Configuratie en werking van het FTD- prefilterbeleid
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Achtergrondinformatie Configureren
Voorfilter Beleidscase 1 Beleidscase 2
Task 1. Controleer het standaard voorfilterbeleid CLI (LINA)-verificatie
Task 2. Ingebundeld verkeer met tag blokkeren
Task 3. Bypass Snort Engine met Fastpath prefilter-regels Verifiëren
Problemen oplossen Gerelateerde informatie
Inleiding
In dit document worden de configuratie en werking van voorfilterbeleid (Firepower Threat Defense, FTD) beschreven.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
ASA 5506X met FTD-code 6.1.0-195
●
FireSIGHT Management Center (FMC) voor 6.1.0-195
●
Twee 3925 Cisco IOS® routers die 15.2 beelden draaien
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de
mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
Een Prefilter Policy is een optie die in versie 6.1 wordt geïntroduceerd en heeft drie belangrijke doelstellingen:
Overeenkomend verkeer op basis van zowel binnen- als buitenkant 1.
Voortijdig toegangscontrole bieden waarmee de doorstroommotor volledig kan worden omzeild
2.
Werk als plaatsaanduiding voor toegangscontrole-ingangen (ACE's) die vanaf ASA- migratiegereedschap (adaptieve security applicatie) zijn gemigreerd.
3.
Configureren
Voorfilter Beleidscase 1
Een voorfilterbeleid kan gebruik maken van een tunneltype waarmee FTD kan worden gefilterd op basis van zowel binnen- als buiten IP-headertunnelverkeer. Op het moment van schrijven verwijst tunnelverkeer naar:
Generic Routing Encapsulation (GRE)
●
IP-in-IP
●
IPv6-in-IP
●
Teredo Port 3544
●
Bekijk hier een GRE-tunnel zoals in de afbeelding.
Wanneer u van R1 aan R2 pingelt met het gebruik van een GRE-tunnel, gaat het verkeer door de Firewall zoals in het beeld weergegeven wordt.
Als de firewall een ASA apparaat is, controleert het de buitenste IP header zoals in de afbeelding.
ASA# show conn
GRE OUTSIDE 192.168.76.39:0 INSIDE 192.168.75.39:0, idle 0:00:17, bytes 520, flags
Als de firewall een FirePOWER-apparaat is, controleert u de binnenste IP-header zoals in de afbeelding wordt weergegeven.
Met pre-filter beleid kan een FTD apparaat verkeer op basis van zowel binnen- als buitenkant headers aanpassen.
Belangrijkste punt:
Apparaat Controles
ASA Buiten IP
snuiven Binnenkant IP
FTD Buiten (prefilter) + Binnenverlichting IP (Toegangscontrolebeleid (ACS))
Beleidscase 2
Een voorfilterbeleid kan een type prefilterregel gebruiken dat een vroege toegangscontrole kan bieden en een stroom kan toestaan om de snijmachine volledig te omzeilen zoals in de afbeelding wordt getoond.
Task 1. Controleer het standaard voorfilterbeleid
Taakeis:
Controleer het standaard prefilterbeleid Oplossing:
Stap 1. Navigeer naar beleid > Toegangsbeheer > prefilter. Er bestaat al een standaard prefilterbeleid, zoals in de afbeelding.
Stap 2. Selecteer Bewerken om de beleidsinstellingen zoals in de afbeelding te zien.
Stap 3. Het voorfilterbeleid is al aan het toegangscontrolbeleid gekoppeld, zoals in de afbeelding.
CLI (LINA)-verificatie
Voorfilterregels worden bovenop ACL’s toegevoegd:
firepower# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list CSM_FW_ACL_; 5 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=5) 0x52c7a066 access-list CSM_FW_ACL_ line 6 advanced permit udp any any eq 3544 rule-id 9998 (hitcnt=0) 0xcf6309bc
Task 2. Ingebundeld verkeer met tag blokkeren
Taakeis:
Blokkeer ICMP-verkeer dat in GRE-tunnel is gekanaliseerd.
Oplossing:
Stap 1. Als u deze ACS toepast, kunt u zien dat het verkeer Internet Control Message Protocol (ICMP) wordt geblokkeerd, ongeacht of het door de GRE-tunnel gaat of niet, zoals in de
afbeelding wordt getoond.
R1# ping 192.168.76.39
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.76.39, timeout is 2 seconds:
...
Success rate is 0 percent (0/5)
R1# ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
...
Success rate is 0 percent (0/5)
In dit geval kunt u een voorfilterbeleid gebruiken om aan de taakvereisten te voldoen. De logica is als volgt:
U labelt alle pakketten die in GRE zijn ingesloten.
1.
U maakt een beleid voor toegangscontrole dat overeenkomt met de gemerkte pakketten en 2.
de ICMP-blokken blokkeert.
Vanuit architectuuroogpunt worden de pakketten gecontroleerd aan de hand van de pre-filter regels van de LINA, vervolgens regels van de Snort voorfilter en ACS en tenslotte instructies van de Snort om LINA te laten vallen. Het eerste pakket maakt het door het FTD apparaat.
Stap 1. Defineer een tag voor het gekanaliseerde verkeer.
Navigeren in op beleid > Toegangsbeheer > prefilter en een nieuw prefilterbeleid maken. Onthoud dat het standaard prefilterbeleid niet kan worden bewerkt zoals in de afbeelding.
In het prefilterbeleid kunt u twee soorten regels definiëren:
Tunnelregel
●
prefilterregel
●
Je kunt deze twee zien als totaal verschillende functies die kunnen worden geconfigureerd in een prefilterbeleid.
Voor deze taak moet u een tunnelregel definiëren zoals in de afbeelding.
Met betrekking tot de acties:
Handeling Beschrijving
analyseren Na LINA wordt de stroom gecontroleerd door Snort Engine. Optioneel kan een tunneltag worden toegewezen aan het tunnelverkeer.
blokkeren De stroom wordt geblokkeerd door LINA. De buitenste kop moet worden gecontroleerd.
snelpad De stroom wordt uitsluitend door LINA afgehandeld zonder dat de kortmotor hoeft te worden ingestuurd.
Stap 2. Defineer het toegangscontrolebeleid voor het gelabelde verkeer.
Hoewel het in het begin misschien niet heel intuïtief is, kan de tunneltag worden gebruikt door een toegangscontrolelijn als bronzone. Navigeren in op beleid > Toegangsbeheer en maken een regel die ICMP voor het gelabelde verkeer zoals in de afbeelding blokkeert.
Opmerking: Het nieuwe prefilterbeleid is gekoppeld aan het toegangscontrolebeleid.
Verificatie:
Opnemen op LINA en op CLISH inschakelen:
firepower# show capture
capture CAPI type raw-data trace interface inside [Capturing - 152 bytes]
capture CAPO type raw-data trace interface outside [Capturing - 152 bytes]
> capture-traffic
Please choose domain to capture traffic from:
0 - br1 1 - Router Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options) Options: -n
Probeer vanaf R1 het GRE-tunneleindpunt op afstand te pingelen. ping mislukt:
R1# ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
...
Success rate is 0 percent (0/5)
De CLISH-opname laat zien dat het eerste echo-verzoek door de FTD ging en het antwoord geblokkeerd was:
Options: -n
18:21:07.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:
ICMP echo request, id 65, seq 0, length 80
18:21:07.759939 IP 192.168.76.39 > 192.168.75.39: GREv0, length 104: IP 10.0.0.2 > 10.0.0.1:
ICMP echo reply, id 65, seq 0, length 80
18:21:09.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:
ICMP echo request, id 65, seq 1, length 80
18:21:11.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:
ICMP echo request, id 65, seq 2, length 80
18:21:13.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:
ICMP echo request, id 65, seq 3, length 80
18:21:15.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:
ICMP echo request, id 65, seq 4, length 80
De LINA-opname bevestigt dit:
> show capture CAPI | include ip-proto-47
102: 18:21:07.767523 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 107: 18:21:09.763739 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 111: 18:21:11.763769 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 115: 18:21:13.763784 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 120: 18:21:15.763830 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104
>
> show capture CAPO | include ip-proto-47
93: 18:21:07.768133 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 94: 18:21:07.768438 192.168.76.39 > 192.168.75.39: ip-proto-47, length 104
Schakel CLISH firewall-engine-debug in, helderder LINA ASP-valtellers en doe de zelfde test. De CLISH-debug toont aan dat u bij de Echo-aanvraag de prefilterregel en bij de Echo-reactie de ACS-regel heeft overgenomen:
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 New session
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 using prefilter rule 268434441 with tunnel zone 1
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 Starting with minimum 0, id 0 and SrcZone first with zones 1 -> -1, geo 0 -> 0, vlan 0, sgt tag: 65535, svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 8, icmpCode 0
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 pending rule order 3, 'Block ICMP', AppId
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 using prefilter rule 268434441 with tunnel zone 1
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 Starting with minimum 0, id 0 and SrcZone first with zones 1 -> -1, geo 0 -> 0, vlan 0, sgt tag: 65535, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 0, icmpCode 0
10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 match rule order 3, 'Block ICMP', action Block 10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 deny action
De ASP-toets toont dat Snort de pakketten heeft laten vallen:
> show asp drop
Frame drop:
No route to host (no-route) 366
Reverse-path verify failed (rpf-violated) 2
Flow is denied by configured rule (acl-drop) 2
Snort requested to drop the frame (snort-drop) 5
In de gebeurtenissen van de Verbinding, kunt u het beleid en de Regel van het Voorfilter zien dat
u zoals in de afbeelding vond overeenkomt.
Task 3. Bypass Snort Engine met Fastpath prefilter-regels
Netwerkdiagram
Taakeis:
Verwijder de bestaande regels van het toegangscontrolbeleid en voeg een regel van het toegangscontrolbeleid toe die al het verkeer blokkeert.
1.
Configureer een prefilterbeleidsregel die de snaarmotor voor verkeer passeert en die is afgeleid van het 192.168.75.0/24 netwerk.
2.
Oplossing:
Stap 1. Toegangsbeheerbeleid dat al het verkeer blokkeert is zoals in de afbeelding.
Stap 2. Voeg een prefilterregel met Fastpath toe als een actie voor een bronnetwerk 192.168.75.0/24 zoals in de afbeelding.
Stap 3. Het resultaat is zoals in de afbeelding.
Stap 4. Opslaan en implementeren.
Opnemen met overtrekken op beide FTD-interfaces inschakelen:
firepower# capture CAPI int inside trace match icmp any any firepower# capture CAPO int outsid trace match icmp any any
Probeer door de FTD te pingelen van R1 (192.168.75.39) tot R2 (192.168.76.39). Ping mislukt:
R1# ping 192.168.76.39
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.76.39, timeout is 2 seconds:
...
Success rate is 0 percent (0/5)
Opname op de interne interfaceshows:
firepower# show capture CAPI 5 packets captured
1: 23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: echo request 2: 23:35:09.278641 192.168.75.39 > 192.168.76.39: icmp: echo request
3: 23:35:11.279251 192.168.75.39 > 192.168.76.39: icmp: echo request 4: 23:35:13.278778 192.168.75.39 > 192.168.76.39: icmp: echo request 5: 23:35:15.279282 192.168.75.39 > 192.168.76.39: icmp: echo request 5 packets shown
Overtrek van het eerste pakket (echo-request) toont (belangrijke punten gemarkeerd):
Klik om uit te vouwen
vuurkracht# toont CAPI-pakketnummer 1-spoor met opname 5 opgenomen pakketten
1: 23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: verzoek van echo Fase: 1
Type: OPVANGEN Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
MAC-toegangslijst Fase: 2
Type: TOEGANGSLIJST Subtype:
Resultaat: TOESTAAN Config:
impliciete regel
Aanvullende informatie:
MAC-toegangslijst Fase: 3
Type: ROUTELOOKUP
Subtype: Oplossen van voedingsinterface Resultaat: TOESTAAN
Config:
Aanvullende informatie:
gevonden volgende-hop 192.168.76.39 met egress ifc buiten Fase: 4
Type: TOEGANGSLIJST Subtype: logboek
Resultaat: TOESTAAN Config:
toegangsgroep CSM_FW_ACL_ global
Toegangslijst CSM_FW_ACL_ advanced trust ip 192.168.75.0 255.255.255.0 met beide regelnummers 26843448-log
toegangslijst CSM_FW_ACL_ remark regel-id 26843448: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie:
Fase: 5
Type: CONN-INSTELLINGEN Subtype:
Resultaat: TOESTAAN Config:
class-map-default gelijk maken
beleidsmatig 'global_policy' standaardinstelling van klasse
Stel een verbinding met geavanceerde opties in via UM_STATIC_TCP_MAP global_policy voor diensten
Aanvullende informatie:
Fase: 6 Type: NAT
Subtype: per sessie Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 7
Type: IP-OPTIES Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 8
Type: INSPECTEREN Subtype: np-inspectie Resultaat: TOESTAAN Config:
class-map inspectie_default
overeenkomende met standaardinspectie-verkeer beleidsmatig 'global_policy'
class inspection_default ijsvogel
global_policy voor diensten Aanvullende informatie:
Fase: 9
Type: INSPECTEREN Subtype: np-inspectie Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 10 Type: NAT
Subtype: per sessie Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 11
Type: IP-OPTIES Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 12
Type: STROOMCREATIE Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Nieuwe stroom gemaakt met id 52, pakket verzonden naar volgende module Fase: 13
Type: TOEGANGSLIJST Subtype: logboek
Resultaat: TOESTAAN Config:
toegangsgroep CSM_FW_ACL_ global
Toegangslijst CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 elk regelnummer
26843448-weblog met beide zijden
toegangslijst CSM_FW_ACL_ remark regel-id 26843448: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie:
Fase: 14
Type: CONN-INSTELLINGEN Subtype:
Resultaat: TOESTAAN Config:
class-map-default gelijk maken
beleidsmatig 'global_policy' standaardinstelling van klasse
Stel een verbinding met geavanceerde opties in via UM_STATIC_TCP_MAP global_policy voor diensten
Aanvullende informatie:
Fase: 15 Type: NAT
Subtype: per sessie Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 16
Type: IP-OPTIES Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 17
Type: ROUTELOOKUP
Subtype: Oplossen van voedingsinterface Resultaat: TOESTAAN
Config:
Aanvullende informatie:
gevonden volgende-hop 192.168.76.39 met egress ifc buiten Fase: 18
Type: AANPASSINGSLOOKUP Subtype: volgende hop en nabijheid Resultaat: TOESTAAN
Config:
Aanvullende informatie:
nabijheid Actief
Next-hop-mac-adres 0004.deab.681b hits 140372416161507 Fase: 19
Type: OPVANGEN Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
MAC-toegangslijst Resultaat:
input-interface: buiten invoerstatus: omhoog invoerregel-status: omhoog
uitvoerinterface: buiten uitvoerstatus: omhoog uitgangsstatus: omhoog Actie: toestaan
1 pakket getoond vuurkracht#
vuurkracht# toont CAPI-pakketnummer 1 overtrek 5 pakketten die opgenomen zijn 1:
23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: Aanvraag van echo Fase: 1 Type:
CAPTURE Subtype: Resultaat: Config: Aanvullende informatie: MAC Access List fase: 2 Type:
Subtype TOEGANGSLIJST: Resultaat: Config: Impliciete regel Extra informatie: MAC Access List fase: Type: ROUTE-LOOKUP-subtype: Resultaat van uitgaande interface oplossen: Config:
Aanvullende informatie: vond next-hop 192.168.76.39 met egress ifc buiten Fase: Type: Subtype TOEGANGSLIJST: Logresultaat: Config: ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 met elk regelnummer 26843448- log, beide toegangslijsten CSM_FW_remark regel-id 268434448: PREFILTERBELEID:
Prefilter_Policy1 access-list CSM_FW_ACL_ remark regel-id 26843448: REGEL:
Fastpath_src_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN-INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid-map global_policy class-class-default set connectie met geavanceerde opties UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie: Fase: Type: NAT-subtype: Resultaat per sessie: Config:
Aanvullende informatie: Fase: Type: IP-OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: Subtype INSPECT: Resultaat np-inspectie: Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class
inspection_default inspectie ICMP service-beleid global_policy global Aanvullende Informatie:
Fase: Type 9: Subtype INSPECT: Resultaat np-inspectie: Config: Aanvullende informatie: Fase:
Type: NAT-subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP- OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: STROOMCREATIE- subtype: Resultaat: Config: Aanvullende informatie: Nieuwe stroom gemaakt met id 52, pakket verzonden naar volgende modulatiefase: Type: Subtype TOEGANGSLIJST: Logresultaat: Config:
ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 met elk regelnummer 26843448-log, beide toegangslijsten CSM_FW_remark regel-id 268434448: PREFILTERBELEID: Prefilter_Policy1 access-list
CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN-INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid-map global_policy class-class-default set connectie met
geavanceerde opties UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie:
Fase: Type: NAT-subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP- OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: ROUTE-LOOKUP- subtype: Resultaat van uitgaande interface oplossen: Config: Aanvullende informatie: vond next- hop 192.168.76.39 met egress ifc buiten Fase: Type: ADJACENCY-LOOKUP subtype: Next-hop en nabijheid Resultaat: Config: Aanvullende informatie: nabijheid Active next-hop-mac-adres 0004.deab.681b-hits 140372416161507 fase: Type: CAPTURE Subtype: Resultaat: Config:
Aanvullende informatie: Resultaat MAC-toegangslijst: input-interface: externe invoerstatus:
invoerstatus omhoog: uitvoerinterface: buiten de uitvoerstatus: status omhoog uitvoerlijn: Actie op:
1 pakje weergegeven vuurkracht#
Opname op de externe interfaceshows:
firepower# show capture CAPO 10 packets captured
1: 23:35:07.282044 192.168.75.39 > 192.168.76.39: icmp: echo request 2: 23:35:07.282227 192.168.76.39 > 192.168.75.39: icmp: echo reply 3: 23:35:09.278717 192.168.75.39 > 192.168.76.39: icmp: echo request 4: 23:35:09.278962 192.168.76.39 > 192.168.75.39: icmp: echo reply 5: 23:35:11.279343 192.168.75.39 > 192.168.76.39: icmp: echo request 6: 23:35:11.279541 192.168.76.39 > 192.168.75.39: icmp: echo reply 7: 23:35:13.278870 192.168.75.39 > 192.168.76.39: icmp: echo request 8: 23:35:13.279023 192.168.76.39 > 192.168.75.39: icmp: echo reply 9: 23:35:15.279373 192.168.75.39 > 192.168.76.39: icmp: echo request 10: 23:35:15.279541 192.168.76.39 > 192.168.75.39: icmp: echo reply 10 packets shown
Trace van het retourpakket geeft aan dat het overeenkomt met de bestaande stroom (52), maar het is geblokkeerd door ACL:
firepower# show capture CAPO packet-number 2 trace 10 packets captured
2: 23:35:07.282227 192.168.76.39 > 192.168.75.39: icmp: echo reply Phase: 1
Type: CAPTURE Subtype:
Result: ALLOW Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST Subtype:
Result: ALLOW Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: FLOW-LOOKUP Subtype:
Result: ALLOW Config:
Additional Information:
Found flow with id 52, using existing flow
Phase: 4
Type: ACCESS-LIST Subtype: log Result: DROP Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268434432 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268434432: ACCESS POLICY: ACP_5506-1 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268434432: L4 RULE: DEFAULT ACTION RULE
Additional Information:
Result:
input-interface: outside input-status: up
input-line-status: up Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Stap 5. Voeg nog één prefilterregel toe voor het retourverkeer. Het resultaat is zoals in de afbeelding weergegeven.
Vind nu het retourpakket dat u ziet (belangrijke onderstreepte punten):
Klik om uit te vouwen
vuurkracht# tonen CAPO pakje-nummer 2 sporen 10 gevangen pakketten
2: 00:01:38.873123 192.168.76.39 > 192.168.75.39: icmp: weerwoord Fase: 1
Type: OPVANGEN Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
MAC-toegangslijst Fase: 2
Type: TOEGANGSLIJST Subtype:
Resultaat: TOESTAAN Config:
impliciete regel
Aanvullende informatie:
MAC-toegangslijst Fase: 3
Type: STROOMLOOP Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Vond flow met id62, gebruik makend van bestaande stroom Fase: 4
Type: TOEGANGSLIJST Subtype: logboek
Resultaat: TOESTAAN Config:
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 regelid 26843450- log, beide
toegangslijst CSM_FW_ACL_ remark regel-id 26843450: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843450: REGEL: Fastpath_dst_192.168.75.0/24 Aanvullende informatie:
Fase: 5
Type: CONN-INSTELLINGEN Subtype:
Resultaat: TOESTAAN Config:
class-map-default gelijk maken
beleidsmatig 'global_policy' standaardinstelling van klasse
Stel een verbinding met geavanceerde opties in via UM_STATIC_TCP_MAP global_policy voor diensten
Aanvullende informatie:
Fase: 6 Type: NAT
Subtype: per sessie Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 7
Type: IP-OPTIES Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
Fase: 8
Type: ROUTELOOKUP
Subtype: Oplossen van voedingsinterface Resultaat: TOESTAAN
Config:
Aanvullende informatie:
gevonden volgende-hop 192.168.75.39 met egress ifc binnenin Fase: 9
Type: AANPASSINGSLOOKUP Subtype: volgende hop en nabijheid
Resultaat: TOESTAAN Config:
Aanvullende informatie:
nabijheid Actief
Next-hop-mac-adres c84c.758d.4981 hits 1403767112802 Fase: 10
Type: OPVANGEN Subtype:
Resultaat: TOESTAAN Config:
Aanvullende informatie:
MAC-toegangslijst Resultaat:
input-interface: binnenkant invoerstatus: omhoog invoerregel-status: omhoog uitvoerinterface: binnenkant uitvoerstatus: omhoog uitgangsstatus: omhoog Actie: toestaan
vuurkracht# toont CAPO pakketnummer 2 sporen 10 pakketten die opgenomen zijn 2:
00:01:38.873123 192.168.76.39 > 192.168.75.39: icmp: antwoordfase echo: 1 Type: CAPTURE Subtype: Resultaat: Config: Aanvullende informatie: MAC Access List fase: 2 Type: Subtype TOEGANGSLIJST: Resultaat: Config: Impliciete regel Extra informatie: MAC Access List fase:
Type: STROOMLOOKUP-subtype: Resultaat: Config: Aanvullende informatie: Vond flow met id62, gebruik makend van bestaande stroomfase: Type: Subtype TOEGANGSLIJST: Logresultaat:
Config: ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 regelid 26843450-log beide access-list CSM_FW_remark regel-id 268434450: PREFILTERBELEID: Prefilter_Policy1 access-list CSM_FW_ACL_ remark regel-id 26843450: REGEL: Fastpath_dst_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN- INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid- map global_policy class-class-default set connectie met geavanceerde opties
UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie: Fase: Type: NAT-
subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP-OPTIES - subtype:
Resultaat: Config: Aanvullende informatie: Fase: Type: ROUTE-LOOKUP-subtype: Resultaat van uitgaande interface oplossen: Config: Aanvullende informatie: vond next-hop 192.168.75.39 met egress ifc binnenin fase: Type 9: ADJACENCY-LOOKUP subtype: Next-hop en nabijheid
Resultaat: Config: Aanvullende informatie: nabijheid Active next-hop-mac-adres c84c.758d.4981 hits 1403767112802 fase: Type: CAPTURE Subtype: Resultaat: Config: Aanvullende informatie:
Resultaat MAC-toegangslijst: input-interface: invoerstatus: invoerstatus omhoog: uitvoerinterface:
binnenin uitvoerstatus: status omhoog uitvoerlijn: Actie op: toestaan
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
De verificatie is in de respectieve taakdelen toegelicht.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
Alle versies van de Cisco Firepower Management Center-configuratiehandleiding zijn hier te vinden:
●
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower- roadmap.html#id_47280
Cisco Global Technical Assistance Center (TAC) raadt deze visuele handleiding voor diepgaande praktische kennis van Cisco Firepower Next-generation security technologieën aan, inclusief de technologieën die in dit artikel worden genoemd:
●
http://www.ciscopress.com/title/9781587144806
TechNotes over configuratie en probleemoplossing:
●
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series- home.html
Technische ondersteuning en documentatie – Cisco Systems
●