O FirePOWER Management Center exibe alguns eventos de conexão TCP na direção errada

Opções de download

  • PDF     (616.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (493.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (354.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de agosto de 2024
ID do documento:210884

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve os motivos e as etapas de mitigação para o FirePOWER Management Center (FMC) exibir eventos de conexão TCP na direção inversa, onde o IP do iniciador é o IP do servidor da conexão TCP e o IP do respondente é o IP do cliente da conexão TCP.

    Observação: há vários motivos para a ocorrência de tais eventos. Este documento explica a causa mais comum desse sintoma.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Tecnologia FirePOWER
    • Conhecimento básico do Adaptive Security Appliance (ASA)
    • Compreensão do mecanismo de temporização do Transmission Control Protocol (TCP)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • ASA Firepower Threat Defense (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X ) com software versão 6.0.1 e posterior
    • ASA Firepower Threat Defense (5512-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X,FP9300,FP4100) com software versão 6.0.1 e posterior
    • ASA com módulos Firepower (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) que executa as versões de software 6.0.0 e posteriores 
    • Firepower Management Center (FMC) versão 6.0.0 e posterior 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração clara (padrão). Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

      

    Background

    Em uma conexão TCP, cliente se refere ao IP que envia o pacote inicial. O FirePOWER Management Center gera um evento de conexão quando o dispositivo gerenciado (sensor ou FTD) vê o pacote TCP inicial de uma conexão.

    Os dispositivos que rastreiam o estado de uma conexão TCP têm um timeout de ociosidade definido para garantir que as conexões que não são fechadas erroneamente por endpoints não consomem a memória disponível por longos períodos de tempo. O tempo limite ocioso padrão para conexões TCP estabelecidas no FirePOWER é de três minutos. Uma conexão TCP que permaneceu ociosa por três minutos ou mais não é rastreada pelo sensor IPS FirePOWER.

    O pacote subsequente após o tempo limite é tratado como um novo fluxo TCP e a decisão de encaminhamento é tomada de acordo com a regra que corresponde a esse pacote. Quando o pacote é do servidor, o IP do servidor é registrado como o iniciador desse novo fluxo. Quando o registro estiver ativado para a regra, um evento de conexão será gerado no FirePOWER Management Center.

    Observação: de acordo com as políticas configuradas, a decisão de encaminhamento para o pacote que vem após o timeout é diferente da decisão para o pacote TCP inicial. Se a ação padrão configurada for "Bloquear", o pacote será descartado.

     Um exemplo desse sintoma é mostrado na captura de tela abaixo:

    alt-tag-for-image

    Solução

    Esse problema é atenuado pelo aumento do tempo limite das conexões TCP. Para alterar o tempo limite,

    1. Navegue até Policies > Access Control > Intrusion.
    2. Navegue até o canto superior direito e selecione Network Access Policy.
      alt-tag-for-image
    3. Selecione Create Policy, escolha um nome e clique em Create and Edit Policy. Não modifique a política base. alt-tag-for-image
    4. Expanda a opção Settings e escolha TCP Stream Configuration.
    5. Navegue até a seção de configuração e altere o valor de Timeout conforme desejado.alt-tag-for-image
    6. Navegue até Policies > Access Control > Access Control.
    7. Selecione a opção Edit para editar a política aplicada ao dispositivo gerenciado relevante ou criar uma nova política.alt-tag-for-image
    8. Selecione a guia Advanced na política de acesso.
    9. Localize a seção Análise de rede e políticas de intrusão e clique no ícone Editar.alt-tag-for-image
    10. No menu suspenso de Default Network Analysis Policy, escolha a política criada na etapa 2.
    11. Clique em OK e Salvar as alterações.
    12. Clique na opção Deploy para implantar as políticas em dispositivos gerenciados relevantes.

    Cuidado: espera-se que o aumento do tempo limite cause uma maior utilização da memória. O FirePOWER precisa rastrear os fluxos que não são fechados por endpoints por mais tempo. O aumento real na utilização da memória é diferente para cada rede exclusiva, pois depende de quanto tempo os aplicativos de rede mantêm as conexões TCP ociosas.

    Conclusão

    O benchmark de cada rede para o timeout de ociosidade das conexões TCP é diferente. Depende completamente dos aplicativos que estão em uso. Um valor ideal deve ser estabelecido observando-se por quanto tempo os aplicativos de rede mantêm as conexões TCP ociosas. Para problemas relacionados ao módulo de serviço FirePOWER em um Cisco ASA, quando um valor ideal não puder ser deduzido, o tempo limite pode ser ajustado aumentando-o em etapas até o valor de tempo limite do ASA.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    26-Aug-2024
    Links e texto de link atualizados.
    1.0
    12-May-2017
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Atul Singh
      Engenheiro do Cisco TAC
    • AvinashN
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco