FirePOWER Management Center zeigt einige TCP-Verbindungsereignisse in die falsche Richtung an.

Download-Optionen

  • PDF     (616.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (494.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (356.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. August 2024
Dokument-ID:210884

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Gründe und Schritte zur Risikominimierung für FirePOWER Management Center (FMC) beschrieben, die TCP-Verbindungsereignisse in umgekehrter Richtung anzeigen, wobei die Initiator-IP die Server-IP der TCP-Verbindung und die Responder-IP die Client-IP der TCP-Verbindung ist.

    Hinweis: Es gibt mehrere Gründe für das Auftreten solcher Ereignisse. In diesem Dokument wird die häufigste Ursache für dieses Symptom erläutert.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • FirePOWER-Technologie
    • Grundkenntnisse der Adaptive Security Appliance (ASA)
    • Verständnis des TCP-Timing-Mechanismus (Transmission Control Protocol)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ASA Firepower Threat Defense (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) mit Softwareversion 6.0.1 und höher
    • ASA Firepower Threat Defense (5512-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, FP9300, FP4100) mit Softwareversion 6.0.1 und höher
    • ASA mit FirePOWER-Modulen (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 55555 5-X, ASA 5585-X) mit Softwareversionen 6.0.0 und höher 
    • FirePOWER Management Center (FMC) Version 6.0.0 und höher 

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle in diesem Dokument verwendeten Geräte begannen mit einer klaren (Standard-) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

      

    Hintergrund

    Bei einer TCP-Verbindung bezieht sich der Client auf die IP-Adresse, die das ursprüngliche Paket sendet. Das FirePOWER Management Center generiert ein Verbindungsereignis, wenn das verwaltete Gerät (Sensor oder FTD) das ursprüngliche TCP-Paket einer Verbindung erkennt.

    Für Geräte, die den Status einer TCP-Verbindung verfolgen, wurde ein Leerlaufzeitüberschreitungswert definiert, um sicherzustellen, dass Verbindungen, die irrtümlicherweise nicht durch Endpunkte geschlossen werden, den verfügbaren Speicher über lange Zeiträume nicht nutzen. Der Timeout für inaktive Verbindungen beträgt bei FirePOWER standardmäßig drei Minuten. Eine TCP-Verbindung, die mindestens drei Minuten lang inaktiv war, wird vom FirePOWER IPS-Sensor nicht überwacht.

    Das nachfolgende Paket nach dem Timeout wird als neuer TCP-Flow behandelt, und die Weiterleitungsentscheidung wird gemäß der Regel getroffen, die zu diesem Paket passt. Wenn das Paket vom Server stammt, wird die IP-Adresse des Servers als Initiator dieses neuen Datenflusses aufgezeichnet. Wenn die Protokollierung für die Regel aktiviert ist, wird im FirePOWER Management Center ein Verbindungsereignis generiert.

    Hinweis: Entsprechend den konfigurierten Richtlinien unterscheidet sich die Weiterleitungsentscheidung für das Paket, das nach dem Timeout eintrifft, von der Entscheidung für das ursprüngliche TCP-Paket. Wenn die konfigurierte Standardaktion "Block" (Blockieren) lautet, wird das Paket verworfen.

     Ein Beispiel für dieses Symptom ist der folgende Screenshot:

    alt-tag-for-image

    Lösung

    Dieses Problem wird durch eine Erhöhung des Timeouts für TCP-Verbindungen gemildert. Um die Zeitüberschreitung zu ändern,

    1. Navigieren Sie zu Richtlinien > Zugriffskontrolle > Zugriffskontrolle.
    2. Navigieren Sie zur rechten oberen Ecke, und wählen Sie Network Access Policy (Netzwerkzugriffsrichtlinie).
      alt-tag-for-image
    3. Wählen Sie Richtlinie erstellen, wählen Sie einen Namen, und klicken Sie auf Richtlinie erstellen und bearbeiten. Ändern Sie nicht die Basisrichtlinie. alt-tag-for-image
    4. Erweitern Sie die Option Settings (Einstellungen), und wählen Sie TCP Stream Configuration (TCP-Streamkonfiguration).
    5. Navigieren Sie zum Konfigurationsabschnitt, und ändern Sie den Wert von Timeout wie gewünscht.alt-tag-for-image
    6. Navigieren Sie zu Richtlinien > Zugriffskontrolle > Zugriffskontrolle.
    7. Wählen Sie die Option Bearbeiten, um die auf das entsprechende verwaltete Gerät angewendete Richtlinie zu bearbeiten oder eine neue Richtlinie zu erstellen.alt-tag-for-image
    8. Wählen Sie die Registerkarte Erweitert in der Zugriffsrichtlinie aus.
    9. Suchen Sie den Abschnitt Netzwerkanalyse und Richtlinien für Sicherheitsrisiken, und klicken Sie auf das Symbol Bearbeiten.alt-tag-for-image
    10. Wählen Sie aus dem Dropdown-Menü der Standard-Netzwerkanalyserichtlinie die in Schritt 2 erstellte Richtlinie aus.
    11. Klicken Sie auf OK, und speichern Sie die Änderungen.
    12. Klicken Sie auf die Option Deploy (Bereitstellen), um die Richtlinien auf den relevanten verwalteten Geräten bereitzustellen.

    Vorsicht: Die zunehmende Zeitüberschreitung führt voraussichtlich zu einer höheren Speichernutzung. FirePOWER muss Datenflüsse nachverfolgen, die von Endpunkten über einen längeren Zeitraum nicht geschlossen werden. Der tatsächliche Anstieg der Speichernutzung ist für jedes einzelne Netzwerk unterschiedlich, da er davon abhängt, wie lange die TCP-Verbindungen von den Netzwerkanwendungen nicht genutzt werden.

    Schlussfolgerung

    Die Benchmarks für Leerlaufzeitüberschreitungen bei TCP-Verbindungen sind unterschiedlich. Es hängt vollständig von den verwendeten Anwendungen ab. Ein optimaler Wert muss ermittelt werden, indem beobachtet wird, wie lange Netzwerkanwendungen TCP-Verbindungen inaktiv halten. Wenn bei Problemen mit dem FirePOWER-Servicemodul auf einer Cisco ASA kein optimaler Wert abgeleitet werden kann, kann die Zeitüberschreitung angepasst werden, indem sie in Schritten bis zum Zeitüberschreitungswert der ASA erhöht wird.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    26-Aug-2024
    Links und Linktext aktualisiert.
    1.0
    12-May-2017
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Atul Singh
      Cisco TAC Engineer
    • Avinash N
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren