Comprendere come vengono gestite le regole Lina configurate con le feature snort

Opzioni per il download

  • PDF     (366.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (150.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (124.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 settembre 2022
ID documento:218196

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come le regole Lina vengono distribuite nell'FTD e la gestione da parte di Lina e Snort. Queste informazioni sono utili sia per la gestione della posta in arrivo (FDM) che della posta in uscita (FMC).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Firepower Management Center (FMC)
    • Firepower Device Manager (FDM)
    • Firepower Threat Defense Virtual (FTDv) 

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • FTDv 7.0.4

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse 

    FMC è il gestore della posta in arrivo per i dispositivi Threat Defense.

    FDM è il gestore della posta in arrivo per i dispositivi Threat Defense.

    Le Regole Con Funzionalità Di Avvitamento Vengono Distribuite Come Consenti Qualsiasi

    Quando si crea una regola con funzioni che vengono eseguite dal lato dello snort, ad esempio la geolocalizzazione, il filtro URL (Universal Resource Locator), il rilevamento delle applicazioni e così via, tali regole vengono distribuite sul lato Lina come regole consentite.

    A prima vista, ciò può confondere l'utente e far pensare che l'FTD consenta tutto il traffico su quella regola e interrompa la verifica della corrispondenza della regola per le regole che seguono.

    Nell'esempio sono presenti le regole di rilevamento applicazioni, filtro URL e blocco georilevazione:

    rules2

    Qui è possibile vedere l'istruzione della regola corretta con i parametri configurati sulla GUI come mostrato su Snort:

    access-list NGFW_ONBOX_ACL remark rule-id 268435458: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435458: L7 RULE: testappid
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435458 ifc outside any ifc inside any rule-id 268435458 
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: L7 RULE: testurl
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435459 any any rule-id 268435459 
    access-list NGFW_ONBOX_ACL remark rule-id 268435461: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435461: L5 RULE: testgeo
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435461 any any rule-id 268435461

    Ecco come si vedono le regole sul lato "snort":

    268435458 deny 1 any any 2 any any any any (appid 948:5, 1079:5) (ip_protos 6)
    # End rule 268435458
    268435459 deny any any any any any any any any (urlcat 2027) (urlrep le 0) (urlrep_unknown 1)
    268435459 deny any any any any any any any any (urlcat 2006) (urlrep le 0) (urlrep_unknown 1)
    # End rule 268435459
    268435461 deny 1 any any any any any any any (dstgeo 643)
    # End rule 268435461

    Verifica Della Gestione Delle Regole Su Lina E Snort

    Poiché il comando packet-tracer non gestisce correttamente questo tipo di regole, è necessario verificare il traffico wilth live con system support trace o system support firewall-engine-debug.

    Questo è un esempio per rispettare la regola del blocco di geolocalizzazione:

    > system support trace

    Enable firewall-engine-debug too? [n]: y
    Please specify an IP protocol: 
    Please specify a client IP address: 
     
     
    Please specify a client port: 
    Please specify a server IP address: 
    Please specify a server port: 
    Monitoring packet tracer and firewall debug messages

    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Packet 7: TCP 12****S*, 09/21-17:17:13.483709, seq 957225459, dsize 0
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Session: new snort session
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 AppID: service: (0), client: (0), payload: (0), misc: (0)
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Firewall: starting rule matching, zone 1 -> 1, geo 0(0) -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Firewall: block rule, 'testgeo', force_block
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Stream: pending block, drop
    10.130.65.192 52459 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Policies: Network 0, Inspection 0, Detection 3
    10.130.65.192 52459 -> <Geolocation block IP address>
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 New firewall session
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 app event with app id no change, url no change, tls host no change, bits 0x1
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Starting with minimum 3, 'testurl', and SrcZone first with zones 1 -> 1, geo 0 -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, svc 0, payload 0, client 0, misc 0, user 9999997
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 pending rule order 3, 'testurl', AppID for URL
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 rule order 3, 'testurl', action Block continue eval of pending deny
    10.130.65.192 52460 -> 
     
     
       443 6 AS=0 ID=1 GR=1-1 match rule order 4, 'testgeo', action Block 
     
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 MidRecovery data sent for rule id: 268435461, rule_action:4, rev id:1095042657, rule_match flag:0x0
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 deny action
    10.130.65.192 52460 -> <Geolocation block IP address> 443 6 AS=0 ID=1 GR=1-1 Deleting Firewall session

    Come si può vedere in questi output, Snort confronta i parametri del pacchetto con le regole e soddisfa la regola del blocco di geolocalizzazione, quindi il flusso viene rifiutato e la sessione viene eliminata per il flusso.

    Sulla traccia di una cattura di Lina, si può vedere nella fase ACCESS-LIST che si ha raggiunto il primo permesso qualsiasi regola invece della regola di geolocalizzazione che ci si aspettava di essere colpiti, tuttavia nella fase SNORT, vediamo sul verdetto che Snort ha raggiunto la regola 268435461, che è la regola del blocco di geolocazione:

    testftd# show cap test trace packet 1

    9 packets captured

    1: 17:36:52.082011 10.130.65.192.53336 > <Geolocation block IP address>.443: SWE 316839441:316839441(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK> 
    Phase: 1
    Type: CAPTURE
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: INPUT-ROUTE-LOOKUP
    Subtype: Resolve Egress Interface
    Result: ALLOW 
    Config:
    Additional Information:
    Found next-hop 10.130.65.188 using egress ifc outside(vrfid:0)

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group NGFW_ONBOX_ACL global
    access-list NGFW_ONBOX_ACL advanced permit object-group |acSvcg-268435459 any any rule-id 268435459 
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: ACCESS POLICY: NGFW_Access_Policy
    access-list NGFW_ONBOX_ACL remark rule-id 268435459: L7 RULE: testurl
    object-group service |acSvcg-268435459
    service-object ip 
    Additional Information:
    This packet will be sent to snort for additional processing where a verdict will be reached

    Phase: 5
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config: 
    Additional Information:

    Phase: 6
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 6902, packet dispatched to next module

    Phase: 10
    Type: EXTERNAL-INSPECT
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Application: 'SNORT Inspect'

    Phase: 11
    Type: SNORT
    Subtype: 
    Result: DROP
    Config:
    Additional Information:
    Snort Trace: 
    00:50:56:96:D0:48 -> 00:50:56:B3:8C:E3 0800
    10.130.65.192:53336 -> <Geolocation block IP address>:443 proto 6 AS=0 ID=1 GR=1-1
    Packet 22: TCP 12****S*, 09/21-17:36:52.073696, seq 316839441, dsize 0
    Session: new snort session
    AppID: service: (0), client: (0), payload: (0), misc: (0)
    Firewall: starting rule matching, zone 1 -> 1, geo 0(0) -> 643, vlan 0, src sgt: 0, src sgt type: unknown, dst sgt: 0, dst sgt type: unknown, user 9999997, no url or host, no xff
    Firewall: block rule, id 268435461, force_block
    Stream: pending block, drop
    Policies: Network 0, Inspection 0, Detection 3
    Verdict: blacklist
    Snort Verdict: (black-list) black list this flow

    Result:
    input-interface: outside(vrfid:0)
    input-status: up
    input-line-status: up
    output-interface: outside(vrfid:0)
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor, Drop-location: frame 0x000055b8a176d7b2 flow (NA)/NA

    Conclusioni

    Come mostrato nella configurazione e nei log del traffico, anche se Lina mostra queste regole come Permit any (Permetti qualsiasi) e noi rispettiamo questa regola sul lato Lina, il pacchetto viene inviato a Snort per un'ispezione approfondita.

    In seguito, è possibile verificare che Snort continui a seguire le regole fino a quando il traffico non corrisponde alla regola prevista.

    Informazioni correlate

    Guida alla configurazione di Firepower Management Center, regole di controllo dell'accesso

    Guida alla configurazione di Cisco Firepower Threat Defense per Firepower Device Manager, controllo degli accessi

    ID bug Cisco CSCwd00446 - ENH: Packet-tracer non visualizza il risultato effettivo della regola anziché una regola di georilevazione nella fase ACL

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    27-Sep-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Oscar Santino Lopez Cervantes
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti