Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
L'objectif de ce guide est d'aider à identifier rapidement si un périphérique Firepower Threat Defense (FTD) ou un appareil de sécurité adaptatif (ASA) avec les fonctionnalités FirePOWER est à l'origine d'un problème de trafic réseau. Il permet également de déterminer quels composants Firepower doivent faire l'objet d'une enquête et quelles données doivent être collectées avant d'engager le centre d'assistance technique Cisco (TAC).
Liste de tous les articles de la série de dépannages Firepower Data Path.
Dépannage du chemin de données Firepower Phase 1 : Paquet entrant
Dépannage du chemin de données Firepower Phase 2 : Couche DAQ
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214575-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 3 : Intelligence de sécurité
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214576-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 4 : Stratégie de contrôle d'accès
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214577-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 5 : Stratégie SSL
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214581-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 6 : Authentification active
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/214608-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 7 : Politique d’intrusion
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/214609-firepower-data-path-troubleshooting-phas.html
Dépannage du chemin de données Firepower Phase 8 : Stratégie d'analyse réseau
Pour obtenir la liste complète de la documentation de Firepower, y compris les guides d'installation et de configuration, consultez la page feuille de route de la documentation.
La section suivante examine le chemin de données architecturaux pour différentes plates-formes Firepower. Avec l'architecture en tête, nous passerons ensuite à la façon de déterminer rapidement si le périphérique Firepower bloque ou non le flux de trafic.
Note: Cet article ne couvre pas les anciens périphériques des gammes Firepower 7000 et 8000, ni la plate-forme virtuelle NGIPS (non-FTD). Pour plus d'informations sur le dépannage de ces plates-formes, consultez notre page TechNotes .
La plate-forme FirePOWER Services est également appelée module SFR. Il s'agit essentiellement d'une machine virtuelle qui fonctionne sur des plates-formes ASA 5500-X.
La stratégie de service sur l'ASA détermine le trafic envoyé au module SFR. Il y a une couche de plan de données qui est utilisée pour communiquer avec le moteur d'acquisition de données Firepower (DAQ), qui est utilisé pour traduire les paquets d'une manière que snort peut comprendre.
La plate-forme FTD se compose d'une seule image contenant à la fois le code Lina (ASA) et le code Firepower. Une différence majeure entre cette plate-forme et la plate-forme de module ASA avec SFR est qu'il existe des communications plus efficaces entre Lina et Snort.
Sur les modèles SSP (Security Service Platforms), le logiciel FTD s'exécute sur la plate-forme FXOS (Firepower eXtensible Operative System), qui est un système d'exploitation sous-jacent utilisé pour gérer le matériel du châssis et héberger diverses applications appelées périphériques logiques.
Au sein de la plate-forme SSP, il existe certaines différences entre les modèles, comme le montrent les diagrammes et les descriptions ci-dessous.
Sur les plates-formes Firepower 9300 et 4100, les paquets d'entrée et de sortie sont gérés par un commutateur alimenté par le microprogramme FXOS (Fabric Interconnect). Les paquets sont ensuite envoyés aux interfaces affectées au périphérique logique (dans ce cas, FTD). Après cela, le traitement des paquets est identique à celui des plates-formes FTD non SSP.
Le périphérique Firepower 2100 fonctionne comme les plates-formes FTD non SSP. Il ne contient pas la couche d'interconnexion de fabric qui est présente sur les modèles 9300 et 4100. Cependant, il existe une différence majeure dans les périphériques de la gamme 2100 par rapport aux autres périphériques, à savoir la présence du circuit intégré spécifique à l'application (ASIC). Toutes les fonctionnalités ASA traditionnelles (Lina) s'exécutent sur l'ASIC, et toutes les fonctionnalités du pare-feu de nouvelle génération (NGFW) (snort, filtrage des URL, etc.) s'exécutent sur l'architecture x86 traditionnelle. La manière dont Lina et Snort communiquent sur cette plate-forme passe par une connexion PCIe (Peripheral Component Interconnect Express) via une file d'attente de paquets, contrairement aux autres plates-formes qui utilisent l'accès direct à la mémoire (DMA) pour mettre les paquets en file d'attente vers le snort.
Note: Les mêmes méthodes de dépannage des plates-formes FTD non SSP seront suivies sur la plate-forme FPR-2100.
Maintenant que nous avons étudié comment identifier le trafic unique ainsi que l'architecture de base du chemin de données dans les plates-formes Firepower, nous examinons les endroits spécifiques où les paquets peuvent être abandonnés. Huit composants de base sont traités dans les articles Data Path, qui peuvent systématiquement dépanner pour déterminer les pertes de paquets possibles. Ceux-ci incluent :
Note: Ces composants ne sont pas répertoriés dans l'ordre exact des opérations dans le traitement de Firepower, mais sont commandés conformément à notre workflow de dépannage recommandé. Reportez-vous à l'illustration ci-dessous pour connaître le chemin réel du schéma de paquets.
L'illustration ci-dessous montre le chemin réel du paquet lorsqu'il traverse FTD.
L'illustration ci-dessous montre le chemin du paquet via le moteur Snort.
La première étape du dépannage du chemin de données consiste à s’assurer qu’aucune perte ne se produit au stade d’entrée ou de sortie du traitement des paquets. Si un paquet est en train d'entrer mais pas de sortir, vous pouvez être sûr que le paquet est abandonné par le périphérique à un endroit quelconque du chemin de données.
Cet article explique comment dépanner l'entrée et la sortie de paquets sur les systèmes Firepower.
S'il a été déterminé que le paquet est en train d'entrer mais non en sortie, l'étape suivante du dépannage du chemin de données doit se trouver au niveau de la couche DAQ (acquisition de données) Firepower pour s'assurer que le trafic en question est envoyé à Firepower pour inspection et, dans l'affirmative, s'il est abandonné ou modifié.
Cet article explique comment dépanner le traitement initial du trafic par Firepower ainsi que le chemin qu'il emprunte sur l'ensemble de l'appareil.
Il explique également comment le périphérique Firepower peut être complètement contourné pour déterminer si un composant Firepower est responsable du problème de trafic.
Security Intelligence est le premier composant de Firepower à inspecter le trafic. Les blocs de ce niveau sont très faciles à déterminer tant que la journalisation est activée. Cela peut être déterminé sur l'interface graphique de FMC en naviguant vers Politiques > Contrôle d'accès > Politique de contrôle d'accès. Après avoir cliqué sur l'icône de modification en regard de la stratégie en question, accédez à l'onglet Security Intelligence.
Une fois la journalisation activée, vous pouvez afficher les événements Security Intelligence sous Analysis > Connections > Security Intelligence Events. Il doit être clair sur la raison pour laquelle le trafic est bloqué.
En guise d'étape de réduction rapide, vous pouvez cliquer avec le bouton droit sur la requête IP, URL ou DNS bloquée par la fonction Security Intelligence et choisir une option de liste blanche.
Si vous soupçonnez que quelque chose n'a pas été correctement mis sur la liste noire ou si vous souhaitez demander un changement de réputation, vous pouvez ouvrir un ticket directement auprès de Cisco Talos à l'adresse suivante :
https://www.talosintelligence.com/reputation_center/support
Vous pouvez également fournir les données au TAC pour signaler ce qui est bloqué et peut-être faire supprimer une entrée d'une liste noire.
Pour un dépannage approfondi du composant Security Intelligence, consultez l'article de dépannage du chemin de données approprié.
S'il a été déterminé que la fonction Security Intelligence ne bloque pas le trafic, l'étape suivante recommandée consiste à dépanner les règles de stratégie de contrôle d'accès pour voir si une règle avec une action 'Block' abandonne le trafic.
Il est recommandé de commencer à utiliser la commande « firewall-engine-debug » ou de capturer avec trace. Généralement, ces outils peuvent vous donner la réponse immédiatement et vous dire quelle règle le trafic touche et pour quelles raisons.
Vous trouverez ci-dessous un exemple de résultat, illustrant l'évaluation des règles pour le trafic correspondant à une règle de contrôle d'accès avec l'action 'Autoriser' :
Si vous ne parvenez pas à déterminer quelle règle de contrôle d'accès (AC) correspond ou si vous ne parvenez pas à déterminer si la stratégie AC est le problème à l'aide des outils ci-dessus, voici quelques étapes de base pour dépanner la stratégie de contrôle d'accès (ces options ne sont pas la première option car elles nécessitent des modifications/déploiements de stratégie) :
Pour un dépannage approfondi de la politique de contrôle d'accès, consultez l'article de dépannage du chemin de données approprié.
Si la stratégie SSL est utilisée, il est possible qu'elle bloque le trafic. Voici quelques étapes de base pour dépanner la stratégie SSL :
Il est suspecté d'abandonner le trafic, les événements de connexion ainsi que la configuration de la stratégie peuvent être envoyés au TAC.
Pour un dépannage plus approfondi de la stratégie SSL, consultez l'article de dépannage du chemin de données approprié.
Lorsqu'elle est utilisée dans une stratégie d'identité, l'authentification active peut supprimer le trafic qui doit être autorisé en cas de problème. La fonctionnalité d'authentification active elle-même peut avoir un impact direct sur tout le trafic HTTP/HTTPS, car s'il est déterminé que nous devons authentifier un utilisateur, tout cela se produit uniquement sur le protocole HTTP. Cela signifie que l'authentification active ne doit pas avoir d'impact sur d'autres services réseau (tels que DNS, ICMP, etc.), sauf si vous avez des règles de contrôle d'accès spécifiques qui bloquent en fonction de l'utilisateur et que les utilisateurs ne peuvent pas s'authentifier via les services d'authentification actifs sur le FTD. Cependant, cela ne serait pas un problème direct de la fonctionnalité d'authentification active, mais le résultat est que les utilisateurs ne peuvent pas s'authentifier et ont une politique qui bloque les utilisateurs non authentifiés.
Une étape de réduction rapide consisterait à désactiver toute règle dans la stratégie d'identité avec l'action 'Authentification active'.
Assurez-vous également que l'option Utiliser l'authentification active si l'authentification passive ne permet pas d'identifier l'utilisateur n'est pas activée pour toutes les règles avec l'action 'Authentification passive'.
Dépannage plus approfondi de l'authentification active, consultez l'article de dépannage du chemin de données approprié.
Une stratégie d'intrusion peut entraîner une diminution du trafic ou une latence du réseau. Une stratégie d'intrusion peut être utilisée à l'un des trois endroits suivants de la stratégie de contrôle d'accès :
Pour savoir si une règle de stratégie d'intrusion bloque le trafic, accédez à la page Analyse > Intrusions > Événements du FMC. La vue Table des événements d'intrusion fournit des informations sur les hôtes impliqués dans ces événements. Reportez-vous à l'article de dépannage du chemin de données correspondant sur les informations relatives à l'analyse des événements.
La première étape recommandée pour déterminer si une signature de stratégie d'intrusion (IPS) bloque le trafic consiste à utiliser la fonctionnalité de > trace de prise en charge du système à partir de l'interface de ligne de commande du FTD. Cette commande debug fonctionne de la même manière que firewall-engine-debug, et elle vous donne également la possibilité d'activer firewall-engine-debug parallèlement à la trace.
L'illustration ci-dessous montre un exemple d'utilisation de l'outil de suivi de la prise en charge du système dans lequel le résultat a montré qu'un paquet a été bloqué en raison d'une règle d'intrusion. Vous obtenez ainsi tous les détails tels que l'ID de groupe (GID), SID (Signature Identifier), NAP (Network Analysis Policy) et l'ID IPS pour voir exactement quelle stratégie/règle bloque ce trafic.
Si vous ne parvenez pas à déterminer si IPS bloque la sortie de trace, mais que vous soupçonnez qu'il est en train de tomber en raison d'une stratégie d'intrusion personnalisée, vous pouvez remplacer la stratégie d'intrusion par une stratégie de sécurité et de connectivité équilibrées ou une stratégie de connectivité sur la sécurité. Il s'agit de politiques d'intrusion fournies par Cisco. Si vous effectuez cette modification, résout le problème, alors la politique d'intrusion personnalisée utilisée précédemment peut être analysée par le TAC. Si une stratégie Cisco par défaut est déjà utilisée, vous pouvez essayer de remplacer la stratégie par défaut par une stratégie moins sécurisée, car ces stratégies ont moins de règles, ce qui peut aider à réduire la portée. Par exemple, si le trafic est bloqué et que vous utilisez une stratégie équilibrée, vous passez à la connectivité par rapport à la stratégie de sécurité et le problème disparaît, il est probable qu'il y ait une règle dans la stratégie équilibrée qui abandonne le trafic qui n'est pas configuré pour abandonner la connectivité par rapport à la stratégie de sécurité.
Les modifications suivantes peuvent être apportées dans la politique de contrôle d'accès pour éliminer toutes les possibilités de blocage d'inspection de la politique d'intrusion (il est recommandé d'apporter autant de modifications que possible afin de ne pas modifier votre efficacité de sécurité. Il est donc recommandé d'établir des règles AC ciblées pour le trafic en question, plutôt que de désactiver IPS dans l'ensemble de la politique) :
Si cela ne résout toujours pas le problème, passez au dépannage de la stratégie d'analyse du réseau.
Dépannage plus approfondi de la fonction de stratégie d'intrusion, consultez l'article de dépannage du chemin de données approprié.
La stratégie d'analyse réseau (NAP) contient les paramètres du préprocesseur Firepower, dont certains peuvent supprimer le trafic. La première étape recommandée pour le dépannage est la même que pour le dépannage IPS, qui est d'utiliser l'outil > system support trace pour essayer de trouver ce qui dans snort bloque le trafic. Reportez-vous à la section « Politique d'intrusion » ci-dessus pour plus d'informations sur cet outil et sur l'utilisation de l'exemple.
Pour atténuer rapidement les problèmes éventuels liés au programme d’adaptation aux changements climatiques, vous pouvez effectuer les opérations suivantes :
Cet article présente un dépannage plus approfondi de la fonction Stratégie d'analyse du réseau.
Liens vers la documentation Firepower
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html