Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Cet article fait partie d'une série d'articles qui expliquent comment dépanner systématiquement le chemin de données sur les systèmes Firepower pour déterminer si les composants de Firepower peuvent affecter le trafic. Reportez-vous à l'article Présentation pour obtenir des informations sur l'architecture des plates-formes Firepower et des liens vers les autres articles de dépannage du chemin de données.
Cet article couvre la cinquième étape du dépannage du chemin de données Firepower, la fonction de stratégie SSL (Secure Sockets Layer).
Des étapes spécifiques peuvent être suivies pour aider à comprendre pourquoi la stratégie SSL peut abandonner le trafic qui est censé être autorisé.
Si la stratégie SSL est suspectée de provoquer des problèmes de trafic, la première place à vérifier est la section Événements de connexion (sous Analyse > Connexions > Événements) après avoir activé tous les champs SSL, comme indiqué ci-dessus.
Si la stratégie SSL bloque le trafic, le champ Motif affiche « Bloquer SSL ». La colonne Erreur de flux SSL contient des informations utiles sur la raison pour laquelle le blocage s'est produit. Les autres champs SSL contiennent des informations sur les données SSL détectées par Firepower dans le flux.
Ces données peuvent être fournies au centre d'assistance technique Cisco (TAC) lors de l'ouverture d'un dossier pour la politique SSL. Pour exporter facilement ces informations, vous pouvez utiliser le bouton Concepteur de rapports situé dans le coin supérieur droit.
Si vous cliquez sur ce bouton dans la section Événements de connexion, les filtres et les options de fenêtre de temps sont copiés automatiquement dans le modèle de rapport.
Assurez-vous que tous les champs SSL mentionnés sont ajoutés à la section 'Champ'.
Cliquez sur Generate pour créer un rapport au format PDF ou CSV.
Si les événements de connexion ne contiennent pas suffisamment d'informations sur le flux, le débogage SSL peut être exécuté sur l'interface de ligne de commande (CLI) de Firepower.
Note: Tout le contenu de débogage ci-dessous est basé sur le déchiffrement SSL qui se produit dans le logiciel sur l'architecture x86. Ce contenu n'inclut pas les débogages des fonctionnalités de déchargement matériel SSL qui ont été ajoutées dans la version 6.2.3 et ultérieures, qui sont différentes.
Note: Sur les plates-formes Firepower 9300 et 4100, le shell en question est accessible via les commandes suivantes :
# connexion du module 1 console
Firepower-module1> connect ftd
>
Pour les instances multiples, l'interface de ligne de commande du périphérique logique est accessible à l'aide des commandes suivantes.
# connect module 1 telnet
Firepower-module1> connect ftd ftd1
Connexion à la console du conteneur ftd(ftd1)... Entrez « exit » pour revenir à l'interface de ligne de commande de démarrage.
>
La commande system support ssl-debug debug_policy_all peut être exécutée pour générer des informations de débogage pour chaque flux traité par la stratégie SSL.
Attention : Le processus Snort doit être redémarré avant et après l'exécution du débogage SSL, ce qui peut entraîner l'abandon de quelques paquets en fonction des stratégies Snort down et du déploiement utilisé. Le trafic TCP sera retransmis, mais le trafic UDP peut être affecté de manière négative si les applications passant par le pare-feu ne tolèrent pas une perte minimale de paquets.
Avertissement : N'oubliez pas de désactiver le débogage après la collecte des données nécessaires à l'aide de la commande system support ssl-debug-reset.
Il y aura un fichier écrit pour chaque processus Snort exécuté sur le périphérique Firepower. L'emplacement des fichiers sera le suivant :
Voici quelques-uns des champs utiles dans les journaux de débogage.
Note: Si une erreur de déchiffrement survient après le déchiffrement de Firepower, le trafic doit être abandonné car le pare-feu a déjà modifié/mis en place la session, de sorte qu'il n'est pas possible pour le client et le serveur de reprendre la communication car ils ont différentes piles TCP ainsi que différentes clés de chiffrement utilisées dans le flux.
Les fichiers de débogage peuvent être copiés hors du périphérique Firepower à partir de l'invite > à l'aide des instructions de cet article.
Vous pouvez également utiliser une option sur le FMC dans Firepower version 6.2.0 et ultérieure. Pour accéder à cet utilitaire d'interface utilisateur sur le FMC, accédez à Périphériques > Gestion des périphériques. Cliquez ensuite sur le bouton en regard du périphérique en question, puis Dépannage avancé > Téléchargement de fichier. Vous pouvez ensuite entrer le nom d'un fichier en question et cliquer sur Télécharger.
Il est possible de collecter une capture de paquets non chiffrée pour les sessions qui sont déchiffrées par Firepower. La commande est system support debug-DAQ debug_daq_write_pcap
Attention : Le processus Snort doit être redémarré avant de générer la capture de paquets décryptée, ce qui peut entraîner l'abandon de quelques paquets. Les protocoles avec état tels que le trafic TCP sont retransmis, mais d’autres trafics, tels que le protocole UDP, peuvent être affectés de manière négative.
Attention : Avant d'envoyer une capture PCAP déchiffrée au TAC, il est recommandé de filtrer et de limiter le fichier de capture aux flux problématiques, afin d'éviter de révéler inutilement des données sensibles.
La capture de paquets peut également être évaluée pour voir si une modification Hello du client est en cours.
La capture de paquets à gauche représente le Hello du client d'origine. Celui de droite montre les paquets côté serveur. Notez que le secret principal étendu a été supprimé via la fonction CHMod dans Firepower.
Pour les règles de stratégie SSL avec l'action « Décrypter - Désigner », assurez-vous que les hôtes clients font confiance à l'autorité de certification (AC) utilisée comme autorité de certification démissionnaire. Les utilisateurs finaux ne doivent pas avoir d'indication qu'ils sont pris en charge par le pare-feu. Ils devraient faire confiance à l'AC signataire. Ceci est le plus souvent appliqué via la stratégie de groupe Active Directory (AD), mais dépend de la stratégie de l'entreprise et de l'infrastructure AD.
Pour plus d'informations, vous pouvez consulter l'article suivant, qui décrit comment créer une stratégie SSL.
Certaines mesures d'atténuation de base peuvent être suivies pour :
Dans l'exemple suivant, il a été déterminé que le trafic vers google.com est interrompu lors de l'inspection de la stratégie SSL. Une règle est ajoutée, basée sur le nom commun (CN) dans le certificat du serveur afin que le trafic vers google.com ne soit pas déchiffré.
Après avoir enregistré et déployé la stratégie, les étapes de dépannage décrites ci-dessus peuvent être suivies à nouveau pour voir ce que Firepower fait avec le trafic.
Dans certains cas, le dépannage peut révéler que Firepower rencontre un problème de déchiffrement de certains trafics. L'utilitaire de prise en charge du système ssl-client-hello-tuning peut être exécuté sur l'interface de ligne de commande pour que Firepower supprime certaines données d'un paquet Hello client.
Dans l'exemple ci-dessous, une configuration est ajoutée afin que certaines extensions TLS soient supprimées. Les ID numériques sont trouvés en recherchant des informations sur les extensions TLS et les normes.
Attention : Le processus Snort doit être redémarré avant que les modifications Hello du client ne prennent effet, ce qui peut entraîner l'abandon de quelques paquets. Les protocoles avec état tels que le trafic TCP sont retransmis, mais d’autres trafics, tels que le protocole UDP, peuvent être affectés de manière négative.
Afin de rétablir les modifications apportées aux paramètres de modification Hello du client, la commande system support ssl-client-hello-reset peut être implémentée.
Données | Instructions |
Dépannage des fichiers à partir de Firepower Management Center (FMC) et des périphériques Firepower |
http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html |
Débogues SSL | Reportez-vous à cet article pour obtenir des instructions. |
Captures de paquets de session complète (côté client, périphérique Firepower lui-même et côté serveur lorsque cela est possible) | http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/117778-technote-sourcefire-00.html |
Captures d'écran ou rapports d'événements de connexion | Reportez-vous à cet article pour obtenir des instructions. |
S'il a été déterminé que le composant Stratégie SSL n'est pas la cause du problème, l'étape suivante consiste à dépanner la fonctionnalité Authentification active.
Cliquez ici pour passer à l'article suivant.