Firepower 데이터 경로 문제 해결 1단계: 패킷 인그레스

소개

이 문서는 Firepower 시스템의 데이터 경로 문제를 체계적으로 해결하여 Firepower의 구성 요소가 트래픽에 영향을 미치는지 여부를 확인하는 방법을 설명하는 일련의 문서 중 일부입니다. Firepower 플랫폼의 아키텍처에 대한 자세한 내용은 개요 문서를 참조하고 다른 데이터 경로 문제 해결 문서에 대한 링크를 참조하십시오.

이 문서에서는 Firepower 데이터 경로 문제 해결의 1단계인 패킷 인그레스 단계를 살펴봅니다.

플랫폼 가이드

다음 표에서는 이 문서에서 다루는 플랫폼에 대해 설명합니다.

플랫폼 코드 이름	설명	적용 가능 하드웨어 플랫폼	참고
SFR	FirePOWER 서비스(SFR) 모듈이 설치된 ASA	ASA 5500-X 시리즈	해당 없음
FTD(비 SSP 및 FPR-2100)	ASA(Adaptive Security Appliance) 또는 가상 플랫폼에 설치된 Firepower Threat Defense(FTD) 이미지	ASA-5500-X 시리즈, 가상 NGFW 플랫폼	해당 없음
FTD(SSP)	FXOS(Firepower eXtensible Operative System) 기반 섀시에 논리적 디바이스로 설치된 FTD	FPR-9300, FPR-4100, FPR-2100	2100 시리즈는 FXOS 섀시 관리자를 사용하지 않음

패킷 인그레스 문제 해결 단계

첫 번째 데이터 경로 문제 해결 단계는 패킷 처리의 인그레스 또는 이그레스 단계에서 삭제가 발생하지 않는지 확인하는 것입니다. 패킷이 인그레스되고 있지만 이그레스되지 않는 경우라면 패킷이 데이터 경로 내의 특정 위치에서 디바이스에 의해 패킷이 삭제되고 있거나 디바이스가 이그레스 패킷을 생성할 수 없는 것입니다(예: ARP 항목 누락).

해당 트래픽 식별

패킷 인그레스 단계의 문제를 해결하는 첫 번째 단계는 문제가 있는 트래픽과 관련된 플로우 및 인터페이스를 격리하는 것입니다. 여기에는 다음 항목이 포함됩니다.

플로우 정보	인터페이스 정보
프로토콜 소스 IP 주소 Source Port(소스 포트) 대상 IP Destination Port(대상 포트)	인그레스 인터페이스 이그레스 인터페이스

예를 들면 다음과 같습니다.

TCP inside 172.16.100.101:38974 outside 192.168.1.10:80

팁: 소스 포트는 각 플로우에서 종종 다르기 때문에 정확한 소스 포트를 식별하지 못할 수도 있지만, 대상(서버) 포트로 충분합니다.

연결 이벤트 확인

플로우 정보뿐만 아니라 트래픽이 일치해야 하는 인그레스 및 이그레스 인터페이스에 대한 아이디어를 얻은 후, Firepower가 플로우를 차단하고 있는지 여부를 확인하는 첫 번째 단계는 해당 트래픽에 대한 연결 이벤트를 확인하는 것입니다. 이는 Firepower Management Center의 분석 > 연결 > 이벤트에서 확인할 수 있습니다.

참고: 연결 이벤트를 확인하기 전에 액세스 제어 정책 규칙에서 로깅이 활성화되어 있는지 확인하십시오. 로깅은 각 액세스 제어 정책 규칙의 "로깅" 탭과 보안 인텔리전스 탭에서 설정합니다. 의심스러운 규칙이 로그를 "이벤트 뷰어"로 전송하도록 설정되었는지 확인합니다.

위의 예에서는 "검색 편집"을 클릭하고 고유한 소스(이니시에이터) IP를 필터로 추가하여 Firepower에서 탐지되고 있던 플로우를 확인합니다. 작업 열에 이 호스트 트래픽에 대해 "허용"이 표시됩니다.

Firepower에서 의도적으로 트래픽을 차단하는 경우 작업에 "차단"이라는 단어가 포함됩니다. "연결 이벤트의 테이블 보기"를 클릭하면 추가 데이터가 제공됩니다. 작업이 "차단"인 경우 연결 이벤트에서 다음 필드를 확인하면 됩니다.

- 이유

- 액세스 제어 규칙

이는 해당 이벤트의 다른 필드와 함께 트래픽을 차단하는 구성 요소의 범위를 좁히는 데 도움이 될 수 있습니다.

액세스 제어 규칙 문제 해결에 대한 보다 자세한 내용을 보려면 여기를 클릭하십시오.

인그레스 및 이그레스 인터페이스에서 패킷 캡처

연결 이벤트에 "허용" 또는 "신뢰"라는 규칙 작업이 표시되었음에도 불구하고 이벤트가 없거나 여전히 Firepower에서 차단하는 것으로 의심되는 경우, 데이터 경로 문제 해결을 계속합니다.

다음은 위에서 언급한 다양한 플랫폼에서 인그레스 및 이그레스 패킷 캡처를 실행하는 방법에 대한 지침입니다.

SFR - ASA 인터페이스에서 캡처

SFR 모듈은 단순히 ASA 방화벽에서 실행되는 모듈이므로 먼저 ASA의 인그레스 및 이그레스 인터페이스에서 캡처하여 인그레스되는 동일한 패킷이 이그레스되는지 확인하는 것이 가장 좋습니다.

이 문서에는 ASA에서 캡처를 수행하는 방법에 대한 지침이 포함되어 있습니다.

ASA에 인그레스되는 패킷이 이그레스되지 않는 것으로 확인된 경우, 문제 해결의 다음 단계(DAQ 단계)를 계속 진행합니다.

참고: ASA 인그레스 인터페이스에서 패킷이 확인되면 연결된 디바이스를 확인하는 것이 좋습니다.

FTD(비 SSP 및 FPR-2100) - 인그레스 및 이그레스 인터페이스에서 캡처

비 SSP FTD 디바이스에서의 캡처는 ASA에서의 캡처와 유사합니다. 그러나 CLI 초기 프롬프트에서 직접 캡처 명령을 실행할 수 있습니다. 삭제된 패킷의 문제를 해결할 때 캡처에 "추적" 옵션을 추가하는 것이 좋습니다.

다음은 포트 22에서 TCP 트래픽에 대한 인그레스 캡처를 설정하는 예입니다.

"추적" 옵션을 추가하면 시스템을 통해 추적할 개별 패킷을 선택하여 최종 판정에 도달한 방법을 확인할 수 있습니다. 또한 NAT(Network Address Translation) IP 수정과 같이 패킷에 대한 적절한 수정이 이루어지고 적절한 이그레스 인터페이스가 선택되었는지 확인하는 데에도 도움이 됩니다.

위의 예에서는 트래픽이 Snort 검사로 이동하고 최종적으로 허용 판정에 도달하여 전체가 디바이스를 통과했음을 확인할 수 있습니다. 트래픽이 양방향으로 표시될 수 있으므로 이 세션 동안 디바이스를 통해 트래픽이 흐르는 것을 확인할 수 있어서 이그레스 캡처가 필요하지 않을 수 있지만, 추적 출력에 표시된 대로 트래픽이 적절하게 이그레스되는지도 확인하려면 이그레스 인터페이스에서도 캡처할 수 있습니다.  

참고: 디바이스가 이그레스 패킷을 생성할 수 없는 경우 추적 작업은 여전히 "허용"이지만, 이그레스 인터페이스 캡처에서 패킷이 생성되거나 표시되지 않습니다. 이는 FTD에 다음 홉 또는 대상 IP에 대한 ARP 항목이 없는 매우 일반적인 시나리오입니다(마지막 항목이 직접 연결된 경우).  

FTD(SSP) - 논리적 FTD 인터페이스에서 캡처

위에서 언급한 것처럼 FTD에서 패킷 캡처를 생성하는 동일한 단계를 SSP 플랫폼에서 수행할 수 있습니다. SSH를 사용하여 FTD 논리적 인터페이스의 IP 주소에 연결하고 다음 명령을 입력할 수 있습니다.

Firepower-module1> connect ftd
>

다음 명령을 사용하여 FXOS 명령 프롬프트에서 FTD 논리적 디바이스 쉘(shell)로 이동할 수도 있습니다.

# connect module 1 console
Firepower-module1> connect ftd
>

Firepower 9300을 사용하는 경우 모듈 번호는 사용 중인 보안 모듈에 따라 달라질 수 있습니다. 이러한 모듈은 최대 3개의 논리적 디바이스를 지원할 수 있습니다.

다중 인스턴스를 사용 중인 경우 인스턴스 ID를 "connect" 명령에 포함해야 합니다. Telnet 명령을 사용하여 동시에 다른 인스턴스에 연결할 수 있습니다.

# connect module 1 telnet
Firepower-module1>connect ftd ftd1 
Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI
>

인터페이스 오류 확인

인터페이스 레벨 문제도 이 단계에서 확인할 수 있습니다. 이는 인그레스 인터페이스 캡처에서 패킷이 누락된 경우 특히 유용합니다. 인터페이스 오류가 표시되면 연결된 디바이스를 확인하는 것이 도움이 될 수 있습니다.

SFR - ASA 인터페이스 확인

FirePOWER(SFR) 모듈은 기본적으로 ASA에서 실행되는 가상 머신이므로 실제 ASA 인터페이스에서 오류를 확인합니다. ASA의 인터페이스 통계 확인에 대한 자세한 내용은 ASA 시리즈 명령 참조 가이드 섹션을 참조하십시오.

FTD(비 SSP 및 FPR-2100) - 인터페이스 오류 확인

비 SSP FTD 디바이스에서는 > show interface 명령을 초기 명령 프롬프트에서 실행할 수 있습니다. 관심을 둘 출력은 빨간색으로 강조 표시되어 있습니다.

FTD(SSP) - 인터페이스 오류를 찾기 위한 데이터 경로 탐색

9300 및 4100 SSP 플랫폼에는 패킷을 먼저 처리하는 내부 패브릭 인터커넥트가 있습니다.  

초기 패킷 인그레스에서 인터페이스 문제가 있는지 확인하는 것이 좋습니다. 다음은 이러한 정보를 얻기 위해 FXOS 시스템 CLI에서 실행하는 명령입니다.

ssp# scope eth-uplink
ssp /et-uplink # show stats

다음은 샘플 출력입니다.

인그레스되면 패브릭 인터커넥트에서 패킷을 처리한 후 FTD 디바이스를 호스팅하는 논리적 디바이스에 할당된 인터페이스로 패킷을 전송합니다.

다음은 참조용 다이어그램입니다.

인터페이스 레벨 문제를 확인하려면 다음 명령을 입력합니다.

ssp# connect fxos
ssp(fxos)# show interface Ethernet 1/7

다음은 출력 예입니다(발생 가능한 문제는 빨간색으로 강조 표시됨).

오류가 발견되면 실제 FTD 소프트웨어에서 인터페이스 오류도 확인할 수 있습니다.  

FTD 프롬프트로 이동하려면 먼저 FTD CLI 프롬프트로 이동해야 합니다.

# connect module 1 console
Firepower-module1> connect ftd
> show interface

다중 인스턴스의 경우:

# connect module 1 telnet
Firepower-module1>connect ftd ftd1  
Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI 
>

다음은 출력 예입니다.

Cisco TAC(Technical Assistance Center)에 제공할 데이터

데이터	지침
연결 이벤트 스크린샷	지침은 이 문서를 참조하십시오.
'show interface' 출력	지침은 이 문서를 참조하십시오.
패킷 캡처	ASA/LINA: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/1180... Firepower: http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/11777...
ASA 'show tech' 출력	ASA CLI에 로그인하여 터미널 세션을 로그에 저장합니다. show tech 명령을 입력한 다음, TAC에 터미널 세션 출력 파일을 제공합니다. 이 명령을 사용하여 이 파일을 디스크 또는 외부 스토리지 시스템에 저장할 수 있습니다. show tech | redirect disk0:/show_tech.log
트래픽을 검사하는 Firepower 디바이스에서 파일 문제 해결	http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

다음 단계: Firepower DAQ 레이어 문제 해결

Firepower 디바이스가 패킷을 삭제하는지 여부가 확실하지 않은 경우, 모든 Firepower 구성 요소를 한 번에 배제하기 위해 Firepower 디바이스 자체를 우회할 수 있습니다. 이는 해당 트래픽이 Firepower 디바이스로 인그레스되지만 이그레스되지 않는 경우 문제를 완화하는 데 특히 유용합니다.

계속하려면 Firepower 데이터 경로 문제 해결의 다음 단계인 Firepower DAQ를 검토하십시오. 여기를 클릭하여 계속하십시오.