FirePOWER Management Center geeft enkele TCP-verbindingsgebeurtenissen in de verkeerde richting weer

Downloadopties

  • PDF     (615.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (496.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (358.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 augustus 2024
Document-id:210884

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de redenen en beperkingsstappen beschreven voor FirePOWER Management Center (FMC), waarin TCP-verbindingsgebeurtenissen in de omgekeerde richting worden weergegeven, waarbij IP van de initiator de server van de TCP-verbinding is en IP van de respondent de client-IP van de TCP-verbinding is.

    Opmerking: er zijn meerdere redenen voor het optreden van dergelijke voorvallen. Dit document verklaart de meest voorkomende oorzaak van dit symptoom.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • FirePOWER-technologie
    • Basiskennis van adaptieve security applicatie (ASA)
    • Inzicht in het timing mechanisme van Transmission Control Protocol (TCP)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • ASA Firepower Threat Defence (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) waarin software versie 6.0.1 en hoger wordt uitgevoerd
    • ASA Firepower Threat Defence (5512-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, FP9300,FP4100) waarin software versie 6.0.1 en hoger wordt uitgevoerd
    • ASA met FirePOWER-modules (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) waarin softwareversies 6.0.0 en hoger worden uitgevoerd 
    • Firepower Management Center (FMC) versie 6.0.0 en hoger 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden gebruikt, zijn gestart met een duidelijke (standaard) configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

      

    Achtergrond

    Bij een TCP verbinding verwijst de client naar het IP dat het eerste pakket verstuurt. Het FirePOWER Management Center genereert een verbindingsgebeurtenis wanneer het beheerde apparaat (sensor of FTD) het eerste TCP-pakket van een verbinding ziet.

    Apparaten die de status van een TCP-verbinding bijhouden, hebben een ongebruikte tijd-out die is gedefinieerd om ervoor te zorgen dat verbindingen die per ongeluk niet door eindpunten zijn gesloten, het beschikbare geheugen niet gedurende langere perioden verbruiken. De standaard inactiviteitstimer voor vaste TCP-verbindingen op FirePOWER is drie minuten. Een TCP-verbinding die drie minuten of langer niet actief is geweest, wordt niet bijgehouden door de FirePOWER IPS-sensor.

    Het volgende pakket na de timeout wordt behandeld als een nieuwe TCP flow en het doorsturen besluit wordt genomen volgens de regel die overeenkomt met dit pakket. Wanneer het pakket van de server is, wordt IP van de server geregistreerd als initiator van deze nieuwe stroom. Wanneer de logboekregistratie voor de regel is ingeschakeld, wordt er een verbindingsgebeurtenis gegenereerd op het FirePOWER Management Center.

    Opmerking: in overeenstemming met het ingestelde beleid is het doorsturen van het pakket na de tijdelijke versie anders dan het besluit voor het eerste TCP-pakket. Als de ingestelde standaardactie "Blok" is, wordt het pakket verbroken.

     Een voorbeeld van dit symptoom is zoals in onderstaande screenshot:

    alt-tag-for-image

    Oplossing

    Dit probleem wordt verzacht door de Time-out van TCP-verbindingen te vergroten. Om de time-out te wijzigen,

    1. Navigeer naar Beleid > Toegangsbeheer > Indringing.
    2. Navigeer naar de rechterbovenhoek en selecteer Netwerktoegangsbeleid.
      alt-tag-for-image
    3. Selecteer Beleid maken , kies een naam en klik op Beleid maken en bewerken. Wijzig het basisbeleid niet. alt-tag-for-image
    4. Breid de optie Instellingen uit en kies TCP Stream Configuration.
    5. Navigeer naar de configuratiesectie en verander de waarde van de Time-out naar wens.alt-tag-for-image
    6. Ga naar Beleid > Toegangsbeheer > Toegangsbeheer.
    7. Selecteer de optie Bewerken om het beleid te bewerken dat op het betreffende beheerde apparaat wordt toegepast of maak een nieuw beleid.alt-tag-for-image
    8. Selecteer het tabblad Geavanceerd in het toegangsbeleid.
    9. Zoek de sectie Netwerkanalyse en inbraakbeleid en klik op het pictogram Bewerken.alt-tag-for-image
    10. Kies in het vervolgkeuzemenu van Standaardbeleid voor netwerkanalyse het beleid dat in stap 2 is gemaakt.
    11. Klik op OK en sla de wijzigingen op.
    12. Klik op de optie Implementeren om het beleid te implementeren op relevante beheerde apparaten.

    Waarschuwing: de toenemende time-out zal naar verwachting een hoger geheugengebruik veroorzaken, FirePOWER moet stromen volgen die niet langer door eindpunten worden gesloten. De werkelijke toename van het geheugengebruik is verschillend voor elk uniek netwerk, omdat het afhangt van hoe lang de netwerkapplicaties TCP-verbindingen inactief houden.

    Conclusie

    De benchmark van elk netwerk voor de idle timeout van TCP verbindingen is anders. Het hangt volledig af van de toepassingen die in gebruik zijn. Een optimale waarde moet worden vastgesteld door te observeren hoe lang de netwerktoepassingen TCP-verbindingen niet actief houden. Voor problemen die betrekking hebben op FirePOWER-servicemodule op een Cisco ASA, kan, wanneer geen optimale waarde kan worden afgeleid, de time-out worden afgestemd door deze in stappen te verhogen tot de time-outwaarde van ASA.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    26-Aug-2024
    Bijgewerkte koppelingen en linktekst.
    1.0
    12-May-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Atul Singh
      Cisco TAC Engineer
    • Avinash N
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco