Introducción
Este documento describe las razones y los pasos de mitigación para FirePOWER Management Center (FMC) que muestran los eventos de conexión TCP en la dirección inversa en la que la IP del iniciador es la IP del servidor de la conexión TCP y la IP del respondedor es la IP del cliente de la conexión TCP.
Nota: Existen múltiples razones para que se produzcan tales eventos. Este documento explica la causa más común de este síntoma.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Tecnología FirePOWER
- Conocimiento básico de Adaptive Security Appliance (ASA)
- Introducción al mecanismo de temporización del protocolo de control de transmisión (TCP)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Defensa frente a amenazas ASA Firepower (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X ) que ejecuta la versión de software 6.0.1 y posteriores
- Defensa frente a amenazas ASA Firepower (5512-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, FP9300, FP4100) que ejecuta la versión de software 6.0.1 y posterior
- ASA con módulos Firepower (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 55555 ASA 5585-X) que ejecuta las versiones 6.0.0 y posteriores del software
- Firepower Management Center (FMC) versión 6.0.0 y posteriores
The information in this document was created from the devices in a specific lab environment. Todos los dispositivos utilizados en este documento comenzaron con una configuración clara (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Background
En una conexión TCP, el cliente hace referencia a la IP que envía el paquete inicial. FirePOWER Management Center genera un evento de conexión cuando el dispositivo administrado (sensor o FTD) ve el paquete TCP inicial de una conexión.
Los dispositivos que realizan un seguimiento del estado de una conexión TCP tienen un tiempo de espera inactivo definido para asegurarse de que las conexiones que por error no son cerradas por los terminales no consuman la memoria disponible durante largos períodos de tiempo. El tiempo de espera inactivo predeterminado para las conexiones TCP establecidas en FirePOWER es de tres minutos. El sensor IPS FirePOWER no realiza un seguimiento de una conexión TCP que se ha mantenido inactiva durante tres minutos o más.
El paquete subsiguiente después del tiempo de espera se trata como un nuevo flujo TCP y la decisión de reenvío se toma según la regla que coincide con este paquete.Cuando el paquete es del servidor, la IP del servidor se registra como el iniciador de este nuevo flujo. Cuando se habilita el registro para la regla, se genera un evento de conexión en FirePOWER Management Center.
Nota: Según las políticas configuradas, la decisión de reenvío del paquete que viene después del tiempo de espera es diferente de la decisión para el paquete TCP inicial. Si la acción predeterminada configurada es "Block" (Bloquear), el paquete se descarta.
Un ejemplo de este síntoma es el siguiente:
Solución
El problema mencionado anteriormente se mitiga aumentando el tiempo de espera de las conexiones TCP. Para cambiar el tiempo de espera,
- Navegue hasta Políticas > Control de acceso > Intrusión.
- Navegue hasta la esquina superior derecha y seleccione Directiva de acceso a la red.
- Seleccione Create Policy , elija un nombre y haga clic en Create and Edit Policy. No modifique la política base.
- Expanda la opción Settings y elija TCP Stream Configuration.
- Navegue hasta la sección de configuración y cambie el valor de Timeout como desee.
- Vaya a Políticas > Control de acceso > Control de acceso.
- Seleccione la opción Editar para editar la política aplicada al dispositivo administrado pertinente o crear una nueva política.
- Seleccione la ficha Avanzadas en la directiva de acceso.
- Localice la sección Análisis de red y Políticas de intrusión y haga clic en el icono Editar.
- En el menú desplegable Default Network Analysis Policy, elija la política creada en el paso 2.
- Haga clic en Aceptar y Guardar los cambios.
- Haga clic en la opción Deploy para implementar las políticas en los dispositivos administrados pertinentes.
Precaución: Se espera que el aumento del tiempo de espera cause una mayor utilización de la memoria. FirePOWER debe realizar un seguimiento de los flujos que los terminales no han cerrado durante más tiempo. El aumento real en la utilización de la memoria es diferente para cada red única, ya que depende del tiempo que las aplicaciones de red mantienen inactivas las conexiones TCP.
Conclusión
Los parámetros de cada red para el tiempo de espera inactivo de las conexiones TCP son diferentes. Depende completamente de las aplicaciones en uso. Se debe establecer un valor óptimo observando el tiempo que las aplicaciones de red mantienen las conexiones TCP inactivas. Para los problemas que pertenecen al módulo de servicio FirePOWER en un Cisco ASA, cuando no se puede deducir un valor óptimo, el tiempo de espera se puede ajustar incrementándolo en pasos hasta el valor de tiempo de espera de ASA.
Información Relacionada