In che modo il monitor del traffico di layer 4 blocca il traffico?

Opzioni per il download

  • PDF     (231.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (66.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 luglio 2014
ID documento:117985

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Domanda:

In che modo il monitor del traffico di layer 4 blocca il traffico se riceve solo traffico con mirroring?

Ambiente:

Monitoraggio del traffico di layer 4 - L4TM configurato per bloccare il traffico sospetto


Soluzione:


Cisco Web Security Appliance (WSA) dispone di un servizio L4TM (Layer 4 Traffic Monitor) incorporato che può bloccare le sessioni sospette su tutte le porte di rete (TCP/UDP 0-65535).

Per poter monitorare o bloccare queste sessioni, il traffico deve essere reindirizzato al server di archiviazione (WSA), utilizzando un dispositivo TAP (Test Access Port) o configurando una porta mirror sui dispositivi di rete (porte SPAN sui dispositivi Cisco). La modalità in linea L4TM non è ancora supportata.

Anche se il traffico viene solo sincronizzato (copiato) dalle sessioni originali all'accessorio, il server WSA può comunque bloccare il traffico sospetto rimuovendo una sessione TCP o inviando messaggi ICMP "host non raggiungibile" per le sessioni UDP.


Per sessioni TCP

Quando il WSA L4TM riceve un pacchetto da o verso un server e il traffico corrisponde a un'azione di blocco, L4TM invia un datagramma TCP RST (reset) al client o al server a seconda dello scenario. Un datagramma TCP RST è un normale pacchetto con il flag TCP RST impostato su 1.

Il destinatario di un RST prima lo convalida, quindi cambia stato. Se il ricevitore era nello stato LISTEN, lo ignora. Se il ricevitore si trovava nello stato SYN-RECEIVED ed era stato precedentemente nello stato LISTEN, il ricevitore torna allo stato LISTEN, altrimenti interrompe la connessione e passa allo stato CLOSED. Se il ricevitore si trovava in un altro stato, interrompe la connessione e avvisa l'utente, quindi passa allo stato CLOSED.

Esistono due casi da considerare (in entrambi i casi gli utenti/client sono dietro un firewall):

  • La prima si verifica quando il pacchetto sospetto proviene dall'esterno del firewall verso un client della rete interna. L'RST verrà inviato al server e in questo caso raggiungerà il firewall che di solito non inoltrerà l'RST ma terminerà la sessione in quanto crederà che l'RST sia effettivamente arrivato dal client. In questo caso, l'IP di origine dell'RST sarà l'IP oggetto di spoofing del client. Il client terminerà la sessione.
  • Un secondo caso si verificherebbe quando il pacchetto proviene dal client nella rete interna e viene indirizzato a un server esterno (esterno al firewall). L'RST viene quindi inviato al client e l'IP di origine dell'RST sarà l'IP oggetto di spoofing del server.

Per sessioni UDP

Analogamente, il protocollo WSA esegue il traffico sospetto proveniente da una sessione UDP. Tuttavia, anziché inviare una richiesta TCP RST, l'L4TM invia messaggi ICMP "host non raggiungibile" (codice ICMP 3 1) al client o al server. Tuttavia, in questi casi non si verifica uno spoofing IP, poiché il messaggio ICMP indica che l'host non è raggiungibile e non può inviare i pacchetti. In questo caso, l'IP di origine sarà l'IP del WSA.

Questi pacchetti RST e ICMP vengono inviati dal WSA utilizzando la tabella di routing dei dati, tramite M1, P1 o P2, a seconda dell'implementazione.

TAC Authored

Contributo dei tecnici Cisco

  • Jason Alert and Siddharth Rajpathak
    Cisco TAC Engineers.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti