FirePOWER Management Center affiche certains événements de connexion TCP dans la mauvaise direction

Options de téléchargement

  • PDF     (615.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (495.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (357.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 août 2024
ID du document:210884

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les raisons et les étapes d'atténuation pour FirePOWER Management Center (FMC) qui affiche les événements de connexion TCP dans le sens inverse, où l'IP de l'initiateur est l'IP du serveur de la connexion TCP et l'IP du répondeur est l'IP du client de la connexion TCP.

    Remarque : la survenue de tels événements peut être due à plusieurs raisons. Ce document explique la cause la plus fréquente de ce symptôme.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Technologie FirePOWER
    • Connaissances de base sur les appareils de sécurité adaptatifs (ASA)
    • Compréhension du mécanisme de synchronisation TCP (Transmission Control Protocol)

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • ASA Firepower Threat Defense (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X ) qui exécute les versions 6.0.1 et ultérieures du logiciel
    • ASA Firepower Threat Defense (5512-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, FP9300, FP4100) qui exécute les versions 6.0.1 et ultérieures du logiciel
    • ASA avec modules Firepower (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X, 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) qui exécute les versions logicielles 6.0.0 et ultérieures 
    • Firepower Management Center (FMC) version 6.0.0 et ultérieure 

    The information in this document was created from the devices in a specific lab environment. Tous les périphériques utilisés dans ce document ont démarré avec une configuration claire (par défaut). If your network is live, make sure that you understand the potential impact of any command.

      

    Fond

    Dans une connexion TCP, client se réfère à l'IP qui envoie le paquet initial. FirePOWER Management Center génère un événement de connexion lorsque le périphérique géré (capteur ou FTD) voit le paquet TCP initial d'une connexion.

    Les périphériques qui suivent l'état d'une connexion TCP ont un délai d'inactivité défini pour s'assurer que les connexions qui ne sont pas fermées par erreur par les points d'extrémité ne consomment pas la mémoire disponible pendant de longues périodes. Le délai d'inactivité par défaut pour les connexions TCP établies sur FirePOWER est de trois minutes. Une connexion TCP qui est restée inactive pendant trois minutes ou plus n'est pas suivie par le capteur FirePOWER IPS.

    Le paquet suivant après le délai d’attente est traité comme un nouveau flux TCP et la décision de transfert est prise conformément à la règle qui correspond à ce paquet. Lorsque le paquet provient du serveur, l'adresse IP du serveur est enregistrée en tant qu'initiateur de ce nouveau flux. Lorsque la journalisation est activée pour la règle, un événement de connexion est généré sur FirePOWER Management Center.

    Remarque : selon les stratégies configurées, la décision de transfert pour le paquet qui vient après le délai d'attente est différente de la décision pour le paquet TCP initial. Si l'action par défaut configurée est « Bloquer », le paquet est abandonné.

     Un exemple de ce symptôme est comme dans la capture d'écran ci-dessous :

    alt-tag-for-image

    Solution

    Ce problème est atténué en augmentant le délai d'attente des connexions TCP. Pour modifier le délai d'attente,

    1. Accédez à Politiques > Contrôle d'accès > Intrusion.
    2. Accédez au coin supérieur droit et sélectionnez Network Access Policy.
      alt-tag-for-image
    3. Sélectionnez Create Policy, choisissez un nom et cliquez sur Create and Edit Policy. Ne modifiez pas la politique de base. alt-tag-for-image
    4. Développez l'option Settings et choisissez TCP Stream Configuration.
    5. Accédez à la section de configuration et modifiez la valeur de Timeout comme vous le souhaitez.alt-tag-for-image
    6. Accédez à Politiques > Contrôle d'accès > Contrôle d'accès.
    7. Sélectionnez l'option Edit pour modifier la stratégie appliquée au périphérique géré approprié ou créer une nouvelle stratégie.alt-tag-for-image
    8. Sélectionnez l'onglet Avancé dans la stratégie d'accès.
    9. Recherchez la section Analyse réseau et stratégies d'intrusion et cliquez sur l'icône Modifier.alt-tag-for-image
    10. Dans le menu déroulant de Default Network Analysis Policy, sélectionnez la stratégie créée à l'étape 2.
    11. Cliquez sur OK et Save the changes.
    12. Cliquez sur l'option Déployer pour déployer les stratégies sur les périphériques gérés appropriés.

    Attention : l'augmentation du délai d'attente devrait entraîner une utilisation plus élevée de la mémoire. FirePOWER doit suivre les flux qui ne sont pas fermés par les terminaux pendant une plus longue période. L'augmentation réelle de l'utilisation de la mémoire est différente pour chaque réseau unique, car elle dépend de la durée pendant laquelle les applications réseau maintiennent les connexions TCP inactives.

    Conclusion

    Les délais d'inactivité des connexions TCP de chaque réseau sont différents. Cela dépend entièrement des applications qui sont en cours d'utilisation. Une valeur optimale doit être établie en observant combien de temps les applications réseau maintiennent les connexions TCP inactives. Pour les problèmes relatifs au module de service FirePOWER sur un ASA Cisco, lorsqu'une valeur optimale ne peut pas être déduite, le délai d'attente peut être réglé en l'augmentant par étapes jusqu'à la valeur du délai d'attente de l'ASA.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    26-Aug-2024
    Liens et texte de lien mis à jour.
    1.0
    12-May-2017
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Atul Singh
      Ingénieur TAC Cisco
    • Avinash N
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco