Library General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.0.html. See User Manual
(''Licensing'') for details.

KSEC-FPR1140-1# connect ftd

2단계. FTD CLISH에서 expert 명령을 통해 Linux 셸에 액세스한 다음 관리자 권한으로 승격합니다.

> 
> expert
admin@KSEC-FPR1140-1:/$ sudo su
Password: 
root@KSEC-FPR1140-1:/#

3단계. LinaConfigTool을 사용하여 HTTP 명령 항목을 Lina 구성으로 푸시하고 Linux 측에서 실행 중인 웹 서버에서 Lina 측의 nlp_int_tap 인터페이스로 트래픽을 전송하도록 고정 경로를 생성합니다.

root@KSEC-FPR1140-1:/# LinaConfigTool "http 192.168.1.0 255.255.255.0 inside"
root@KSEC-FPR1140-1:/# 
root@KSEC-FPR1140-1:/# ip route add 192.168.1.0/24 via 169.254.1.1
root@KSEC-FPR1140-1:/# 
root@KSEC-FPR1140-1:/# 

4단계. FTD CLISH로 돌아가 NAT(Network Address Translation) 규칙이 자동으로 생성되는지 확인합니다.

root@KSEC-FPR1140-1:/# 
root@KSEC-FPR1140-1:/# 
root@KSEC-FPR1140-1:/# exit
exit
admin@KSEC-FPR1140-1:/$ exit
logout
> show nat detail
Manual NAT Policies Implicit (Section 0)
1 (nlp_int_tap) to (inside) source static nlp_server__http_192.168.1.0_intf4 interface  destination static 0_192.168.1.0_3 0_192.168.1.0_3 service tcp https https 
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 169.254.1.3/32, Translated: 10.10.105.87/24
    Destination - Origin: 192.168.1.0/24, Translated: 192.168.1.0/24
    Service - Protocol: tcp Real: https Mapped: https 

5단계. 데이터 인터페이스의 FDM UI에 액세스하고 UI에서 데이터 인터페이스의 관리 액세스를 생성하여 변경 사항을 영구적으로 유지합니다.

다음을 확인합니다.

브라우저를 열고 데이터 인터페이스 IP 주소를 사용하여 FDM에 연결합니다.

문제 해결

패킷 캡처를 수행하고 다음을 확인합니다.

• 트래픽이 데이터 인터페이스에 도달하고 있습니다.
• 트래픽이 nlp_int_tap 인터페이스로 전달되고 있습니다.