Verduidelijking van maatregelen in het kader van het FTD-beleid inzake toegangscontrole

Inleiding

In dit document worden de verschillende acties beschreven die beschikbaar zijn binnen het toegangscontrolebeleid (ACP) en het voorfilterbeleid van Firepower Threat Defense (FTD). 

  

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Flow-offload
• Packet Captures op Firepower Threat Defence-apparaten
• Pakkettracer en vastleggen met traceringsopties op FTD-apparaten

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Firepower 4110 Threat Defense versie 6.4.0 (build 113) en 6.6.0 (build 90)
• Firepower Management Center (FMC) versie 6.4.0 (build 113) en 6.6.0 (build 90)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Verwante producten

Dit document kan worden gebruikt met de volgende hardware- en softwareversies:

• ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
• ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
• FPR1000, FPR2100, FPR4100, FPR9300
• VMware (ESXi), Amazon Web Services (AWS), Kernel-based Virtual Machine (KVM)
• Geïntegreerde services router (ISR) routermodule
• FTD softwareversie 6.1.x en hoger

Opmerking: Flow Offload wordt alleen ondersteund op native exemplaren van de ASA- en FTD-toepassingen en op FPR4100- en FPR9300-platforms. FTD-containerinstanties bieden geen ondersteuning voor flow-offload.

Achtergrondinformatie

De achtergrondwerking van elke actie wordt onderzocht, samen met de interacties met andere functies zoals Flow Offload en protocollen die secundaire verbindingen openen.

FTD is een uniform software-image dat bestaat uit twee hoofdengines:

• LINA-engine
• Snort-engine

Deze figuur laat zien hoe de twee motoren op elkaar inwerken:

• Een pakket komt binnen via de inkomende interface en wordt verwerkt door de LINA-engine.
• Als dit vereist is door het FTD-beleid, wordt het pakket geïnspecteerd door de Snort-engine.
• De Snort-engine geeft een oordeel (vergunningenlijst of bloklijst) voor het pakket.
• De LINA-engine wijst het pakket af of stuurt het door op basis van het Snort-oordeel.

Hoe ACP wordt geïmplementeerd

Het FTD-beleid wordt geconfigureerd op de FMC wanneer het beheer off-box (extern) wordt gebruikt of wanneer de lokale Firepower Device Manager (FDM) wordt gebruikt. In beide scenario’s wordt het ACP geïmplementeerd als:

• Een algemene toegangscontrolelijst (ACL) met de naam CSM_FW_ACL_ naar de FTD LINA-engine.
• Toegangscontroleregels (AC) in het /ngfw/var/sf/detection_engines/<UUID>/ngfw.rules-bestand voor de FTD Snort-engine.

Configureren

Beschikbare ACP-acties

Het FTD ACS bevat een of meer regels en elke regel kan een van deze acties hebben:

• Allow (toestaan)
• Trust (vertrouwen)
• Monitor (bewaken)
• Block (blokkeren)
• Block with reset (blokkeren met reset)
• Interactive Block (interactief blokkeren)
• Interactive Block with reset (interactief blokkeren met reset)

Evenzo kan een voorfilterbeleid een of meer regels en de mogelijke acties bevatten:

Hoe ACP en het voorfilterbeleid samenwerken

Het Prefilter-beleid is geïntroduceerd in de 6.1-versie en heeft twee hoofddoelen:

Het inspecteren van getunneld verkeer waarbij de FTD LINA-engine de buitenste IP-header controleert terwijl de Snort-engine de binnenste IP-header controleert. Meer specifiek, in het geval van tunnelverkeer (bijvoorbeeld GRE) werken de regels in het Prefilter-beleid altijd op de buitenste headers. Terwijl de regels in de ACS altijd van toepassing zijn op de binnensessies (binnenkoppen).

Het getunnelde verkeer verwijst naar deze protocollen:

• GRE
• IP-in-IP
• IPv6-in-IP
• Teredo-poort 3544

Early Access Control (EAC) zorgt ervoor dat de stroom de Snort-engine volledig kan omzeilen:

De Voorfilterregels worden op FTD geïmplementeerd als L3/L4 Access Control Elements (ACE's) en gaan vooraf aan de geconfigureerde L3/L4 ACE's:

Opmerking: Prefilter v/s ACP-regels = de eerste overeenkomst toegepast.

Block-actie van ACP

Denk aan de topologie:

Scenario 1. Vroege LINA Drop

De ACP bevat een blokregel die gebruikmaakt van een L4-voorwaarde (Destination Port TCP 80):

Het geïmplementeerde beleid in Snort:

268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6

Het geïmplementeerde beleid in LINA. Merk op dat de regel wordt geduwd als een actie weigeren:

firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L4 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id 268435461 event-log flow-start (hitcnt=0) 0x6149c43c

Gedrag controleren:

Wanneer host-A (192.168.1.40) een HTTP-sessie probeert te openen naar host-B (192.168.2.40), worden de TCP-synchronisatiepakketten (SYN) door de FTD LINA-engine verwijderd en bereiken ze de Snort-engine of de bestemming niet:

firepower# show capture
capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing - 430 bytes]
  match ip host 192.168.1.40 any
capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing - 0 bytes]
  match ip host 192.168.1.40 any

firepower# show capture CAPI
   1: 11:08:09.672801  192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920 <mss 1460,sackOK,timestamp 4060517 0>
   2: 11:08:12.672435  192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920 <mss 1460,sackOK,timestamp 4063517 0>
   3: 11:08:18.672847  192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920 <mss 1460,sackOK,timestamp 4069517 0>
   4: 11:08:30.673610  192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920 <mss 1460,sackOK,timestamp 4081517 0>

firepower# show capture CAPI packet-number 1 trace
   1: 11:08:09.672801  192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920 <mss 1460,sackOK,timestamp 4060517 0>
...

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id 268435461 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268435461: L4 RULE: Rule1
Additional Information:   
                             <- No Additional Information = No Snort Inspection

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Scenario 2. Drop vanwege Snort Verdict

De ACP bevat een blokregel die gebruikmaakt van een L7-voorwaarde (Application HTTP):

Het geïmplementeerde beleid in Snort:

268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any  (appid 676:1)

Appid 676:1 = HTTP

Het geïmplementeerde beleid in LINA:

Opmerking: De regel wordt gepusht als een machtigingsactie omdat de LINA-engine niet kan bepalen of de sessie HTTP gebruikt. Op FTD bevindt het Application Detection-mechanisme zich in de Snort-engine.

firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L7 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461 (hitcnt=0) 0xb788b786

Voor een blokregel die Toepassing als voorwaarde gebruikt, laat het spoor van een echt pakket zien dat de sessie door de LINA-engine is verwijderd vanwege het Snort-motorvonnis.

Opmerking: Om de Snort-engine de toepassing te laten bepalen, moet deze een paar pakketten inspecteren (meestal 3-10, afhankelijk van de toepassingsdecoder). Zo zijn een paar pakketten toegestaan via de FTD en verzendt naar de bestemming. De toegestane pakketten zijn nog steeds onderworpen aan de controle van het toegangsbeleid op basis van het toegangsbeleid > Geavanceerd > Inbraakbeleid dat wordt gebruikt voordat de optie Toegangsbeheer wordt bepaald.

Gedrag controleren:

Wanneer host-A (192.168.1.40) probeert een HTTP-sessie met host-B (192.168.2.40) tot stand te brengen, toont de LINA-ingangsopname:

firepower# show capture CAPI

8 packets captured

   1: 11:31:19.825564  192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920 <mss 1460,sackOK,timestamp 5450579 0>
   2: 11:31:19.826403  192.168.2.40.80 > 192.168.1.40.32790: S 1283931030:1283931030(0) ack 357753152 win 2896 <mss 1380,sackOK,timestamp 5449236 5450579>
   3: 11:31:19.826556  192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack 1283931031 win 2920 <nop,nop,timestamp 5450580 5449236>
   4: 11:31:20.026899  192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack 1283931031 win 2920 <nop,nop,timestamp 5450781 5449236>
   5: 11:31:20.428887  192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack 1283931031 win 2920 <nop,nop,timestamp 5451183 5449236>
 ...

De uitgaande vastlegging:

firepower# show capture CAPO

5 packets captured

   1: 11:31:19.825869  192.168.1.40.32790 > 192.168.2.40.80: S 1163713179:1163713179(0) win 2920 <mss 1380,sackOK,timestamp 5450579 0>
   2: 11:31:19.826312  192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack 1163713180 win 2896 <mss 1460,sackOK,timestamp 5449236 5450579>
   3: 11:31:23.426049  192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack 1163713180 win 2896 <mss 1460,sackOK,timestamp 5452836 5450579>
   4: 11:31:29.426430  192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack 1163713180 win 2896 <mss 1460,sackOK,timestamp 5458836 5450579>
   5: 11:31:41.427208  192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack 1163713180 win 2896 <mss 1460,sackOK,timestamp 5470836 5450579>

Het traceren toont dat het eerste pakket (TCP SYN) is toegestaan door de Snort-engine omdat het Application Detection-vonnis nog niet is bereikt:

firepower# show capture CAPI packet-number 1 trace
   1: 11:31:19.825564  192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920 <mss 1460,sackOK,timestamp 5450579 0>
...

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461
access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268435461: L7 RULE: Rule1
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached
...
Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 23194, packet dispatched to next module
…
Phase: 12
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, SYN, seq 357753151
AppID: service unknown (0), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
Firewall: pending rule-matching, id 268435461, pending AppID
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow

Hetzelfde geldt voor het TCP SYN/ACK-pakket:

firepower# show capture CAPO packet-number 2 trace
   2: 11:31:19.826312 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack 1163713180 win 2896 <mss 1460,sackOK,timestamp 5449236 5450579>
…

Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 23194, using existing flow
…

Phase: 5
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, SYN, ACK, seq 1283931030, ack 357753152
AppID: service unknown (0), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
Firewall: pending rule-matching, id 268435461, pending AppID
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: INSIDE
output-status: up
output-line-status: up
Action: allow

Snort retourneert een DROP-vonnis zodra een inspectie van het derde pakket is voltooid:

firepower# show capture CAPI packet-number 3 trace
   3: 11:31:19.826556  192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack 1283931031 win 2920 <nop,nop,timestamp 5450580 5449236>

Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 23194, using existing flow

Phase: 5
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: TCP, ACK, seq 357753152, ack 1283931031
AppID: service HTTP (676), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/128k.html
Firewall: block rule, id 268435461, drop
Snort: processed decoder alerts or actions queue, drop
NAP id 1, IPS id 0, Verdict BLOCKLIST, Blocked by Firewall
Snort Verdict: (block-list) block list this flow

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
Action: drop
Drop-reason: (firewall) Blocked by the firewall preprocessor

U kunt ook het traceren van de opdrachtsysteemondersteuning uitvoeren vanuit de FTD CLISH-modus. Deze tool biedt twee functies:

• Het toont het Snort-vonnis voor elk pakket als het wordt verzonden naar de Data Acquisition-bibliotheek (DAQ) en te zien is in LINA. DAQ is een component die zich tussen de FTD LINA-engine en de Snort-engine bevindt.
• Hiermee kunt u systeemondersteuning firewall-engine-debug tegelijkertijd uitvoeren om te zien wat er gebeurt binnen de Snort-engine zelf.

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik bovendien altijd de juiste filters en laat de opdracht niet onbeperkt draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

Hier is een voorbeeld van output:

> system support trace

Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]: y
Monitoring packet tracer debug messages

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, seq 2620409313
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 New session
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, ACK, seq 3700371680, ack 2620409314
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, ACK, seq 2620409314, ack 3700371681
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service HTTP (676), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 676, payload 0, client 686, misc 0, user 9999997, url http://192.168.2.40/128k.html, xff
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/128k.html
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 match rule order 2, 'Rule1', action Block
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 deny action
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: block rule, 'Rule1', drop
192.168.1.40-32791 > 192.168.2.40-80 6 Snort: processed decoder alerts or actions queue, drop
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Deleting session
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict BLOCKLIST
192.168.1.40-32791 > 192.168.2.40-80 6 ===> Blocked by Firewall

Samenvatting:

• De ACP Block Action wordt ingezet als een vergunning of weigeren regel in de LINA motor, die afhankelijk is van de regel voorwaarden.
• Als de omstandigheden L3/L4 zijn, blokkeert de LINA-motor het pakket. In het geval van TCP wordt het eerste pakket (TCP SYN) geblokkeerd.
• Als de omstandigheden L7 zijn, wordt het pakket doorgestuurd naar de Snort-motor voor verdere inspectie. In het geval van TCP, worden enkele pakketten toegelaten door de FTD totdat Snort een oordeel heeft. De toegestane pakketten zijn nog steeds onderworpen aan de controle van het toegangsbeleid op basis van het toegangsbeleid > Geavanceerd > Inbraakbeleid dat wordt gebruikt voordat de optie Toegangsbeheer wordt bepaald.

Block with reset-actie van ACP

Een Block with reset-regel geconfigureerd in de FMC UI:

Het blok met reset regel wordt ingezet op de FTD LINA motor als een vergunning en snort motor als een reset regel:

firepower# show access-list
…
access-list CSM_FW_ACL_ line 10 advanced permit tcp 192.168.10.0 255.255.255.0 host 192.168.11.50 eq www rule-id 268438864 (hitcnt=0) 0xba785fc0
access-list CSM_FW_ACL_ line 11 remark rule-id 268438865: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ line 12 remark rule-id 268438865: L7 RULE: Block-RST_Rule2
access-list CSM_FW_ACL_ line 13 advanced permit ip 192.168.10.0 255.255.255.0 host 192.168.11.51 rule-id 268438865 (hitcnt=0) 0x622350d0

Snort-engine:

admin@firepower:~$ cat /var/sf/detection_engines/9e080e5c-adc3-11ea-9d37-44884cf7e9ba/ngfw.rules
…
# Start of AC rule.
268438864 reset any 192.168.10.0 24 any any 192.168.11.50 32 80 any 6
# End rule 268438864
268438865 reset any 192.168.10.0 24 any any 192.168.11.51 32 any any any (appid 676:1) (ip_protos 6, 17)
# End rule 268438865

Wanneer een pakket overeenkomt met een blok met de resetregel, verzendt FTD een TCP Reset-pakket of een ICMP Type 3 Code 13 Bestemming Onbereikbaar (Administratief gefilterd) bericht:

root@kali:~/tests# wget 192.168.11.50/file1.zip
--2020-06-20 22:48:10--  http://192.168.11.50/file1.zip
Connecting to 192.168.11.50:80... failed: Connection refused.

Zie de opname die is gemaakt via de FTD-ingangsinterface:

firepower# show capture CAPI
2 packets captured 
1: 21:01:00.977259 802.1Q vlan#202 P0 192.168.10.50.41986 > 192.168.11.50.80: S 3120295488:3120295488(0) win 29200 <mss 1460,sackOK,timestamp 3740873275 0,nop,wscale 7> 
2: 21:01:00.978114 802.1Q vlan#202 P0 192.168.11.50.80 > 192.168.10.50.41986: R 0:0(0) ack 3120295489 win 0 2 packets shown

Systeemondersteuning traceren uitvoer, in dit geval, het toont het pakket is gevallen als gevolg van de Snort vonnis:

> system support trace

Enable firewall-engine-debug too? [n]: y
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.10.50
Please specify a client port:
Please specify a server IP address: 192.168.11.50
Please specify a server port:
Monitoring packet tracer and firewall debug messages


192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, SYN, seq 3387496622
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: new snort session
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.50-41984 > 192.168.11.50-80 6 AS 1-1 I 9 new firewall session
192.168.10.50-41984 > 192.168.11.50-80 6 AS 1-1 I 9 using HW or preset rule order 2, 'Block-RST-Rule1', action Reset and prefilter rule 0
192.168.10.50-41984 > 192.168.11.50-80 6 AS 1-1 I 9 HitCount data sent for rule id: 268438864,
192.168.10.50-41984 > 192.168.11.50-80 6 AS 1-1 I 9 reset action
192.168.10.50-41984 > 192.168.11.50-80 6 AS 1-1 I 9 deleting firewall session flags = 0x0, fwFlags = 0x0
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: block w/ reset rule, 'Block-RST-Rule1', drop
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: processed decoder alerts or actions queue, drop
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 9, NAP id 1, IPS id 0, Verdict BLOCKLIST
192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Blocked by Firewall
Verdict reason is sent to DAQ

Use cases 

Net als de Block-actie wordt de verbinding echter onmiddellijk beëindigd.

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

Allow-actie van ACP

Scenario 1. Actie toestaan ACS (L3/L4-voorwaarden)

Normaal gesproken configureert u een regel Toestaan om extra inspecties op te geven, zoals een inbraakbeleid en/of een bestandsbeleid. Dit eerste scenario toont de werking van een Allow-regel wanneer een L3/L4-voorwaarde wordt toegepast.

Bekijk de volgende topologie:

Dit beleid wordt toegepast:

Het geïmplementeerde beleid in Snort. De regel wordt geïmplementeerd als een allow-actie:

# Start of AC rule.
268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6

Het beleid in de LINA-engine: 

Opmerking: De regel wordt ingezet als een vergunning actie, wat betekent dat het een omleiding naar Snort voor verdere inspectie.

firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L7 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id 268435461 (hitcnt=1) 0x641a20c3

Als u wilt zien hoe FTD omgaat met een stroom die overeenkomt met een regel Toestaan, zijn er een paar manieren:

• Snort-statistieken verifiëren
• Het CLISH-hulpmiddel voor systeemondersteuning gebruiken
• Met het gebruik van capture en de trace-optie in de LINA-engine kunt u optioneel het capture-verkeer gebruiken in de Snort-engine

LINA-vastlegging vs. verkeer vastleggen in Snort:

Gedrag controleren

Wis de Snort-statistieken en schakel de systeemondersteuningstrace van CLISH in en start de HTTP-stroom van host-A (192.168.1.40) naar host-B (192.168.2.40). Alle pakketten worden doorgestuurd naar de Snort-engine en ontvangen een PASS-oordeel van de Snort-engine:

firepower# clear snort statistics

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

> system support trace

Please specify an IP protocol:
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]:
Monitoring packet tracer debug messages

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, SYN, seq 361134402
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, SYN, ACK, seq 1591434735, ack 361134403
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS

Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, ACK, seq 361134403, ack 1591434736
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service HTTP (676), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS

De tellers voor Pass Packets worden verhoogd:

> show snort statistics

Packet Counters:
  Passed Packets                                           54
  Blocked Packets                                           0
  Injected Packets                                          0
  Packets bypassed (Snort Down)                             0
  Packets bypassed (Snort Busy)                             0

Flow Counters:
  Fast-Forwarded Flows                                      0
  Blocklisted Flows                                         0
...                               

Doorgegeven pakketten = geïnspecteerd door de Snort-engine

Scenario 2. ACS staan actie toe (L3-7-voorwaarden)

Soortgelijk gedrag wordt waargenomen wanneer de regel Toestaan wordt geïmplementeerd.

Alleen een L3/L4 conditie:

Een L7-voorwaarde (bijvoorbeeld een inbraakbeleid, bestandsbeleid, toepassing):

Samenvatting

Samenvattend is dit hoe een stroom wordt afgehandeld door een FTD die wordt geïmplementeerd op een FP4100/9300 wanneer een Allow-regel is gekoppeld:

Opmerking: Management Input Output (MIO) is de Supervisor-motor van het vuurkrachtchassis.

Scenario 3. Snort Fast-Forward vonnis met Toestaan

Er zijn specifieke scenario's waarbij de FTD Snort-engine een PERMITLIST-oordeel geeft (fast-forward) en de resterende stroom wordt overgeladen naar de LINA-engine (in sommige gevallen wordt deze overgeladen naar de HW Accelerator - SmartNIC). Deze zijn:

• SSL-verkeer zonder een geconfigureerd SSL-beleid
• Intelligent Application Bypass (IAB)

Zie de visuele weergave van het pakketpad:

Of in sommige gevallen:

Hoofdpunten

• De Regel toestaan wordt geïmplementeerd zoals toegestaan in Snort en toestaan in de LINA-engine.
• In de meeste gevallen worden alle pakketten van een sessie doorgestuurd naar de Snort-engine voor aanvullende inspectie.

Use cases  

U configureert alleen een Allow-regel wanneer u een L7-inspectie door de Snort Engine vereist, zoals:

• Intrusion Policy (inbraakbeleid)
• File Policy (bestandsbeleid)

Trust-actie van ACP

Scenario 1. Trust-actie van ACP

Als u geen geavanceerde L7-inspectie wilt toepassen op het niveau Snort (bijvoorbeeld Intrusion Policy, File Policy, Network Discovery), maar u functies zoals Security Intelligence (SI), Identity Policy, QoS wilt gebruiken, wordt het aanbevolen om de Trust Action in uw regel te gebruiken.

Topologie:

Het geconfigureerde beleid:

Raadpleeg de vertrouwensregel zoals deze wordt geïmplementeerd in de FTD Snort-engine:

# Start of AC rule.
268438858 fastpath any 192.168.10.50 31 any any 192.168.11.50 31 80 any 6 (log dcforward flowend)

Het getal 6 is het protocol (TCP).

De regel in FTD LINA:

firepower# show access-list | i 268438858
access-list CSM_FW_ACL_ line 17 remark rule-id 268438858: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ line 18 remark rule-id 268438858: L7 RULE: trust_L3-L4
access-list CSM_FW_ACL_ line 19 advanced permit tcp object-group FMC_INLINE_src_rule_268438858 object-group FMC_INLINE_dst_rule_268438858 eq www rule-id 268438858 (hitcnt=19) 0x29588b4f
  access-list CSM_FW_ACL_ line 19 advanced permit tcp host 192.168.10.50 host 192.168.11.50 eq www rule-id 268438858 (hitcnt=19) 0x9d442895
  access-list CSM_FW_ACL_ line 19 advanced permit tcp host 192.168.10.50 host 192.168.11.51 eq www rule-id 268438858 (hitcnt=0) 0xd026252b
  access-list CSM_FW_ACL_ line 19 advanced permit tcp host 192.168.10.51 host 192.168.11.50 eq www rule-id 268438858 (hitcnt=0) 0x0d785cc4
  access-list CSM_FW_ACL_ line 19 advanced permit tcp host 192.168.10.51 host 192.168.11.51 eq www rule-id 268438858 (hitcnt=0) 0x3b3234f1

  

Verificatie:

Schakel system support trace in en start een HTTP-sessie vanaf host-A (192.168.10.50) naar host-B (192.168.11.50).

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

Er zijn drie pakketten doorgestuurd naar de Snort-engine. De Snort-engine stuurt naar LINA en het PERMITLIST-vonnis verplaatst de resterende stroom naar de LINA-engine:

> system support trace

Enable firewall-engine-debug too? [n]: y
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.10.50
Please specify a client port:
Please specify a server IP address: 192.168.11.50
Please specify a server port: 80
Monitoring packet tracer and firewall debug messages

192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, SYN, seq 453426648
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: new snort session
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 new firewall session
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 using HW or preset rule order 5, 'trust_L3-L4', action Trust and prefilter rule 0
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 HitCount data sent for rule id: 268438858,
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: trust/fastpath rule, 'trust_L3-L4', allow
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Verdict PASS

192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Packet: TCP, SYN, ACK, seq 2820426532, ack 453426649
192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Firewall: trust/fastpath rule, 'trust_L3-L4', allow
192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Verdict PASS

192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 453426649, ack 2820426533
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: trust/fastpath rule, 'trust_L3-L4', allow
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Verdict PERMITLIST

Zodra de verbinding is beëindigd, ontvangt de Snort-engine de metagegevens van de LINA-engine en wordt de sessie verwijderd:

192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 Got end of flow event from hardware with flags 00010001. Rule Match Data: rule_id 0, rule_action 0 rev_id 0, rule_flags 3
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 Logging EOF for event from hardware with rule_id = 268438858 ruleAction = 3 ruleReason = 0
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 : Received EOF, deleting the snort session.

192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: deleting snort session, reason: timeout
192.168.10.50-42126 > 192.168.11.50-80 6 AS 1-1 I 2 deleting firewall session flags = 0x10003, fwFlags = 0x1115
192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: deleted snort session using 0 bytes; protocol id:(-1) : LWstate 0xf LWFlags 0x6007

De Snort engine capture toont de drie pakketten die naar de Snort engine gaan:

> capture-traffic

Please choose domain to capture traffic from:
  0 - management0
  1 - management1
  2 - Global

Selection? 2

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n vlan and (host 192.168.10.50 and host 192.168.11.50)
10:26:16.525928 IP 192.168.10.50.42144 > 192.168.11.50.80: Flags [S], seq 3065553465, win 29200, options [mss 1380,sackOK,TS val 3789188468 ecr 0,nop,wscale 7], length 0
10:26:16.525928 IP 192.168.11.50.80 > 192.168.10.50.42144: Flags [S.], seq 3581351172, ack 3065553466, win 8192, options [mss 1380,nop,wscale 8,sackOK,TS val 57650410 ecr 3789188468], length 0
10:26:16.525928 IP 192.168.10.50.42144 > 192.168.11.50.80: Flags [.], ack 1, win 229, options [nop,nop,TS val 3789188470 ecr 57650410], length 0

De LINA-motorvangst toont de stroom die erdoorheen gaat:

firepower# show capture CAPI

437 packets captured

   1: 09:51:19.431007  802.1Q vlan#202 P0 192.168.10.50.42118 > 192.168.11.50.80: S 2459891187:2459891187(0) win 29200 <mss 1460,sackOK,timestamp 3787091387 0,nop,wscale 7>
   2: 09:51:19.431648  802.1Q vlan#202 P0 192.168.11.50.80 > 192.168.10.50.42118: S 2860907367:2860907367(0) ack 2459891188 win 8192 <mss 1380,nop,wscale 8,sackOK,timestamp 57440579 3787091387>
   3: 09:51:19.431847  802.1Q vlan#202 P0 192.168.10.50.42118 > 192.168.11.50.80: . ack 2860907368 win 229 <nop,nop,timestamp 3787091388 57440579>
   4: 09:51:19.431953  802.1Q vlan#202 P0 192.168.10.50.42118 > 192.168.11.50.80: P 2459891188:2459891337(149) ack 2860907368 win 229 <nop,nop,timestamp 3787091388 57440579>
   5: 09:51:19.444816  802.1Q vlan#202 P0 192.168.11.50.80 > 192.168.10.50.42118: . 2860907368:2860908736(1368) ack 2459891337 win 256 <nop,nop,timestamp 57440580 3787091388>
   6: 09:51:19.444831  802.1Q vlan#202 P0 192.168.11.50.80 > 192.168.10.50.42118: . 2860908736:2860910104(1368) ack 2459891337 win 256 <nop,nop,timestamp 57440580 3787091388>

…

Het spoor van de pakketten van LINA is een andere manier om de Snort-vonnissen te bekijken. Het eerste pakket ontving het PASS-vonnis:

firepower# show capture CAPI packet-number 1 trace | i Type|Verdict
Type: CAPTURE
Type: ACCESS-LIST
Type: ROUTE-LOOKUP
Type: ACCESS-LIST
Type: CONN-SETTINGS
Type: NAT
Type: NAT
Type: IP-OPTIONS
Type: CAPTURE
Type: CAPTURE
Type: NAT
Type: CAPTURE
Type: NAT
Type: IP-OPTIONS
Type: CAPTURE
Type: FLOW-CREATION
Type: EXTERNAL-INSPECT
Type: SNORT
Snort id 22, NAP id 2, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
Type: INPUT-ROUTE-LOOKUP-FROM-OUTPUT-ROUTE-LOOKUP
Type: ADJACENCY-LOOKUP
Type: CAPTURE

Het spoor van het TCP SYN/ACK-pakket op de OUTSIDE-interface:

firepower# show capture CAPO packet-number 2 trace | i Type|Verdict
Type: CAPTURE
Type: ACCESS-LIST
Type: FLOW-LOOKUP
Type: EXTERNAL-INSPECT
Type: SNORT
Snort id 22, NAP id 2, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
Type: INPUT-ROUTE-LOOKUP-FROM-OUTPUT-ROUTE-LOOKUP
Type: ADJACENCY-LOOKUP
Type: CAPTURE

De TCP ACK ontvangt het PERMITLIST vonnis:

firepower# show capture CAPI packet-number 3 trace | i Type|Verdict
Type: CAPTURE
Type: ACCESS-LIST
Type: FLOW-LOOKUP
Type: EXTERNAL-INSPECT
Type: SNORT
Snort id 22, NAP id 2, IPS id 0, Verdict PERMITLIST
Snort Verdict: (fast-forward) fast forward this flow
Type: CAPTURE

Zie de volledige uitvoer van het Snort Verdict (pakket #3):

firepower# show capture CAPI packet-number 3 trace | b Type: SNORT
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, ACK, seq 687485179, ack 1029625865
AppID: service unknown (0), application unknown (0)
Firewall: trust/fastpath rule, id 268438858, allow
Snort id 31, NAP id 2, IPS id 0, Verdict PERMITLIST
Snort Verdict: (fast-forward) fast forward this flow

Het vierde pakket wordt niet doorgestuurd naar de Snort-engine omdat het vonnis wordt gecached door de LINA-engine:

firepower# show capture CAPI packet-number 4 trace

441 packets captured

   4: 10:34:02.741523       802.1Q vlan#202 P0 192.168.10.50.42158 > 192.168.11.50.80: P 164375589:164375738(149) ack 3008397532 win 229 <nop,nop,timestamp 3789654678 57697031>
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 1254, using existing flow

Phase: 4
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (fast-forward) fast forward this flow

Result:
input-interface: INSIDE(vrfid:0)
input-status: up
input-line-status: up
Action: allow


1 packet shown

De statistieken van Snort bevestigen dit:

firepower# show snort statistics

Packet Counters:
  Passed Packets                                                      2
  Blocked Packets                                                     0
  Injected Packets                                                    0
  Packets bypassed (Snort Down)                                       0
  Packets bypassed (Snort Busy)                                       0

Flow Counters:
  Fast-Forwarded Flows                                                1
  Blacklisted Flows                                                   0

Miscellaneous Counters:
  Start-of-Flow events                                                0
  End-of-Flow events                                                  1
  Denied flow events                                                  0
  Frames forwarded to Snort before drop                               0
  Inject packets dropped                                              0

Raadpleeg de pakketstroom met de vertrouwensregel. Een paar pakketten worden geïnspecteerd door de Snort-motor en de resterende worden geïnspecteerd door LINA:

Scenario 2. ACS-vertrouwensactie (zonder SI, QoS en identiteitsbeleid)

Als u wilt dat FTD Security Intelligence (SI)-controles toepast op alle stromen, is SI al ingeschakeld op ACS-niveau en kunt u de SI-bronnen opgeven (TALOS, feeds, lijsten). Aan de andere kant, als u het wilt uitschakelen, kunt u SI voor netwerken wereldwijd per ACP, SI voor URL en SI voor DNS uitschakelen. De SI voor netwerken en de URL zijn uitgeschakeld:

In dit geval wordt de Trust-regel voor LINA geïmplementeerd als trust:

> show access-list
...
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L4 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461 event-log flow-end (hitcnt=0) 0x5c1346d6

Opmerking: vanaf 6.2.2 ondersteunt FTD TID. TID werkt als SI, maar als SI is uitgeschakeld, worden pakketten niet 'gedwongen' om naar de Snort-engine te gaan voor TID-inspectie.

Controleer het gedrag

Start een HTTP-sessie vanaf host-A (192.168.1.40) naar host-B (192.168.2.40). Aangezien dit een FP4100 is en Flow Offload in hardware ondersteunt, moet u rekening houden met deze gebeurtenissen: 

• Sommige pakketten worden doorgestuurd via de FTD LINA-motor en de resterende stroom wordt overgeladen naar SmartNIC (HW-versneller).
• Er worden geen pakketten doorgestuurd naar de Snort-engine.

De FTD LINA-verbindingstabel toont de vlag"o",, wat betekent dat de stroom naar HW is overgeladen. Let ook op de afwezigheid van de "N" vlag. Dit betekent 'geen Snort omleiding':

firepower# show conn
1 in use, 15 most used

TCP OUTSIDE  192.168.2.40:80 INSIDE  192.168.1.40:32809, idle 0:00:00, bytes 949584, flags UIOo

Statistieken voor sorteren tonen alleen logboekgebeurtenissen aan het begin en het einde van de sessie:

firepower# show snort statistics

Packet Counters:
  Passed Packets                                            0
  Blocked Packets                                           0
  Injected Packets                                          0
  Packets bypassed (Snort Down)                             0
  Packets bypassed (Snort Busy)                             0

Flow Counters:
  Fast-Forwarded Flows                                      0
  Blacklisted Flows                                         0

Miscellaneous Counters:
  Start-of-Flow events                                      1
  End-of-Flow events                                        1

FTD LINA-logs laten zien dat er voor elke sessie twee stromen (één per richting) naar HW werden geoffloaded:

Sep 27 2017 20:16:05: %ASA-7-609001: Built local-host INSIDE:192.168.1.40
Sep 27 2017 20:16:05: %ASA-6-302013: Built inbound TCP connection 25384 for INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32809 (192.168.1.40/32809)
Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32809 (192.168.1.40/32809)
Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-302014: Teardown TCP connection 25384 for INSIDE:192.168.1.40/32809 to OUTSIDE:192.168.2.40/80 duration 0:00:00 bytes 1055048 TCP FINs
Sep 27 2017 20:16:05: %ASA-7-609002: Teardown local-host INSIDE:192.168.1.40 duration 0:00:00

Pakketstroom met de vertrouwensregel geïmplementeerd als de vertrouwensactie in LINA. Enkele pakketten worden geïnspecteerd door LINA en de rest wordt overgedragen naar SmartNIC (FP4100/FP9300):

Use cases 

• U moet de actie Vertrouwen gebruiken wanneer u slechts een paar pakketten wilt laten controleren door de Snort-engine (bijvoorbeeld Application Detection, SI-controle) en de resterende stroom wordt geoffload naar de LINA-engine.
• Als u FTD op FP4100/9300 gebruikt en wilt dat de stroom de Snort-inspectie volledig omzeilt. overweeg dan de voorfilterregel met de actie Fastpath (raadpleeg de gerelateerde sectie in dit document).

Block-actie van voorfilterbeleid

Denk aan de topologie:

Raadpleeg het beleid voor FTD-voorfilters:

Het geïmplementeerde beleid in de FTD Snort-engine (bestand ngfw.rules):

# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268437506 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any  (tunnel -1

In LINA:

access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1
access-list CSM_FW_ACL_ line 3 advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id 268437506 event-log flow-start (hitcnt=0) 0x76476240

Wanneer u een virtueel pakket traceert, wordt het pakket door LINA gedropt en nooit doorgestuurd naar Snort:

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
…
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id 268437506 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ remark rule-id 268437506: RULE: Prefilter1
Additional Information:

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Snort-statistieken tonen:

firepower# show snort statistics

Packet Counters:
  Passed Packets                                            0
  Blocked Packets                                           0
  Injected Packets                                          0
  Packets bypassed (Snort Down)                             0
  Packets bypassed (Snort Busy)                             0

Flow Counters:
  Fast-Forwarded Flows                                      0
  Blacklisted Flows                                         0

Miscellaneous Counters:
  Start-of-Flow events                                      0
  End-of-Flow events                                        0
  Denied flow events                                        1

LINA ASP-afwijzingen tonen:

firepower# show asp drop

Frame drop:
  Flow is denied by configured rule (acl-drop)                1

Use cases 

U kunt een regel Prefilter Block gebruiken wanneer u verkeer wilt blokkeren op basis van L3 / L4-voorwaarden en zonder extra snelkoppelingen van uw verkeer.

Fastpath-actie van voorfilterbeleid

Overweeg de regel Beleid voorfilter:

Het beleid dat wordt geïmplementeerd in de FTD Snort-engine:

268437506 fastpath any any any any any any any any (log dcforward flowend) (tunnel -1)

In FTD LINA:

access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1
access-list CSM_FW_ACL_ line 3 advanced trust tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id 268437506 event-log flow-end (hitcnt=0) 0xf3410b6f

Controleer het gedrag

Wanneer host-A (192.168.1.40) een HTTP-sessie probeert te openen naar host-B (192.168.2.40), gaan sommige pakketten via LINA en worden de resterende pakketten geoffload naar SmartNIC. In dit geval toont de tracering van de systeemondersteuning met firewall-engine-debug ingeschakeld:

> system support trace

Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]: y
Monitoring packet tracer debug messages

192.168.1.40-32840 > 192.168.2.40-80 6 AS 1 I 8 Got end of flow event from hardware with flags 04000000

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik zijn.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

De LINA-logs tonen de geoffloade stroom:

Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host INSIDE:192.168.1.40
Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host OUTSIDE:192.168.2.40
Oct 01 2017 14:36:51: %ASA-6-302013: Built inbound TCP connection 966 for INSIDE:192.168.1.40/32840 (192.168.1.40/32840) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from INSIDE:192.168.1.40/32840 (192.168.1.40/32840) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32840 (192.168.1.40/32840)

De LINA-opnamen tonen acht pakketten die worden verwerkt via:

firepower# show capture
capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing - 3908 bytes]
  match ip host 192.168.1.40 host 192.168.2.40
capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing - 3908 bytes]
  match ip host 192.168.1.40 host 192.168.2.40

firepower# show capture CAPI

8 packets captured

   1: 14:45:32.700021  192.168.1.40.32842 > 192.168.2.40.80: S 3195173118:3195173118(0) win 2920 <mss 1460,sackOK,timestamp 332569060 0>
   2: 14:45:32.700372  192.168.2.40.80 > 192.168.1.40.32842: S 184794124:184794124(0) ack 3195173119 win 2896 <mss 1380,sackOK,timestamp 332567732 332569060>
   3: 14:45:32.700540  192.168.1.40.32842 > 192.168.2.40.80: P 3195173119:3195173317(198) ack 184794125 win 2920 <nop,nop,timestamp 332569060 332567732>
   4: 14:45:32.700876  192.168.2.40.80 > 192.168.1.40.32842: . 184794125:184795493(1368) ack 3195173317 win 2698 <nop,nop,timestamp 332567733 332569060>
   5: 14:45:32.700922  192.168.2.40.80 > 192.168.1.40.32842: P 184795493:184796861(1368) ack 3195173317 win 2698 <nop,nop,timestamp 332567733 332569060>
   6: 14:45:32.701425  192.168.2.40.80 > 192.168.1.40.32842: FP 184810541:184810851(310) ack 3195173317 win 2698 <nop,nop,timestamp 332567733 332569061>
   7: 14:45:32.701532  192.168.1.40.32842 > 192.168.2.40.80: F 3195173317:3195173317(0) ack 184810852 win 2736 <nop,nop,timestamp 332569061 332567733>
   8: 14:45:32.701639  192.168.2.40.80 > 192.168.1.40.32842: . ack 3195173318 win 2697 <nop,nop,timestamp 332567734 332569061>

Flow-offload-statistieken van FTD geven aan dat er 22 pakketten zijn overgedragen aan HW:

firepower# show flow-offload statistics
 Packet stats of port : 0
        Tx Packet count                  :               22
        Rx Packet count                  :               22
        Dropped Packet count             :                0
        VNIC transmitted packet          :               22
        VNIC transmitted bytes           :            15308
        VNIC Dropped packets             :                0
        VNIC erroneous received          :                0
        VNIC CRC errors                  :                0
        VNIC transmit failed             :                0
        VNIC multicast received          :                0

U kunt de opdracht flow-offload tonen gebruiken om aanvullende informatie met betrekking tot de geoffloade stromen weer te geven.

firepower# show flow-offload flow
Total offloaded flow stats: 2 in use, 4 most used, 20% offloaded, 0 collisions
TCP intfc 103 src 192.168.1.40:39301 dest 192.168.2.40:20, static, timestamp 616063741, packets 33240, bytes 2326800
TCP intfc 104 src 192.168.2.40:20 dest 192.168.1.40:39301, static, timestamp 616063760, packets 249140, bytes 358263320
firepower# show conn
5 in use, 5 most used
Inspect Snort:
        preserve-connection: 1 enabled, 0 in effect, 4 most enabled, 0 most in effect

TCP OUTSIDE  192.168.2.40:21 INSIDE  192.168.1.40:40988, idle 0:00:00, bytes 723, flags UIO
TCP OUTSIDE  192.168.2.40:21 INSIDE  192.168.1.40:40980, idle 0:02:40, bytes 1086, flags UIO
TCP OUTSIDE  192.168.2.40:80 INSIDE  192.168.1.40:49442, idle 0:00:00, bytes 86348310, flags UIO N1
TCP OUTSIDE  192.168.2.40:20 INSIDE  192.168.1.40:39301, idle 0:00:00, bytes 485268628, flags Uo <- offloaded flow
TCP OUTSIDE  192.168.2.40:20 INSIDE  192.168.1.40:34713, idle 0:02:40, bytes 821799360, flags UFRIO

• Het percentage is gebaseerd op de "show conn" -uitvoer. Bijvoorbeeld, als 5 oplichters in totaal verwerken via de FTD LINA-motor en een van hen wordt gelost, wordt 20% gerapporteerd als gelost.
• De maximale limiet van offloaded sessies is afhankelijk van de softwareversie (bijvoorbeeld ASA 9.8.3 en FTD 6.2.3 ondersteunen 4 miljoen bidirectionele of 8 miljoen unidirectionele offloaded flows).
• Als het aantal geoffloade stromen de limiet bereikt (bijvoorbeeld 4 miljoen bidirectionele stromen), worden er geen nieuwe verbindingen geoffloaded totdat de huidige verbindingen uit de geoffloade tabel zijn verwijderd.

Als u alle pakketten op FP4100/9300 wilt bekijken die via FTD (offloaded + LINA) worden verwerkt, moet u het vastleggen op chassisniveau inschakelen:

De vastlegging van de backplane van het chassis toont beide richtingen. Dankzij de FXOS-opnamearchitectuur (twee opnamepunten per richting) wordt elk pakket tweemaal weergegeven:

Pakketstatistieken:

• Totaal aantal pakketten via FTD: 30
• Pakketten via FTD LINA: 8
• Pakketten geoffloaded naar SmartNIC-hardwareversneller: 22

Als het platform anders is dan FP4100/FP9300 en alle pakketten worden behandeld door de LINA-motor omdat de flow-offload niet wordt ondersteund (let op de afwezigheid van de o-vlag):

FP2100-6# show conn addr 192.168.1.40
33 in use, 123 most used
Inspect Snort:
        preserve-connection: 0 enabled, 0 in effect, 2 most enabled, 0 most in effect

TCP OUTSIDE  192.168.2.40:80 INSIDE  192.168.1.40:50890, idle 0:00:09, bytes 175, flags UxIO

De LINA-syslogs tonen alleen de gebeurtenissen voor het instellen en beëindigen van de verbinding:

FP2100-6# show log | i 192.168.2.40
Jun 21 2020 14:29:44: %FTD-6-302013: Built inbound TCP connection 6914 for INSIDE:192.168.1.40/50900 (192.168.11.101/50900) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Jun 21 2020 14:30:30: %FTD-6-302014: Teardown TCP connection 6914 for INSIDE:192.168.1.40/50900 to OUTSIDE:192.168.2.40/80 duration 0:00:46 bytes 565 TCP FINs from OUTSIDE

Use cases  

• Gebruik de actie Voorfilter snelpad als u de snurkinspectie volledig wilt omzeilen. U wilt dit meestal doen voor grote vetstromen die u vertrouwt, zoals back-ups of database-overdrachten.
• Op FP4100/9300 toestellen triggert de Fastpath actie flow-offloads en slechts een paar pakketten verwerken via de FTD LINA engine. De overige worden afgehandeld door SmartNIC, waardoor de latentie wordt verminderd

Fastpath-actie van voorfilterbeleid (inline-set)

Als een Prefilter Policy Fastpath-actie wordt toegepast op verkeer dat door een inline-set (NGIPS-interfaces) gaat, moeten deze punten in aanmerking worden genomen:

• De regel wordt toegepast op de LINA-engine als een trust action.
• De flow wordt niet geïnspecteerd door de Snort-engine.
• Flow offload (HW-versnelling) treedt niet op omdat de flow offload niet van toepassing is op NGIPS-interfaces.

Raadpleeg het traceren van pakketten in het geval van de actie Prefilter Fastpath die is toegepast op een inline-set:

firepower# packet-tracer input inside tcp 192.168.1.40 12345 192.168.1.50 80 detailed

Phase: 1
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services will be applied
Forward Flow based lookup yields rule:
in id=0x2ad7ac48b330, priority=501, domain=ips-mode, deny=false
hits=2, user_data=0x2ad80d54abd0, cs_id=0x0, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
input_ifc=inside, output_ifc=any

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip object 192.168.1.0 object 192.168.1.0 rule-id 268438531 event-log flow-end
access-list CSM_FW_ACL_ remark rule-id 268438531: PREFILTER POLICY: PF1
access-list CSM_FW_ACL_ remark rule-id 268438531: RULE: 1
Additional Information:
Forward Flow based lookup yields rule:
in id=0x2ad9f9f8a7f0, priority=12, domain=permit, trust
hits=1, user_data=0x2ad9b23c5d40, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any
dst ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any, vlan=0, dscp=0x0
input_ifc=any, output_ifc=any

Phase: 3
Type: NGIPS-EGRESS-INTERFACE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
Ingress interface inside is in NGIPS inline mode.
Egress interface outside is determined by inline-set configuration

Phase: 4
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 7, packet dispatched to next module
Module information for forward flow ...
snp_fp_ips_tcp_state_track_lite
snp_fp_ips_mode_adj
snp_fp_tracer_drop
snp_ifc_stat

Module information for reverse flow ...
snp_fp_ips_tcp_state_track_lite
snp_fp_ips_mode_adj
snp_fp_tracer_drop
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
Action: allow

Afbeelding van de visuele weergave van het pakketpad:

Fastpath-actie van voorfilterbeleid (inline-set met tap-modus)

Dit is hetzelfde als de Inline-Set case.

Analyze-actie van voorfilterbeleid

Scenario 1. Voorfilter analyseren met ACP-blokregel

Controleer het voorfilterbeleid dat de regel Analyseren bevat:

De ACP bevat alleen de standaardregel die is ingesteld om Alle verkeer te blokkeren:

Het geïmplementeerde beleid in de FTD Snort-engine (bestand ngfw.rules):

# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268435460 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any  (tunnel -1)
268435459 allow any any  1025-65535 any any  3544 any 17  (tunnel -1)
268435459 allow any any  3544 any any  1025-65535 any 17  (tunnel -1)
268435459 allow any any  any any any  any any 47  (tunnel -1)
268435459 allow any any  any any any  any any 41  (tunnel -1)
268435459 allow any any  any any any  any any 4  (tunnel -1)
# End of tunnel and priority rules.
# Start of AC rule.
268435458 deny any any  any any any  any any any  (log dcforward flowstart)
# End of AC rule.

Het beleid dat in de FTD LINA-engine is geïmplementeerd:

access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt=0) 0xb788b786

Gedrag controleren

De packet-tracer geeft aan dat het pakket is toegestaan door LINA, het wordt doorgestuurd naar de Snort-engine (vanwege de vergunningsactie) en de Snort-engine geeft een blokvonnis als de standaardactie van de AC is afgestemd.

Opmerking: Snort evalueert het verkeer niet op basis van tunnelregels.

Wanneer u een pakket traceert, onthult dit hetzelfde resultaat:

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached

…
Phase: 14
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 8, icmpCode 0
Firewall: block rule, id 268435458, drop
Snort: processed decoder alerts or actions queue, drop
NAP id 1, IPS id 0, Verdict BLOCKLIST, Blocked by Firewall
Snort Verdict: (block-list) block list this flow

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (firewall) Blocked by the firewall preprocessor

Scenario 2. Voorfilter analyseren met ACS-machtigingsregel

Als het doel is om het pakket door FTD te laten gaan, moet u een regel in ACP toevoegen. De actie kan Toestaan of Vertrouwen zijn, afhankelijk van het doel (als u bijvoorbeeld een L7-inspectie wilt toepassen, moet u de actie Toestaan gebruiken):

Het beleid dat wordt geïmplementeerd in de FTD Snort-engine:

# Start of AC rule.
268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any  any any any  any any any  (log dcforward flowstart)
# End of AC rule.

In de LINA-motor:

access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt=1) 0xb788b786

Gedrag controleren

De packet-tracer toont de packet matches regel 268435460 in LINA en 268435461 in de Snort engine:

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 8, icmpCode 0
Firewall: allow rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow

Scenario 3. Voorfilter analyseren met ACS-vertrouwensregel

Raadpleeg de afbeelding Beleid voorfilter als de ACP een vertrouwensregel bevat: 

Snort:

# Start of AC rule.
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any  any any any  any any any  (log dcforward flowstart)
# End of AC rule.

LINA:

access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt=2) 0xb788b786

Onthoud dat omdat SI standaard is ingeschakeld, de vertrouwensregel wordt geïmplementeerd als een machtigingsactie op LINA; dus een paar pakketten worden omgeleid naar de Snort-engine voor inspectie.

Gedrag controleren

De packet-tracer toont de Snort engine Permit geeft het pakket weer en offloads de resterende stroom naar LINA:

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 8, icmpCode 0
Firewall: trust/fastpath rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict PERMITLIST
Snort Verdict: (fast-forward) fast forward this flow
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow

Scenario 4. Voorfilter analyseren met ACS-vertrouwensregel

In dit scenario is de SI handmatig uitgeschakeld.

De regel wordt geïmplementeerd in Snort:

# Start of AC rule.
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any  any any any  any any any  (log dcforward flowstart)
# End of AC rule.

In LINA wordt de regel ingezet als Trust. Een pakket komt overeen met de vergunningsregel (controleer het aantal ACE-treffers) die wordt geïmplementeerd als gevolg van de regel Voorfilter analyseren en het pakket wordt geïnspecteerd door de Snort-engine:

access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt=3) 0xb788b786
...
access-list CSM_FW_ACL_ line 13 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461 event-log flow-end (hitcnt=0) 0x5c1346d6
...
access-list CSM_FW_ACL_ line 16 advanced deny ip any any rule-id 268435458 event-log flow-start (hitcnt=0) 0x97aa021a

Gedrag controleren

firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
 This packet will be sent to snort for additional processing where a verdict will be reached
...
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997, icmpType 8, icmpCode 0
Firewall: trust/fastpath rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict PERMITLIST
Snort Verdict: (fast-forward) fast forward this flow
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow

Hoofdpunten

• De Analyse-actie wordt als vergunningsregel geïmplementeerd in de LINA-engine. Dit heeft een effect op het pakket dat naar de Snort-motor wordt doorgestuurd voor inspectie.
• De Analyse-actie implementeert geen regel in de Snort-engine. U moet ervoor zorgen dat u een regel in ACP configureert die overeenkomt in Snort.
• Afhankelijk van de ACP-regel die wordt geïmplementeerd in Snort (blok versus toestaan versus snelpad), zijn geen, alle of een paar pakketten toegestaan door Snort.

Use cases 

• Een use case van Analyse actie is wanneer u een brede Fastpath regel in het Prefilter beleid en u wilt een aantal uitzonderingen voor specifieke stromen, zodat ze worden geïnspecteerd door Snort.

Monitor-actie van ACP

Een monitorregel geconfigureerd in de FMC UI:

De monitorregel wordt toegepast op de FTD LINA-engine als vergunningsmaatregel en op de Snort-engine als controle-maatregel:

firepower# show access-list
…
access-list CSM_FW_ACL_ line 10 advanced permit ip 192.168.10.0 255.255.255.0 192.168.11.0 255.255.255.0 rule-id 268438863 (hitcnt=0) 0x61bbaf0c

De Snort-regel:

admin@firepower:~$ cat /var/sf/detection_engines/9e080e5c-adc3-11ea-9d37-44884cf7e9ba/ngfw.rules
…
# Start of AC rule.
268438863 audit any 192.168.10.0 24 any any 192.168.11.0 24 any any any (log dcforward flowend)
# End rule 268438863

Hoofdpunten

• De monitorregel laat geen verkeer vallen of toestaan, maar genereert wel een verbindingsgebeurtenis. Het pakket wordt gecontroleerd aan de hand van de volgende regels en is toegestaan of weggelaten.
• De FMC Connection Events laten zien dat het pakket aan twee regels voldoet:

De traceringsuitvoer voor systeemondersteuning laat zien dat pakketten aan beide regels voldoen:

> system support trace

Enable firewall-engine-debug too? [n]: y
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.10.50
Please specify a client port:
Please specify a server IP address: 192.168.11.50
Please specify a server port:
Monitoring packet tracer and firewall debug messages


192.168.10.50-41922 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, SYN, seq 419031630
192.168.10.50-41922 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: new snort session
192.168.10.50-41922 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.50-41922 > 192.168.11.50-80 6 AS 1-1 I 19 new firewall session
192.168.10.50-41922 > 192.168.11.50-80 6 AS 1-1 I 19 Starting AC with minimum 2, 'Monitor_Rule', and IPProto first with zone           s -1 -> -1, geo 0 -> 0, vlan 0, source sgt type: 0, source sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest sgt tag: 0,            svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.10.50-41922 > 192.168.11.50-80 6 AS 1-1 I 19 match rule order 2, 'Monitor_Rule', action Audit
192.168.10.50-41922 > 192.168.11.50-80 6 AS 1-1 I 19 match rule order 3, 'trust_L3-L4', action Trust
192.168.10.50-41922 > 192.168.11.50-80 6 AS 1-1 I 19 MidRecovery data sent for rule id: 268438858,rule_action:3, rev id:1078           02206, rule_match flag:0x2

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik zijn.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

Use cases 

Gebruikt om netwerkactiviteit te controleren en een verbindingsgebeurtenis te genereren.

Interactive Block-actie van ACP

Een Interactive Block-regel geconfigureerd in de FMC UI:

De Interactive Block-regel wordt geïmplementeerd op de FTD LINA-engine als een machtigingsactie en op de Snort-engine als een bypass-regel:

firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268438864: L7 RULE: Inter-Block-Rule1
access-list CSM_FW_ACL_ line 10 advanced permit tcp 192.168.10.0 255.255.255.0 host 192.168.11.50 eq www rule-id 268438864 (hitcnt=3) 0xba785fc0
access-list CSM_FW_ACL_ line 11 remark rule-id 268438865: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ line 12 remark rule-id 268438865: L7 RULE: Inter-Block_Rule2
access-list CSM_FW_ACL_ line 13 advanced permit ip 192.168.10.0 255.255.255.0 host 192.168.11.51 rule-id 268438865 (hitcnt=0) 0x622350d0

Snort-engine:

admin@firepower:~$ cat /var/sf/detection_engines/9e080e5c-adc3-11ea-9d37-44884cf7e9ba/ngfw.rules
…
# Start of AC rule.
268438864 bypass any 192.168.10.0 24 any any 192.168.11.50 32 80 any 6
# End rule 268438864
268438865 bypass any 192.168.10.0 24 any any 192.168.11.51 32 any any any (appid 676:1) (ip_protos 6, 17)
# End rule 268438865

De Interactive Block-regel laat de gebruiker weten dat de bestemming verboden is:

Standaard kunt u met de firewall het blok gedurende 600 seconden omzeilen:

In de uitvoer voor systeemondersteuning ziet u dat de firewall in eerste instantie het verkeer blokkeert en de blokpagina toont:

> system support trace
…
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 983273680, ack 2014879580
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service HTTP (676), application unknown (0)
192.168.10.52-58717 > 192.168.11.50-80 6 AS 1-1 I 22 Starting AC with minimum 2, 'Inter-Block-Rule1', and IPProto first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, source sgt type: 0, sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest_sgt_tag: 0, svc 676, payload 0, client 589, misc 0, user 9999997, min url-cat-list 0-0-0, url http://192.168.11.50/, xff
192.168.10.52-58717 > 192.168.11.50-80 6 AS 1-1 I 22 match rule order 2, 'Inter-Block-Rule1', action Interactive
192.168.10.52-58717 > 192.168.11.50-80 6 AS 1-1 I 22 bypass action sending HTTP interactive response of 1093 bytes
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: interactive block rule, 'Inter-Block-Rule1', drop
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: processed decoder alerts or actions queue, drop
192.168.10.52-58717 > 192.168.11.50-80 6 AS 1-1 I 22 deleting firewall session flags = 0x800, fwFlags = 0x1002
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 22, NAP id 1, IPS id 0, Verdict BLACKLIST
192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Blocked by Firewall
Verdict reason is sent to DAQ

Zodra de gebruiker Doorgaan selecteert (of de browserpagina vernieuwt), toont het foutopsporingsbericht dat de pakketten zijn toegestaan volgens dezelfde regel, die een actie Toestaan nabootst:

192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 1357413630, ack 2607625293
192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service HTTP (676), application unknown (0)
192.168.10.52-58718 > 192.168.11.50-80 6 AS 1-1 I 8 Starting AC with minimum 2, 'Inter-Block-Rule1', and IPProto first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, source sgt type: 0, sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest_sgt_tag: 0, svc 676, payload 0, client 589, misc 0, user 9999997, min url-cat-list 0-0-0, url http://192.168.11.50/, xff
192.168.10.52-58718 > 192.168.11.50-80 6 AS 1-1 I 8 match rule order 2, 'Inter-Block-Rule1', action Interactive
192.168.10.52-58718 > 192.168.11.50-80 6 AS 1-1 I 8 bypass action interactive bypass
192.168.10.52-58718 > 192.168.11.50-80 6 AS 1-1 I 8 allow action
192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: allow rule, 'Inter-Block-Rule1', allow
192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: interactive bypass rule, 'Inter-Block-Rule1', allow
192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 8, NAP id 1, IPS id 0, Verdict PASS

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

Use cases 

Toon een waarschuwingspagina aan webgebruikers en geef ze de optie om door te gaan.

Interactive Block with reset-actie van ACP

Een Interactive Block with reset-regel geconfigureerd in de FMC UI:

Het interactieve blok met een resetregel wordt op de FTD LINA-engine geïmplementeerd als een machtigingsactie en op de Snort-engine als een interestregel:

firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268438864: L7 RULE: Inter-Block-Rule1
access-list CSM_FW_ACL_ line 10 advanced permit tcp 192.168.10.0 255.255.255.0 host 192.168.11.50 eq www rule-id 268438864 (hitcnt=13) 0xba785fc0
access-list CSM_FW_ACL_ line 11 remark rule-id 268438865: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ line 12 remark rule-id 268438865: L7 RULE: Inter-Block_Rule2
access-list CSM_FW_ACL_ line 13 advanced permit ip 192.168.10.0 255.255.255.0 host 192.168.11.51 rule-id 268438865 (hitcnt=0) 0x622350d0

Snort-engine:

# Start of AC rule.
268438864 intreset any 192.168.10.0 24 any any 192.168.11.50 32 80 any 6
# End rule 268438864
268438865 intreset any 192.168.10.0 24 any any 192.168.11.51 32 any any any (appid 676:1) (ip_protos 6, 17)
# End rule 268438865

Net als bij het blokkeren met resetten, kan de gebruiker de optie Doorgaan selecteren:

In het foutopsporingsvenster Snort wordt de actie weergegeven in Interactieve reset.

Let op: U moet de systeemondersteuningsopdrachten gebruiken onder leiding van Cisco-ondersteuning, met uitzondering van de opdrachten die zijn beschreven in de handleiding voor systeemondersteuning ssl-client-hello-opdrachten, die voor algemeen gebruik is.

Gebruik daarnaast altijd de juiste filters en laat de opdracht niet voor onbepaalde tijd draaien, omdat dit de prestaties van het apparaat kan beïnvloeden.

> system support trace

Enable firewall-engine-debug too? [n]: y
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.10.52
Please specify a client port:
Please specify a server IP address: 192.168.11.50
Please specify a server port:
Monitoring packet tracer and firewall debug messages


192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, SYN, seq 3232128039
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Session: new snort session
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 new firewall session
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 Starting AC with minimum 2, 'Inter-Block-Rule1', and IPProto first with zones -1 -> -1, geo 0 -> 0, vlan 0, source sgt type: 0, source sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest sgt tag: 0, svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 match rule order 2, 'Inter-Block-Rule1', action Interactive Reset
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 MidRecovery data sent for rule id: 268438864,rule_action:8, rev id:1099034206, rule_match flag:0x0
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 HitCount data sent for rule id: 268438864,
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS

192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 Packet: TCP, SYN, ACK, seq 2228213518, ack 3232128040
192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS

192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 3232128040, ack 2228213519
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service unknown (0), application unknown (0)
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS

192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 3232128040, ack 2228213519
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service HTTP (676), application unknown (0)
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 Starting AC with minimum 2, 'Inter-Block-Rule1', and IPProto first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, source sgt type: 0, sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest_sgt_tag: 0, svc 676, payload 0, client 589, misc 0, user 9999997, min url-cat-list 0-0-0, url http://192.168.11.50/, xff
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 match rule order 2, 'Inter-Block-Rule1', action Interactive Reset
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 bypass action sending HTTP interactive response of 1093 bytes
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: interactive block rule, 'Inter-Block-Rule1', drop
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: processed decoder alerts or actions queue, drop
192.168.10.52-58958 > 192.168.11.50-80 6 AS 1-1 I 24 deleting firewall session flags = 0x800, fwFlags = 0x1002
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict BLACKLIST
192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Blocked by Firewall
Verdict reason is sent to DAQ

De blokpagina wordt getoond aan de eindgebruiker. Als de gebruiker Doorgaan selecteert (of de webpagina vernieuwt), komt dezelfde regel overeen, waardoor het verkeer door:

192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 1593478294, ack 3135589307
192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: service HTTP (676), application unknown (0)
192.168.10.52-58962 > 192.168.11.50-80 6 AS 1-1 I 14 Starting AC with minimum 2, 'Inter-Block-Rule1', and IPProto first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, source sgt type: 0, sgt tag: 0, ISE sgt id: 0, dest sgt type: 0, ISE dest_sgt_tag: 0, svc 676, payload 0, client 589, misc 0, user 9999997, min url-cat-list 0-0-0, url http://192.168.11.50/, xff
192.168.10.52-58962 > 192.168.11.50-80 6 AS 1-1 I 14 match rule order 2, 'Inter-Block-Rule1', action Interactive Reset
192.168.10.52-58962 > 192.168.11.50-80 6 AS 1-1 I 14 bypass action interactive bypass
192.168.10.52-58962 > 192.168.11.50-80 6 AS 1-1 I 14 allow action
192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: allow rule, 'Inter-Block-Rule1', allow
192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Firewall: interactive bypass rule, 'Inter-Block-Rule1', allow
192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 14, NAP id 1, IPS id 0, Verdict PASS

192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Packet: TCP, ACK, seq 3135589307, ack 1593478786
192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 AppID: service HTTP (676), application unknown (0)
192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Firewall: allow rule, 'Inter-Block-Rule1', allow
192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Firewall: interactive bypass rule, 'Inter-Block-Rule1', allow
192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Snort id 14, NAP id 1, IPS id 0, Verdict PASS

De Interactive Block with reset-regel stuurt een TCP RST naar niet-webverkeer:

firepower# show cap CAPI | i 11.50
   2: 22:13:33.112954       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: S 3109534920:3109534920(0) win 29200 <mss 1460,sackOK,timestamp 3745225378 0,nop,wscale 7>
   3: 22:13:33.113626       802.1Q vlan#202 P0 192.168.11.50.21 > 192.168.10.50.40010: S 3422362500:3422362500(0) ack 3109534921 win 8192 <mss 1380,nop,wscale 8,sackOK,timestamp 53252448 3745225378>
   4: 22:13:33.113824       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: . ack 3422362501 win 229 <nop,nop,timestamp 3745225379 53252448>
   5: 22:13:33.114953       802.1Q vlan#202 P0 192.168.11.50.21 > 192.168.10.50.40010: P 3422362501:3422362543(42) ack 3109534921 win 256 <nop,nop,timestamp 53252448 3745225379>
   6: 22:13:33.114984       802.1Q vlan#202 P0 192.168.11.50.21 > 192.168.10.50.40010: P 3422362543:3422362549(6) ack 3109534921 win 256 <nop,nop,timestamp 53252448 3745225379>
   7: 22:13:33.114984       802.1Q vlan#202 P0 192.168.11.50.21 > 192.168.10.50.40010: P 3422362549:3422362570(21) ack 3109534921 win 256 <nop,nop,timestamp 53252448 3745225379>
   8: 22:13:33.115182       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: . ack 3422362543 win 229 <nop,nop,timestamp 3745225381 53252448>
   9: 22:13:33.115411       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: . ack 3422362549 win 229 <nop,nop,timestamp 3745225381 53252448>
  10: 22:13:33.115426       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: . ack 3422362570 win 229 <nop,nop,timestamp 3745225381 53252448>
  12: 22:13:34.803699       802.1Q vlan#202 P0 192.168.10.50.40010 > 192.168.11.50.21: P 3109534921:3109534931(10) ack 3422362570 win 229 <nop,nop,timestamp 3745227069 53252448>
  13: 22:13:34.804523       802.1Q vlan#202 P0 192.168.11.50.21 > 192.168.10.50.40010: R 3422362570:3422362570(0) ack 3109534931 win 0

Secundaire FTD-verbindingen en speldenpoelen

In oudere versies (bijvoorbeeld 6.2.2, 6.2.3) opent de Snort-engine geen pingaten voor secundaire verbindingen (bijvoorbeeld FTD Data) of bij gebruik van de Trust-actie. In recente releases veranderde dit gedrag en de Snort-engine opent zelfs met de Trust-actie pinholes.

Richtlijnen voor FTD-regels

• Gebruik de regels Prefilter Policy Fastpath voor grote vetstromen en om de latentie door het vak te verminderen.
• Gebruik Block-regels in het voorfilter voor verkeer dat moet worden geblokkeerd op basis van L3/L4-voorwaarden.
• Gebruik ACP Trust-regels om veel Snort-controles te omzeilen, maar maak nog steeds gebruik van functies zoals Identity Policy, QoS, SI, Application Detection, URL Filter(s).
• Plaats regels die van invloed zijn op de prestaties van de firewall bovenaan in het toegangscontrolebeleid met behulp van deze richtlijnen:
  • Block-regels (lagen 1-4) - Block in voorfilter
  • Allow-regels (lagen 1-4) - Fastpath in voorfilter
  • Block-regels van ACP (lagen 1-4)
  • Trust-regels (lagen 1-4)
  • Block-regels (lagen 5-7 - toepassingsdetectie, URL-filtering)
  • Allow-regels (lagen 1-7 - toepassingsdetectie, URL-filtering, Intrusion Policy/File Policy)
  • Block-regel (standaardregel)

• Vermijd overmatige houtkap (log aan het begin of aan het einde; en vermijd beide tegelijkertijd)
• Houd rekening met de uitbreiding regels, om het aantal regels in LINA te controleren

firepower# show access-list | include elements
access-list CSM_FW_ACL_; 7 elements; name hash: 0x4a69e3f3

   

Samenvatting

Voorfilteracties

ACP-acties

Opmerking: Met 6.3 FTD-softwarecode kan Dynamic flow offload verbindingen ontladen die aan aanvullende criteria voldoen; bijvoorbeeld vertrouwde pakketten waarvoor Snort-inspectie vereist is. Raadpleeg het gedeelte Grote verbindingen offloaden (stromen) in de configuratiehandleiding van het Firepower Management Center voor meer informatie.

Gerelateerde informatie

• FTD-toegangscontroleregels
• FTD-voorfilter en voorfilterbeleid
• Vastleggingen van de Firepower-firewall analyseren om netwerkproblemen effectief te troubleshooten
• Werken met vastleggingen van Firepower Threat Defense (FTD) en Packet Tracer
• Logboekregistratie configureren op FTD via FMC
• Technische ondersteuning en documentatie – Cisco Systems
• Grote verbindingen overdragen

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
5.0	05-Jun-2026	Bijgewerkte alt-tekst, spelling, grammatica, zinsstructuur, spatiëring.
4.0	24-Mar-2025	Een waarschuwing toegevoegd over het gebruik van 'system support trace'
3.0	16-Aug-2024	Bijgewerkte opmaak, stijlvereisten en grammatica.
2.0	29-Sep-2022	Bijgewerkt voor machinevertaling, stijlvereisten, achtergronden, SEO, vooringenomen taal en grammatica.
1.0	19-Oct-2017	Eerste vrijgave