Firepower Management Center에서 일부 TCP 연결 이벤트를 잘못된 방향으로 표시

소개

이 문서에서는 FMC(Firepower Management Center)가 TCP 연결 이벤트를 반대 방향으로 표시하는 이유와 완화 단계를 설명합니다. 여기서 Initiator IP는 TCP 연결의 서버 IP이고 Responder IP는 TCP 연결의 클라이언트 IP입니다.

참고: 이러한 이벤트가 발생하는 데에는 여러 가지 이유가 있습니다. 이 문서에서는 이 증상의 가장 일반적인 원인을 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Firepower 기술
• ASA(Adaptive Security Appliance)에 대한 기본 지식
• TCP(Transmission Control Protocol) 타이밍 메커니즘 이해

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA Firepower Threat Defense(5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X)
• 소프트웨어 버전 6.0.1 이상을 실행하는 ASA Firepower 위협 방어(5512-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X,FP9300,FP4100)
• 소프트웨어 버전 6.0.0 이상을 실행하는 Firepower 모듈이 있는 ASA(5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X,5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) 
• FMC(firepower Management Center) 버전 6.0.0 이상 

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 일반(기본) 컨피그레이션으로 시작했습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경

TCP 연결에서 클라이언트는 초기 패킷을 전송하는 IP를 참조합니다. firepower 관리 센터는 관리되는 디바이스(센서 또는 FTD)가 연결의 초기 TCP 패킷을 확인하는 경우 연결 이벤트를 생성합니다.

TCP 연결의 상태를 추적하는 디바이스에는 엔드포인트에서 잘못 종료되지 않은 연결이 오랫동안 사용 가능한 메모리를 소비하지 않도록 하는 유휴 시간 제한이 정의되어 있습니다. Firepower에서 설정된 TCP 연결에 대한 기본 유휴 시간 제한은 3분입니다. 3분 이상 유휴 상태로 유지된 TCP 연결은 Firepower IPS 센서에서 추적되지 않습니다.

시간 초과 이후의 후속 패킷은 새 TCP 플로우로 처리되며 이 패킷과 일치하는 규칙에 따라 전달 결정을 내립니다. 패킷이 서버에서 오는 경우 서버의 IP가 이 새 플로우의 개시자로 기록됩니다. 규칙에 대해 로깅이 활성화된 경우 Firepower Management Center에서 연결 이벤트가 생성됩니다.

참고: 구성된 정책에 따라 시간 초과 이후에 오는 패킷의 전달 결정은 초기 TCP 패킷의 결정과 다릅니다. 구성된 기본 작업이 "Block(차단)"이면 패킷이 삭제됩니다.

 이러한 증상의 예는 아래 스크린샷에 나와 있습니다.

솔루션

이 문제는 TCP 연결의 시간 초과를 늘림으로써 완화됩니다. 시간 제한을 변경하려면

1. Policies > Access Control > Intrusion으로 이동합니다.
2. 오른쪽 상단 모서리로 이동하여 Network Access Policy(네트워크 액세스 정책)를 선택합니다.
   
3. Create Policy(정책 생성)를 선택하고 이름을 선택한 다음 Create and Edit Policy(정책 생성 및 수정)를 클릭합니다. 기반 정책을 수정하지 마십시오. 
4. Settings(설정) 옵션을 확장하고 TCP Stream Configuration(TCP 스트림 컨피그레이션)을 선택합니다.
5. Configuration(컨피그레이션) 섹션으로 이동하여 원하는 대로 Timeout(시간 초과) 값을 변경합니다.
6. Policies(정책) > Access Control(액세스 제어) > Access Control(액세스 제어)로 이동합니다.
7. 관련 관리되는 디바이스에 적용된 정책을 수정하거나 새 정책을 생성하려면 Edit 옵션을 선택합니다.
8. 액세스 정책에서 Advanced 탭을 선택합니다.
9. Network Analysis and Intrusion Policies(네트워크 분석 및 침입 정책) 섹션을 찾고 Edit(수정) 아이콘을 클릭합니다.
10. Default Network Analysis Policy(기본 네트워크 분석 정책)의 드롭다운 메뉴에서 2단계에서 생성한 정책을 선택합니다.
11. OK(확인)를 클릭하고 변경 사항을 저장합니다.
12. Deploy(구축) 옵션을 클릭하여 관련 관리되는 디바이스에 정책을 구축합니다.

주의: 시간 초과가 증가하면 메모리 사용률이 증가할 것으로 예상되므로 Firepower은 더 오랜 시간 동안 엔드포인트에서 닫히지 않는 흐름을 추적해야 합니다. 실제 메모리 사용률 증가는 네트워크 애플리케이션이 TCP 연결을 유휴 상태로 유지하는 기간에 따라 달라지므로 각각의 고유한 네트워크마다 다릅니다.

결론

TCP 연결의 유휴 시간 제한에 대한 각 네트워크의 벤치마크는 서로 다릅니다. 사용 중인 애플리케이션에 따라 완전히 달라집니다. 네트워크 애플리케이션이 TCP 연결을 유휴 상태로 유지하는 기간을 관찰하여 최적의 값을 설정해야 합니다. Cisco ASA의 Firepower 서비스 모듈과 관련된 문제의 경우, 최적의 값을 추론할 수 없는 경우 ASA의 시간 제한 값까지 단계적으로 늘려 시간 제한을 조정할 수 있습니다.

관련 정보

• 설치 및 업그레이드 가이드
• 기술 지원 및 문서 − Cisco Systems
• ASA Firepower 빠른 시작 설명서