Comprendre comment les règles Lina configurées avec les fonctionnalités Snort sont gérées

Options de téléchargement

  • PDF     (333.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (152.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (126.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:27 septembre 2022
ID du document:218196

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment les règles Lina sont déployées dans le FTD et la gestion par Lina et Snort. Ces informations sont utiles pour la gestion de la boîte de réception (FDM) et de la boîte de réception (FMC).

    Conditions préalables

    Conditions requises

    Cisco recommande de connaître ces sujets :

    • Firepower Management Center (FMC)
    • Gestionnaire de périphériques Firepower (FDM)
    • Protection virtuelle contre les menaces Firepower (FTDv) 

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • FTDv 7.0.4

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales 

    FMC est le gestionnaire off-box des périphériques Threat Defense.

    FDM est le gestionnaire des périphériques Threat Defense sur site.

    Les règles avec des fonctionnalités Snort sont déployées en tant que Permit Any Any

    Lorsque vous créez une règle avec des fonctionnalités qui sont exécutées par le côté Snort, comme la géolocalisation, le filtre URL (Universal Resource Locator), la détection d'application, etc, elles sont déployées du côté Lina comme une règle permit any any.

    À première vue, cela peut vous embrouiller et vous faire penser que le FTD autorise tout le trafic sur cette règle et arrête la vérification de la correspondance des règles pour les règles qui suivent.

    Dans cet exemple, il y a un détecteur d'application, un filtre d'URL et des règles de bloc de géolocalisation :

    rules2

    Ici, vous pouvez voir l'instruction de règle correcte avec les paramètres configurés sur l'interface utilisateur graphique comme vu sur Snort :

    access-list NGFW_ONBOX_ACL remark rule-id 268435458: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435458: L7 RULE: testappid
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435458 ifc outside any ifc inside any rule-id 268435458 
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: L7 RULE: testurl
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435459 any any rule-id 268435459 
    access-list NGFW_ONBOX_ACL remark rule-id 268435461: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435461: L5 RULE: testgeo
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435461 any any rule-id 268435461

    Voici comment les règles sont vues du côté de Snort :

    268435458 deny 1 any any 2 any any any any (appid 948:5, 1079:5) (ip_protos 6)
    # End rule 268435458
    268435459 deny any any any any any any any any (urlcat 2027) (urlrep le 0) (urlrep_unknown 1)
    268435459 deny any any any any any any any any (urlcat 2006) (urlrep le 0) (urlrep_unknown 1)
    # End rule 268435459
    268435461 deny 1 any any any any any any any (dstgeo 643)
    # End rule 268435461

    Vérifier La Manière Dont Les Règles Sont Traitées Côté Lina Et Côté Snort

    Comme la commande packet-tracer ne gère pas correctement ce genre de règles, vous devez tester ce trafic en direct avec le système support trace ou le système support firewall-engine-debug.

    Voici un exemple pour atteindre la règle de bloc de géolocalisation :

    > system support trace

    Enable firewall-engine-debug too? [n]: y
    Please specify an IP protocol: 
    Please specify a client IP address: 
     
     
    Please specify a client port: 
    Please specify a server IP address: 
    Please specify a server port: 
    Monitoring packet tracer and firewall debug messages

    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Packet 7: TCP 12****S*, 09/21-17:17:13.483709, seq 957225459, dsize 0
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Session: new snort session
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 AppID: service: (0), client: (0), payload: (0), misc: (0)
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Firewall: starting rule matching, zone 1 -> 1, geo 0(0) -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Firewall: block rule, 'testgeo', force_block
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Stream: pending block, drop
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Policies: Network 0, Inspection 0, Detection 3
    10.130.65.192 52459 -> <Geolocation block IP address>
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 New firewall session
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 app event with app id no change, url no change, tls host no change, bits 0x1
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Starting with minimum 3, 'testurl', and SrcZone first with zones 1 -> 1, geo 0 -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, svc 0, payload 0, client 0, misc 0, user 9999997
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 pending rule order 3, 'testurl', AppID for URL
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 rule order 3, 'testurl', action Block continue eval of pending deny
    10.130.65.192 52460 -> 
     
     
       443 6 AS=0 ID=1 GR=1-1 match rule order 4, 'testgeo', action Block 
     
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 MidRecovery data sent for rule id: 268435461, rule_action:4, rev id:1095042657, rule_match flag:0x0
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 deny action
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Deleting Firewall session

    Comme vous pouvez le voir sur ces sorties, Snort vérifie les paramètres de paquet par rapport aux règles et il correspond à la règle de bloc de géolocalisation, puis le flux est refusé et la session est supprimée pour le flux.

    Sur la trace d'une capture de Lina, vous pouvez voir sur la phase ACCESS-LIST que vous avez appuyé sur la première règle permit any any au lieu de la règle de géolocalisation que vous vous attendiez à rencontrer, cependant sur la phase SNORT, nous voyons sur le verdict que Snort frappe la règle 268435461, qui est la règle de bloc de géolocalisation :

    testftd# show cap test trace packet 1

    9 packets captured

    1: 17:36:52.082011 10.130.65.192.53336 > <Geolocation block IP address>.443: SWE 316839441:316839441(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 
    Phase: 1
    Type: CAPTURE
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: INPUT-ROUTE-LOOKUP
    Subtype: Resolve Egress Interface
    Result: ALLOW 
    Config:
    Additional Information:
    Found next-hop 10.130.65.188 using egress ifc outside(vrfid:0)

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group NGFW_ONBOX_ACL global
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435459 any any rule-id 268435459 
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: L7 RULE: testurl
    object-group service |acSvcg-268435459
    service-object ip 
    Additional Information:
    This packet will be sent to snort for additional processing where a verdict will be reached

    Phase: 5
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config: 
    Additional Information:

    Phase: 6
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 6902, packet dispatched to next module

    Phase: 10
    Type: EXTERNAL-INSPECT
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Application: 'SNORT Inspect'

    Phase: 11
    Type: SNORT
    Subtype: 
    Result: DROP
    Config:
    Additional Information:
    Snort Trace: 
    00:50:56:96:D0:48 -> 00:50:56:B3:8C:E3 0800
    10.130.65.192:53336 -> <Geolocation block IP address>:443 proto 6 AS=0 ID=1 GR=1-1
    Packet 22: TCP 12****S*, 09/21-17:36:52.073696, seq 316839441, dsize 0
    Session: new snort session
    AppID: service: (0), client: (0), payload: (0), misc: (0)
    Firewall: starting rule matching, zone 1 -> 1, geo 0(0) -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
    Firewall: block rule, id 268435461, force_block
    Stream: pending block, drop
    Policies: Network 0, Inspection 0, Detection 3
    Verdict: blacklist
    Snort Verdict: (black-list) black list this flow

    Result:
    input-interface: outside(vrfid:0)
    input-status: up
    input-line-status: up
    output-interface: outside(vrfid:0)
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor, Drop-location: frame 0x000055b8a176d7b2 flow (NA)/NA

    Conclusion

    Comme on le voit avec la configuration et les journaux de trafic en direct, même si Lina montre ces règles comme Permit any any et que nous avons cliqué sur cette règle du côté de Lina, le paquet est envoyé à Snort pour une inspection approfondie.

    Ensuite, vous pouvez vérifier que Snort continue à suivre les règles jusqu'à ce qu'il fasse correspondre le trafic à la règle attendue.

    Informations connexes

    Guide de configuration de Firepower Management Center, Règles de contrôle d'accès

    Guide de configuration de Cisco Firepower Threat Defense pour Firepower Device Manager, contrôle d'accès

    ID de bogue Cisco CSCwd00446 - ENH : Packet-Tracer n’affiche pas l’occurrence réelle de la règle au lieu d’une règle de géolocalisation en phase ACL

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    27-Sep-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Oscar Santino Lopez Cervantes
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits