Perguntas frequentes do ASA: Por que o ASA envia pacotes para o módulo IPS sem configuração de política de IPS?

Opções de download

  • PDF     (113.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (92.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (76.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:7 de junho de 2013
ID do documento:116145

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve por que o Cisco Adaptive Security Appliance (ASA) pode enviar tráfego para um módulo de serviço incorporado para inspeção quando não há uma política de módulo do Intrusion Prevention System (IPS) na configuração.

P. Por que o ASA envia pacotes para o módulo IPS para inspeção quando não há política de IPS configurada?

A.

É possível que uma conexão tenha sido criada para enviar tráfego ao módulo IPS para inspeção quando o ASA foi configurado e que a conexão ainda esteja ativa.

Por exemplo, um cliente com um ASA5515-IPS não tem uma política configurada em um mapa de política para enviar o tráfego para o módulo IPS de software; no entanto, o tráfego chega ao módulo do ASA.

Ao usar o recurso de exibição de pacote no IPS, você pode ver o tráfego que chega ao IPS do ASA:

14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34

As estatísticas de interface na interface de detecção de IPS foram limpas e os pacotes foram recebidos:

sensor#  show interfaces portChannel
MAC statistics from interface PortChannel0/0
   Interface function = Sensing interface
   Description =
   Media Type = backplane
   Default Vlan = 0
   InlineMode = Unpaired
   Pair Status = N/A
   Hardware Bypass Capable = No
   Hardware Bypass Paired = N/A
   Link Status = Up
   Admin Enabled Status = Enabled
   Link Speed = N/A
   Link Duplex = N/A
   Missed Packet Percentage = 0
   Total Packets Received = 128
   Total Bytes Received = 17904
   Total Packets Transmitted = 128
   Total Bytes Transmitted = 17904

A causa do problema é que em algum momento do passado uma configuração foi adicionada ao ASA para enviar tráfego para o módulo IPS, e as conexões não foram apagadas depois que a configuração do IPS foi removida no ASA. Isso é comum com protocolos não TCP que transmitem tráfego constantemente.


No ASA, digite o comando show conn para determinar se os pacotes que você vê no módulo IPS têm entradas de conexão. Para ver os tempos de atividade, insira o comando show conn detail. Para garantir que as conexões não sejam redirecionadas para o IPS, você pode ter que digitar o comando clear conn <address> no ASA para limpar essas conexões específicas:

ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
07-Jun-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Prapanch Ramamoorthy and Abhishek Prabhakar
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos