Упатство за употреба на CISCO за откривање проток на слон
Слоновите текови се екстремно големи (во вкупни бајти), континуирани текови поставени од TCP (или други протоколи) мерени преку мрежна врска. Стандардно, тековите на слон се оние поголеми од 1 GB/10 секунди. Тие можат да предизвикаат притисок во изведбата во јадрата Snort. Слоновите текови не се многубројни, но тие можат да заземат непропорционален дел од вкупниот пропусен опсег во одреден временски период. Тие можат да доведат до проблеми, како што се голема искористеност на процесорот, паѓање на пакети итн.
Од центарот за управување 7.2.0 наваму (само уреди со Snort 3), можете да ја користите функцијата проток на слонови за откривање и отстранување на протокот на слон, што помага да се намали стресот на системот и да се решат споменатите проблеми.
- За откривање и ремедијација на проток на слон, на страница 1
- Надградба на протокот на слонови од интелигентен бајпас на апликации, на страница 1
- Конфигурирајте го протокот на слонови, на страница 2
За откривање и ремедијација на проток на слон
Можете да ја користите функцијата за откривање проток на слонови за да откриете и да ги поправите тековите на слонови. Може да се применат следниве мерки за санација:
- Заобиколете го протокот на слонови – можете да го конфигурирате протокот на слон да ја заобиколи проверката на Snort. Ако ова е конфигурирано, Snort не прима никаков пакет од тој проток.
- Проток на слон со гас – можете да примените ограничување на брзината на протокот и да продолжите да ги проверувате тековите. Протокот се пресметува динамички и 10% од протокот се намалува. Snort ја испраќа пресудата (QoS тек со 10% помала брзина на проток) до моторот со заштитен ѕид. Ако изберете да ги заобиколите сите апликации, вклучително и неидентификувани апликации, не можете да го конфигурирате дејството на гасот (ограничување на брзината) за кој било проток.
Забелешка За да функционира детекцијата на проток на слон, Snort 3 мора да биде моторот за откривање.
Надградба на протокот на слонови од интелигентен бајпас на апликации
Интелигентниот бајпас на апликации (IAB) е застарен од верзијата 7.2.0 наваму за уредите Snort 3.
За уреди со 7.2.0 или понова верзија, мора да ги конфигурирате поставките за проток на слон во делот Поставки за проток на слон во политиката за наизменична струја (табот Напредни поставки).
По надградбата на 7.2.0 (или понова верзија), ако користите уред Snort 3, поставките за конфигурација на протокот на слон ќе бидат избрани и распоредени од делот „Поставки за проток на слонови“, а не од делот „Поставки за заобиколување на интелигентна апликација“, па ако не сте мигрирале во поставките за конфигурација на Elephant Flow, вашиот уред ќе ја изгуби конфигурацијата за проток на слон при следното распоредување.
Следната табела ги прикажува конфигурациите за проток на IAB или слон што може да се применат на верзијата 7.2.0 или понова и на верзијата 7.1.0 или порано што работат со мотори Snort 3 или Snort 2.
Конфигурирајте го протокот на слон
Може да го конфигурирате протокот на слонови да презема дејствија за протокот на слонови, што помага да се решат проблемите, како што се притисок на системот, голема искористеност на процесорот, падови на пакети итн.
Внимание: Откривањето на проток на слон не е применливо за претходно филтрирани, доверливи или брзо проследени текови, кои не се обработуваат преку Snort. Бидејќи тековите на слонови се откриваат од Snort, откривањето на проток на слонови не е применливо за шифриран сообраќај.
Постапка
Чекор 1
Слика 1: Конфигурирајте ја детекцијата на проток на слон
Чекор 2 Копчето за вклучување Откривање проток на слон е стандардно овозможено. Можете да ги конфигурирате вредностите за бајти на проток и времетраењето на протокот. Кога ќе ги надминат вашите конфигурирани вредности, се генерираат настани за проток на слон.
Чекор 3 За да го поправите протокот на слонови, овозможете го копчето за вклучување Ремедијација на протокот на слонови.
Чекор 4 За да ги поставите критериумите за ремедијација на протокот на слон, конфигурирајте ги вредностите за искористување на процесорот %, времетраење на прозорците со фиксно време и пад на пакети %.
Чекор 5 Можете да ги извршите следните дејства за ремедијација на протокот на слон кога ги исполнува конфигурираните критериуми:
а. Bypass the flow—Овозможете го ова копче за да се заобиколи проверката на Snort за избраните апликации или филтри. Одбери од:
• Сите апликации вклучувајќи неидентификувани апликации—Одберете ја оваа опција за да го заобиколите целиот сообраќај на апликациите. Ако ја конфигурирате оваа опција, не можете да го конфигурирате дејството на гасот (ограничување на брзината) за кој било проток.
• Select Applications/Filters—Одберете ја оваа опција за да ги изберете апликациите или филтрите чиј сообраќај сакате да го заобиколите; видете Конфигурирање на условите за апликација и филтри.
б. Throttle the flow—Овозможете го ова копче да примени ограничување на брзината на протокот и да продолжи да ги проверува тековите. Забележете дека можете да ги изберете апликациите или филтрите за да ја заобиколат проверката на Snort и да ги пригушат преостанатите текови.
Забелешка
Автоматско отстранување на гас од пригушен проток на слон се случува кога системот е надвор од принуда, т.е.tage на Snort падови на пакети е помал од вашиот конфигуриран праг. Следствено, ограничувањето на стапката исто така е отстрането.
Можете исто така рачно да го отстраните пригушувањето од пригушен проток на слон, користејќи ги следните команди за одбрана од закани:
• исчистете го efd-throttle bypass—Оваа команда го отстранува пригушувањето од протокот на пригушениот слон и ја заобиколува проверката на Snort.
• јасно efd-throttle —Оваа команда го отстранува пригушувањето од протокот на пригушениот слон и продолжува инспекцијата Snort. Ремедијацијата на протокот на слон е прескокната по употребата на оваа команда.
За повеќе информации за овие команди, видете ја Референцата за команда за одбрана од закана од заканата на Cisco Secure Firewall.
Внимание
На уредите од серијата Cisco Firepower 2100 не е поддржано преземањето дејствија за протокот на слонови (заобиколување и гаснење на протокот).
Чекор 6 Во делот Правило за ослободување од санација, кликнете Додај правило за да ги конфигурирате правилата на списокот за контрола на пристап L4 (ACL) за текови што мора да бидат изземени од санација.
Чекор 7 Во прозорецот Додај правило, користете го табот Мрежи за да ги додадете деталите за мрежата, тоа е изворната мрежа и одредишната мрежа. Користете го табот Ports за да ја додадете изворната порта и дестинацијата.
Ако се открие проток на слон и се совпаѓа со правилата што се дефинирани, се генерира настан со причина како Проток на слон е исклучен во заглавието на колоната Причина на Настаните за поврзување.
Чекор 8 Во делот Правило за ослободување од санација, можете view тековите кои се изземени од акцијата за санација.
Чекор 9 Кликнете OK за да ги зачувате поставките за проток на слон.
Чекор 10 Кликнете Зачувај за да ја зачувате политиката.
Што да се прави следно
Распоредете промени во конфигурацијата; видете Распоредување на промени во конфигурацијата.
Откако ќе ги конфигурирате поставките за проток на слон, следете ги настаните за поврзување за да видите дали некој тек е откриен, заобиколен или пригушен. Ти можеш view ова во полето Причина на настанот за поврзување. Трите причини за поврзување на протокот на слон се:
• Тек на слон
• Слон пригушен проток
• Доверлив тек на слон
Внимание Овозможувањето само откривање на проток на слонови не предизвикува генерирање настани за поврзување за тековите на слонови. Ако настанот за поврзување е веќе евидентиран поради друга причина и протокот е исто така проток на слон, тогаш полето Reason ги содржи овие информации. Меѓутоа, за да се осигурате дека ги евидентирате сите текови на слонови, мора да го овозможите најавувањето на врската во важечките правила за контрола на пристап.
Погледнете во Cisco Secure Firewall Откривање проток на слонови за повеќе информации.
Прочитајте повеќе за овој прирачник и преземете PDF:
Документи / ресурси
 |
CISCO Откривање на проток на слонови [pdf] Упатство за корисникот 7.4, Откривање на проток на слон, Откривање |