Obsah skrýt
1 Uživatelská příručka CISCO Elephant Flow Detection
2 O detekci toku slonů a nápravě
3 Upgrade Elephant Flow z Intelligent Application Bypass
4 Nakonfigurujte Elephant Flow
5 Dokumenty / zdroje
5.1 Reference

Uživatelská příručka CISCO Elephant Flow Detection

CISCO Elephant Flow Detection

 

Sloní toky jsou extrémně velké (v celkových bajtech), nepřetržité toky nastavené tokem TCP (nebo jinými protokoly) měřenými přes síťové spojení. Ve výchozím nastavení jsou toky slonů větší než 1 GB/10 sekund. Mohou způsobit výkonnostní tlak v jádrech Snort. Sloní toky nejsou četné, ale mohou zabírat neúměrný podíl na celkové šířce pásma po určitou dobu. Mohou vést k problémům, jako je vysoké vytížení CPU, vypadávání paketů a tak dále.

Od řídicího centra 7.2.0 a novějších (pouze zařízení Snort 3) můžete k detekci a nápravě toku slonů použít funkci sloního toku, což pomáhá snížit zátěž systému a vyřešit zmíněné problémy.

  • O detekci a nápravě sloního toku na straně 1
  • Upgrade Elephant Flow z Intelligent Application Bypass, na straně 1
  • Konfigurace Elephant Flow, na straně 2

 

O detekci toku slonů a nápravě

Funkci detekce sloního toku můžete použít k detekci a nápravě toku slonů. Lze použít následující nápravná opatření:

  • Obejít tok slonů – Můžete nakonfigurovat tok slonů tak, aby obcházel kontrolu Snort. Pokud je toto nakonfigurováno, Snort z tohoto toku nepřijme žádný paket.
  • Omezte průtok slona – na průtok můžete použít omezení rychlosti a pokračovat v kontrole průtoků. Průtok se vypočítá dynamicky a sníží se o 10 % průtoku. Snort odešle verdikt (tok QoS s o 10 % nižším průtokem) do brány firewall. Pokud se rozhodnete obejít všechny aplikace včetně neidentifikovaných aplikací, nemůžete konfigurovat akci omezení (limit rychlosti) pro žádný tok.

Poznámka Aby detekce toku slonů fungovala, musí být detekčním motorem Snort 3.

 

Upgrade Elephant Flow z Intelligent Application Bypass

Intelligent Application Bypass (IAB) je od verze 7.2.0 pro zařízení Snort 3 zastaralá.
U zařízení se systémem 7.2.0 nebo novějším musíte nakonfigurovat nastavení toku slonů v části Nastavení toku slonů v zásadě AC (karta Pokročilá nastavení).

Po upgradu na 7.2.0 (nebo novější), pokud používáte zařízení Snort 3, budou nastavení konfigurace toku slonů vybrána a nasazena v části Nastavení toku slonů a ne v části Nastavení obcházení inteligentních aplikací, takže pokud nemigrovali do nastavení konfigurace Elephant Flow, vaše zařízení ztratí konfiguraci Elephant Flow při příštím nasazení.

Následující tabulka ukazuje konfigurace IAB nebo elephant flow, které lze použít na verzi 7.2.0 nebo novější a na verzi 7.1.0 nebo dřívější, které používají motory Snort 3 nebo Snort 2.

OBR 1 Upgrade Elephant Flow z Intelligent Application Bypass.JPG

 

Nakonfigurujte Elephant Flow

Můžete nakonfigurovat tok slonů tak, aby prováděl akce na tocích slonů, což pomáhá řešit problémy, jako je nátlak systému, vysoké využití procesoru, zahazování paketů a tak dále.

Ikona upozornění  Pozor: Detekce sloního toku není použitelná pro předfiltrované, důvěryhodné nebo zrychlené toky, které nezpracovávají přes Snort. Protože Snort detekuje toky slonů, detekce toku slonů není použitelná pro šifrovaný provoz.

Postup

Krok 1

OBR. 2 Postup

Obrázek 1: Konfigurace detekce toku slonů

OBR 3 Konfigurace Elephant Flow Detection.jpg

Krok 2 Přepínací tlačítko Detekce toku slonů je ve výchozím nastavení povoleno. Můžete nakonfigurovat hodnoty pro bajty toku a trvání toku. Když překročí vámi nakonfigurované hodnoty, vygenerují se události toku slonů.
Krok 3 Chcete-li opravit toky slonů, povolte přepínací tlačítko Remediace sloního toku.
Krok 4 Chcete-li nastavit kritéria pro nápravu toku slonů, nakonfigurujte hodnoty pro využití CPU %, trvání pevných časových oken a % poklesu paketů.
Krok 5 Můžete provést následující akce pro nápravu sloního toku, pokud splňuje nakonfigurovaná kritéria:
A. Bypass the flow (Vynechat tok) – Povolením tohoto tlačítka obcházíte kontrolu Snort pro vybrané aplikace nebo filtry. Vyberte si z:
• Všechny aplikace včetně neidentifikovaných aplikací – Tuto možnost vyberte, chcete-li obejít veškerý provoz aplikací. Pokud nakonfigurujete tuto možnost, nemůžete nakonfigurovat akci škrticí klapky (limit rychlosti) pro žádný průtok.
• Vybrat aplikace/filtry – Tuto možnost vyberte, chcete-li vybrat aplikace nebo filtry, jejichž provoz chcete obejít; viz Konfigurace podmínek aplikace a filtrů.
b. Omezit průtok – povolte toto tlačítko, chcete-li na průtok použít omezení rychlosti a pokračovat v kontrole průtoků. Všimněte si, že můžete vybrat aplikace nebo filtry, které vynechají kontrolu Snort a přiškrtí zbývající toky.

Poznámka

K automatickému odstranění škrtící klapky ze škrceného sloního toku dochází, když je systém mimo nátlak, tj.tage of Snort packet dropets je menší než váš nakonfigurovaný práh. V důsledku toho je také odstraněno omezení rychlosti.
Můžete také ručně odstranit omezení z omezeného toku slonů pomocí následujících příkazů obrany proti hrozbám:
• clear efd-throttle <5-tiple/all> bypass—Tento příkaz odstraní škrcení z přiškrceného toku slonů a obchází kontrolu Snort.
• clear efd-throttle <5-tiple/all>—Tento příkaz odstraní škrcení z přiškrceného toku slona a kontrola Snort pokračuje. Po použití tohoto příkazu je náprava sloního toku přeskočena.
Další informace o těchto příkazech naleznete v příručce Cisco Secure Firewall Threat Defense Command Reference.

Pozor

U zařízení Cisco Firepower řady 2100 není podporováno provádění akcí se sloními toky (obcházení a omezení toku).

Krok 6 V sekci Remediation Exemption Rule klikněte na Add Rule pro konfiguraci pravidel L4 access control list (ACL) pro toky, které musí být vyjmuty z nápravy.
Krok 7 V okně Přidat pravidlo použijte záložku Sítě k přidání podrobností o síti, tj. zdrojové a cílové sítě. Pomocí karty Porty přidejte zdrojový port a cílový port.
Pokud je detekován sloní tok a odpovídá definovaným pravidlům, je vygenerována událost s důvodem jako Elephant Flow Exempted v záhlaví sloupce Reason událostí připojení.
Krok 8 V části Pravidlo výjimky z nápravy můžete view toky, které jsou vyňaty z nápravného opatření.
Krok 9 Klepnutím na OK uložíte nastavení toku slonů.
Krok 10 Kliknutím na tlačítko Uložit zásady uložíte.

Co dělat dál
Nasadit změny konfigurace; viz Změny konfigurace nasazení.
Po konfiguraci nastavení toku slonů sledujte události připojení a zjistěte, zda nebyly zjištěny, vynechány nebo omezeny toky. Můžete view toto v poli Důvod vaší události připojení. Tři důvody pro spojení sloního toku jsou:
• Elephant Flow
• Elephant Flow Throttled
• Důvěryhodný Elephant Flow

Ikona upozornění Pozor Samotné povolení detekce toku slonů nezpůsobí generování událostí připojení pro toky slonů. Pokud je událost připojení již zaznamenána z jiného důvodu a tok je také tok slonů, pak pole Důvod obsahuje tyto informace. Chcete-li však zajistit, že protokolujete všechny toky slonů, musíte povolit protokolování připojení v příslušných pravidlech řízení přístupu.

Další informace naleznete v části Cisco Secure Firewall Elephant Flow Detection.

 

Přečtěte si více o této příručce a stáhněte si PDF:

Dokumenty / zdroje

CISCO Elephant Flow Detection [pdfUživatelská příručka
7.4, Detekce toku slonů, Detekce

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *