Embed Size (px)
Citation preview
Configure, verifique y resuelva problemas elregistro del dispositivo de FirePOWER Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesOpciones del diseño¿Qué información se intercambia a través del sftunnel?¿Qué protocolo/puerto es utilizado por el sftunnel?¿Cómo cambiar el puerto de Sftunnel TCP en FTD?¿Cuántas conexiones son establecidas por el sftunnel?¿Qué dispositivo inicia cada canal?ConfigurarFundamentos del registroDecorado 1. dirección IP de los parásitos atmosféricos FMC y FTDDirección IP del DHCP del decorado 2. FTD - Dirección IP de los parásitos atmosféricos FMCDirección IP estática del decorado 3. FTD - Dirección IP del DHCP FMCRegistro del decorado 4. FTD a FMC haDecorado 5. FTD haRacimo del decorado 6. FTDProblemas frecuentes del Troubleshooting1. Sintaxis inválido en FTD CLI2. Discrepancia de clave del registro entre FTD - FMC3. Problemas de la Conectividad entre FTD - FMC4. Interruptores incompatibles entre FTD – FMC5. Diferencia de tiempo entre FTD y FMC6. proceso del sftunnel abajo o inhabilitado7. Registro pendiente FTD en FMC secundario8. Falla a causa del registro al MTU de la trayectoria9. FTD consigue no registrado después de que un cambio de la carga inicial del encargado UI delchasis10. FTD pierde el acceso a FMC debido a los mensajes del Redireccionamiento de ICMP11. La dirección IP no es accesible
Introducción
Este documento describe la operación, la verificación, y los procedimientos del troubleshooting dela conexión (sftunnel) entre una defensa manejada de la amenaza de FirePOWER (FTD) ymanejo del centro de administración de FirePOWER (FMC). La información y los ejemplos sebasan en FTD, pero la mayor parte de los conceptos son también completamente aplicables a
NGIPS (dispositivos de las 7000/8000 Series) o a un módulo de FirePOWER en ASA55xx.
Contribuido por Mikis Zafeiroudis, Ilkin Gasimov, ingenieros del TAC de Cisco.
Prerrequisitos
Requisitos
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Software 6.6.x y 6.5.x FTD●
Software 6.6.x FMC●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Un FTD apoya a 2 modos de administración principales:
Apagado-cuadro vía FMC - también conocido como Administración remota●
En-cuadro vía el administrador de dispositivos de FirePOWER (FDM) y/o el Orchestrator de ladefensa de Cisco (CDO) – también conocido como administración local
●
En el caso de la Administración remota las necesidades FTD primero de registrarse al FMCusando un proceso conocido como registro del dispositivo. Una vez que se hace el registro losFTD y los FMC establecen un túnel seguro llamado sftunnel (el nombre deriva del túnel deSourcefire).
Opciones del diseño
Desde un punto de vista del diseño los FTD – FMC puede estar en la misma subred L3:
o sea separado por diversas redes:
Nota: El sftunnel puede también pasar con el FTD sí mismo. Este diseño no se recomienda.La razón es un problema del dato-avión FTD puede interrumpir la comunicación entre FTD yFMC.
¿Qué información se intercambia a través del sftunnel?
Esta lista contiene la mayor parte de la información que se lleva a través del sftunnel:
Latido del corazón del dispositivo (Keepalives)●
Sincronización horaria (NTP)●
Eventos (conexión, Intrusion/IPS, fichero, SSL etc)●
Operaciones de búsqueda de Malware●
Eventos de estado/alertas●
Información del usuario y del grupo (para las directivas de la identidad)●
Información del estado FTD ha●
Información del estado del racimo FTD●
Información/eventos inteligentes de la Seguridad (SI)●
Información/eventos del director de la inteligencia de amenaza (TID)●
Ficheros capturados●
Eventos de la detección de red●
Manojo de la directiva (implementación de política)●
Manojos de la actualización de software●
Manojos de la parche de software●
VDBs●
SRUs●
¿Qué protocolo/puerto es utilizado por el sftunnel?
El sftunnel utiliza el puerto 8305 TCP. En la parte es un túnel de TLS:
¿Cómo cambiar el puerto de Sftunnel TCP en FTD?
> configure network management-port 8306
Management port changed to 8306.
Nota: En este caso usted debe también cambiar el puerto en FMC (configuración >interfaces de administración > las configuraciones compartidas). Esto afecta a todos losotros dispositivos que se registren ya al mismo FMC. Cisco recomienda fuertemente queusted guarda las configuraciones por defecto para el puerto de administración remoto, perosi el puerto de administración está en conflicto con otras comunicaciones sobre su red,usted puede elegir un diverso puerto. Si usted cambia el puerto de administración, usteddebe cambiarlo para todos los dispositivos en su despliegue que necesiten comunicarjuntos.
¿Cuántas conexiones son establecidas por el sftunnel?
El sftunnel establece 2 conexiones (canales):
Canal de control●
Canal de eventos●
¿Qué dispositivo inicia cada canal?
Depende del decorado. Controle los decorados describe en el resto del documento.
Configurar
Fundamentos del registro
FTD CLI
En FTD el sintaxis básico para el registro del dispositivo es:
>configure al encargado agregan el <Registration Key> <NAT <FMC Host> ID>
Valor Descripción
Host FMC
Éste puede ser cualquiera:Hostname●
direccionamiento ipv4●
direccionamiento del IPv6●
DONTRESOLVE●
Clave del registro
Esto es una cadena alfanumérica del secretocompartido (entre 2 y 36 chares) usada para el registrodel dispositivo. Solamente se dan un plazo losalfanuméicos, el guión (-), el caracter de subrayado (_)y el período (.).
IDENTIFICACIÓN NAT
Una cadena alfanumérica usada durante el proceso deinscripción entre el FMC y el dispositivo cuando unlado no especifica una dirección IP. Especifique lamisma IDENTIFICACIÓN NAT en el FMC.
Para los detalles adicionales controle la referencia del comando de la defensa de la amenaza deCisco FirePOWER
FMC UI
En FMC navegue a los dispositivos > a la Administración de dispositivos. Selecto agregue >dispositivo
En el host especifique la dirección IP FTD.●
En el nombre de la visualización especifique sea cual sea usted quiere.●
La clave del registro debe hacer juego el especificada en el FTD CLI.●
En caso de que usted utilice los dominios múltiples especifican el dominio bajo el cual ustedquiere agregar el FTD.
●
En el grupo, especifique el grupo del dispositivo bajo el cual usted quiere agregar el FTD.●
En la directiva del control de acceso especifique la política de seguridad que usted quieredesplegar en FTD.
●
Autorización de Smart: Especifique las licencias necesarias necesarias por las funcionesconfiguradas.
●
IDENTIFICACIÓN NAT: Necesitado en los decorados específicos descritos más adelante eneste documento.
●
Para los detalles adicionales controle la guía de configuración del centro de administración deFirePOWER, agregan los dispositivos al centro de administración de FirePOWER
Decorado 1. dirección IP de los parásitos atmosféricos FMC y FTD
FTD CLI
>configure al encargado agregan el <Registration estático Key> <FMC IP>
e.g.
> configure manager add 10.62.148.75 Cisco-123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
Antecedentes
Tan pronto como usted ingrese el comando FTD el FTD intenta conectar con el FMC cada 20segundos, pero puesto que el FMC todavía no se configura contesta con TCP RST:
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Global
Selection? 0
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 10.62.148.75
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:53:33.365513 IP 10.62.148.42.46946 > 10.62.148.75.8305: Flags [S], seq 2274592861, win 29200,
options [mss 1460,sackOK,TS val 55808298 ecr 0,nop,wscale 7], length 0
18:53:33.365698 IP 10.62.148.75.8305 > 10.62.148.42.46946: Flags [R.], seq 0, ack 2274592862,
win 0, length 0
18:53:53.365973 IP 10.62.148.42.57607 > 10.62.148.75.8305: Flags [S], seq 1267517632, win 29200,
options [mss 1460,sackOK,TS val 55810298 ecr 0,nop,wscale 7], length 0
18:53:53.366193 IP 10.62.148.75.8305 > 10.62.148.42.57607: Flags [R.], seq 0, ack 1267517633,
win 0, length 0
18:54:13.366383 IP 10.62.148.42.55484 > 10.62.148.75.8305: Flags [S], seq 4285875151, win 29200,
options [mss 1460,sackOK,TS val 55812298 ecr 0,nop,wscale 7], length 0
18:54:13.368805 IP 10.62.148.75.8305 > 10.62.148.42.55484: Flags [R.], seq 0, ack 4285875152,
win 0, length 0
El estatus del registro del dispositivo:
> show managers
Host : 10.62.148.75
Registration Key : ****
Registration : pending
RPC Status :
Type : Manager
Host : 10.62.148.75
Registration : Pending
El FTD escucha en el puerto TCP 8305:
admin@vFTD66:~$ netstat -na | grep 8305
tcp 0 0 10.62.148.42:8305 0.0.0.0:* LISTEN
FMC UI
En este caso, especifique:
Reciba (dirección IP del FTD)●
Visualice el nombre●
Clave del registro (éste debe hacer juego el que está configurado en FTD)●
Directiva del control de acceso●
Domain●
Información de autorización elegante●
Seleccione el registro
El comienzo del proceso de inscripción:
El FMC comienza a escuchar en el puerto TCP 8305:
admin@FMC2000-2:~$ netstat -na | grep 8305
tcp 0 0 10.62.148.75:8305 0.0.0.0:* LISTEN
En el fondo el FMC inicia una conexión TCP:
20:15:55.437434 IP 10.62.148.42.49396 > 10.62.148.75.8305: Flags [S], seq 655146775, win 29200,
options [mss 1460,sackOK,TS val 56302505 ecr 0,nop,wscale 7], length 0
20:15:55.437685 IP 10.62.148.75.8305 > 10.62.148.42.49396: Flags [R.], seq 0, ack 655146776, win
0, length 0
20:16:00.463637 ARP, Request who-has 10.62.148.42 tell 10.62.148.75, length 46
20:16:00.463655 ARP, Reply 10.62.148.42 is-at 00:50:56:85:7b:1f, length 28
20:16:08.342057 IP 10.62.148.75.50693 > 10.62.148.42.8305: Flags [S], seq 2704366385, win 29200,
options [mss 1460,sackOK,TS val 1181294721 ecr 0,nop,wscale 7], length 0
20:16:08.342144 IP 10.62.148.42.8305 > 10.62.148.75.50693: Flags [S.], seq 1829769842, ack
2704366386, win 28960, options [mss 1460,sackOK,TS val 56303795 ecr 1181294721,nop,wscale 7],
length 0
20:16:08.342322 IP 10.62.148.75.50693 > 10.62.148.42.8305: Flags [.], ack 1, win 229, options
[nop,nop,TS val 1181294722 ecr 56303795], length 0
20:16:08.342919 IP 10.62.148.75.50693 > 10.62.148.42.8305: Flags [P.], seq 1:164, ack 1, win
229, options [nop,nop,TS val 1181294722 ecr 56303795], length 163
20:16:08.342953 IP 10.62.148.42.8305 > 10.62.148.75.50693: Flags [.], ack 164, win 235, options
[nop,nop,TS val 56303795 ecr 1181294722], length 0
Se establece el canal de control del sftunnel:
admin@FMC2000-2:~$ netstat -na | grep 8305
tcp 0 0 10.62.148.75:8305 0.0.0.0:* LISTEN
tcp 0 0 10.62.148.75:50693 10.62.148.42:8305 ESTABLISHED
> sftunnel-status
SFTUNNEL Start Time: Sat Apr 18 20:14:20 2020
Both IPv4 and IPv6 connectivity is supported
Broadcast count = 4
Reserved SSL connections: 0
Management Interfaces: 1
eth0 (control events) 10.62.148.42,
***********************
**RUN STATUS****ksec-fs2k-2-mgmt.cisco.com*************
Cipher used = AES256-GCM-SHA384 (strength:256 bits)
ChannelA Connected: Yes, Interface eth0
ChannelB Connected: No
Registration: Completed.
IPv4 Connection to peer '10.62.148.75' Start Time: Sat Apr 18 20:16:08 2020
PEER INFO:
sw_version 6.6.0
sw_build 90
Management Interfaces: 1
eth0 (control events) 10.62.148.75,
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to
'10.62.148.75' via '10.62.148.42'
Peer channel Channel-B is not valid
Después de algunos minutos se establece el canal de eventos. El iniciador del canal de eventospuede ser cualquier lado. En este ejemplo era el FMC:
20:21:15.347587 IP 10.62.148.75.43957 > 10.62.148.42.8305: Flags [S], seq 3414498581, win 29200,
options [mss 1460,sackOK,TS val 1181601702 ecr 0,nop,wscale 7], length 0
20:21:15.347660 IP 10.62.148.42.8305 > 10.62.148.75.43957: Flags [S.], seq 2735864611, ack
3414498582, win 28960, options [mss 1460,sackOK,TS val 56334496 ecr 1181601702,nop,wscale 7],
length 0
20:21:15.347825 IP 10.62.148.75.43957 > 10.62.148.42.8305: Flags [.], ack 1, win 229, options
[nop,nop,TS val 1181601703 ecr 56334496], length 0
20:21:15.348415 IP 10.62.148.75.43957 > 10.62.148.42.8305: Flags [P.], seq 1:164, ack 1, win
229, options [nop,nop,TS val 1181601703 ecr 56334496], length 163
El puerto del origen aleatorio denota el iniciador de la conexión:
admin@FMC2000-2:~$ netstat -na | grep 10.62.148.42
tcp 0 0 10.62.148.75:50693 10.62.148.42:8305 ESTABLISHED
tcp 0 0 10.62.148.75:43957 10.62.148.42:8305 ESTABLISHED
En caso de que el canal de eventos fuera iniciado por el FTD la salida es:
admin@FMC2000-2:~$ netstat -na | grep 10.62.148.42
tcp 0 0 10.62.148.75:58409 10.62.148.42:8305 ESTABLISHED
tcp 0 0 10.62.148.75:8305 10.62.148.42:46167 ESTABLISHED
Del lado FTD:
> sftunnel-status
SFTUNNEL Start Time: Sat Apr 18 20:14:20 2020
Both IPv4 and IPv6 connectivity is supported
Broadcast count = 6
Reserved SSL connections: 0
Management Interfaces: 1
eth0 (control events) 10.62.148.42,
***********************
**RUN STATUS****ksec-fs2k-2-mgmt.cisco.com*************
Cipher used = AES256-GCM-SHA384 (strength:256 bits)
ChannelA Connected: Yes, Interface eth0
Cipher used = AES256-GCM-SHA384 (strength:256 bits)
ChannelB Connected: Yes, Interface eth0
Registration: Completed.
IPv4 Connection to peer '10.62.148.75' Start Time: Sat Apr 18 20:16:08 2020
PEER INFO:
sw_version 6.6.0
sw_build 90
Management Interfaces: 1
eth0 (control events) 10.62.148.75,
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to
'10.62.148.75' via '10.62.148.42'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.62.148.75'
via '10.62.148.42'
> show managers
Type : Manager
Host : 10.62.148.75
Registration : Completed
>
Dirección IP del DHCP del decorado 2. FTD - Dirección IP de los parásitosatmosféricos FMC
En este decorado, la interfaz de administración FTD consiguió su dirección IP de un servidor delDHCP:
FTD CLI
Usted debe especificar la IDENTIFICACIÓN NAT:
>configure al encargado agregan el <Registration estático Key> <NAT <FMC IP> ID>
e.g.
> configure manager add 10.62.148.75 Cisco-123 nat123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
>
El estado de registro FTD:
> show managers
Host : 10.62.148.75
Registration Key : ****
Registration : pending
RPC Status :
Type : Manager
Host : 10.62.148.75
Registration : Pending
FMC UI
En este caso, especifique:
Visualice el nombre●
Clave del registro (éste debe hacer juego el que está configurado en FTD)●
Directiva del control de acceso●
Domain●
Información de autorización elegante●
IDENTIFICACIÓN NAT (se requiere esto cuando el host no se especifica. Debe hacer juegoel que está configurado en FTD)
●
¿Quién inicia el sftunnel en este caso?
El FTD inicia ambas conexiones de canal:
ftd1:/home/admin# netstat -an | grep 148.75
tcp 0 0 10.62.148.45:40273 10.62.148.75:8305 ESTABLISHED
tcp 0 0 10.62.148.45:39673 10.62.148.75:8305 ESTABLISHED
Dirección IP estática del decorado 3. FTD - Dirección IP del DHCP FMC
> configure manager add DONTRESOLVE Cisco-123 nat123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
>
Nota: Con DONTRESOLVE se requiere la IDENTIFICACIÓN NAT
FMC UI
En este caso especifique:
Dirección IP FTD●
Nombre de la visualización●
Clave del registro (esto debe hacer juego el que está configurado en FTD)●
Directiva del control de acceso●
Domain●
Información de autorización elegante●
IDENTIFICACIÓN NAT (debe hacer juego el que está configurado en FTD)●
El FTD después del registro se hace:
> show managers
Type : Manager
Host : 5a8454ea-8273-11ea-a7d3-d07d71db8f19DONTRESOLVE
Registration : Completed
¿Quién inicia el sftunnel en este caso?
El FMC inicia el canal de control.●
El canal de eventos se puede iniciar por cualquier lado.●
root@FMC2000-2:/Volume/home/admin# netstat -an | grep 148.42
tcp 0 0 10.62.148.75:50465 10.62.148.42:8305 ESTABLISHED
tcp 0 0 10.62.148.75:48445 10.62.148.42:8305 ESTABLISHED
Registro del decorado 4. FTD a FMC ha
En FTD configure solamente el FMC activo:
> configure manager add 10.62.184.22 cisco123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
Nota: Asegúrese de que el tráfico del puerto 8305 TCP esté permitido del FTD a ambosFMCs
Primero, el sftunnel al FMC activo se establece:
> show managers
Type : Manager
Host : 10.62.184.22
Registration : Completed
Después de algunos minutos el FTD comienza el registro al FMC espera:
> show managers
Type : Manager
Host : 10.62.184.22
Registration : Completed
Type : Manager
Host : 10.62.148.249
Registration : Completed
En la parte FTD, se establecen 2 canales de control (uno a cada FMC) y 2 canales de eventos(uno a cada FMC):
ftd1:/home/admin# netstat -an | grep 8305
tcp 0 0 10.62.148.42:8305 10.62.184.22:36975 ESTABLISHED
tcp 0 0 10.62.148.42:42197 10.62.184.22:8305 ESTABLISHED
tcp 0 0 10.62.148.42:8305 10.62.148.249:45373 ESTABLISHED
tcp 0 0 10.62.148.42:8305 10.62.148.249:51893 ESTABLISHED
Decorado 5. FTD ha
En el caso de FTD ha cada unidad tiene un túnel diferente al FMC:
Usted registra FTDs independientemente y entonces de FMC usted forma el FTD ha. Para máscontrol de los detalles:
Configure la Alta disponibilidad FTD en los dispositivos de FirePOWER●
Alta disponibilidad para la defensa de la amenaza de FirePOWER●
Racimo del decorado 6. FTD
En el caso del racimo FTD cada unidad tiene un túnel diferente al FMC. Como a partir de laversión 6.3 FMC usted necesita registrar solamente al master FTD a FMC. Entonces el FMC tomael cuidado del resto de las unidades y auto-descubre que + las registra.
Nota: Recomendamos agregar la unidad principal para el mejor funcionamiento, pero ustedpuede agregar cualquier unidad del racimo. Para el control de los detalles adicionales: Creeun racimo de la defensa de la amenaza de FirePOWER
Resuelva problemas los problemas frecuentes
1. Sintaxis inválido en FTD CLI
En caso del sintaxis inválido en FTD y una tentativa fallada del registro el FMC UI muestra unmensaje de error muy genérico:
En este comando la clave de la palabra clave es la clave del registro mientras que el cisco123 esla IDENTIFICACIÓN NAT. Es muy común agregar la clave de la palabra clave mientras quetécnico no hay tal palabra clave:
> configure manager add 10.62.148.75 key cisco123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
Acción recomendada
Utilice la sintaxis adecuada y no utilice las palabras claves que no existen.
> configure manager add 10.62.148.75 cisco123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
2. discrepancia de clave del registro entre FTD - FMC
Las demostraciones FMC UI:
Acción recomendada
En FTD controle el fichero de /ngfw/var/log/messages para saber si hay problemas de laautenticación.
Manera 1 – Controle los últimos registros
> system support view-files
Type a sub-dir name to list its contents: s
Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> messages
Apr 19 04:02:05 vFTD66 syslog-ng[1440]: Configuration reload request received, reloading
configuration;
Apr 19 04:02:07 vFTD66 SF-IMS[3116]: [3116] pm:control [INFO] ControlHandler auditing message-
>type 0x9017, from '', cmd '/ngf
w/usr/bin/perl /ngfw/usr/local/sf/bin/run_hm.pl --persistent', pid 19455 (uid 0, gid 0)
/authenticate
Apr 19 20:17:14 vFTD66 SF-IMS[18974]: [19131] sftunneld:sf_ssl [WARN] Accept: Failed to
authenticate peer '10.62.148.75' <- The problem
Manera 2 – Controle los registros vivos
> expert
ftd1:~$ sudo su
Password:
ftd1::/home/admin# tail -f /ngfw/var/log/messages
En FTD controle el contenido del fichero de /etc/sf/sftunnel.conf para asegurarse de que la clavedel registro está correcta:
ftd1:~$ cat /etc/sf/sftunnel.conf | grep reg_key
reg_key cisco-123;
3. problemas de la Conectividad entre FTD - FMC
Las demostraciones FMC UI:
Acciones recomendadas
Asegúrese que no haya dispositivo en la trayectoria (e.g un Firewall) esa los bloques el tráfico(TCP 8305). En el caso de FMC ha, asegúrese de que el tráfico al puerto 8305 TCP estépermitido hacia ambos FMCs.
●
Tome las capturas para verificar la comunicación bidireccional. En FTD utilice el comando delcaptura-tráfico. Asegúrese de que haya un apretón de manos de tres vías TCP y ningún TCPFIN o paquetes RST.
●
> capture-traffic
Please choose domain to capture traffic from:
0 - eth0
1 - Global
Selection? 0
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 10.62.148.75
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
20:56:09.393655 IP 10.62.148.42.53198 > 10.62.148.75.8305: Flags [S], seq 3349394953, win 29200,
options [mss 1460,sackOK,TS val 1033596 ecr 0,nop,wscale 7], length 0
20:56:09.393877 IP 10.62.148.75.8305 > 10.62.148.42.53198: Flags [R.], seq 0, ack 3349394954,
win 0, length 0
20:56:14.397412 ARP, Request who-has 10.62.148.75 tell 10.62.148.42, length 28
20:56:14.397602 ARP, Reply 10.62.148.75 is-at a4:6c:2a:9e:ea:10, length 46
Semejantemente, tome una captura en FMC para asegurar la comunicación bidireccional:
root@FMC2000-2:/var/common# tcpdump -i eth0 host 10.62.148.42 -n -w sftunnel.pcap
También se recomienda para exportar la captura en el formato del pcap y para controlar loscontenidos de paquetes:
ftd1:/home/admin# tcpdump -i eth0 host 10.62.148.75 -n -w tunnel.pcap
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
Posibles causas:
El FMC no tiene el dispositivo FTD agregado●
Un dispositivo en la trayectoria (e.g Firewall) bloquea o modifica el tráfico●
Los paquetes no se encaminan correctamente en la trayectoria●
El proceso del sftunnel en FTD o FMC está abajo (el decorado del control 6)●
Hay un problema MTU en la trayectoria (decorado del control 8)●
Para el análisis de la captura controle este documento:
Analice las capturas del Firewall de FirePOWER para resolver problemas con eficacia losproblemas de red
4. Interruptores incompatibles entre FTD – FMC
Las demostraciones FMC UI:
Acción recomendada
Controle el fichero FTD /ngfw/var/log/messages:
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:sf_connections [INFO] Need to
send SW version and Published Services to 10.62.148.247
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:sf_channel [INFO] >>
ChannelState do_dataio_for_heartbeat peer 10.62.148.247 / channelA / CONTROL [ msgSock &
ssl_context ] <<
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:sf_heartbeat [INFO] Saved SW
VERSION from peer 10.62.148.247 (6.5.0.4)
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:ssl_mac [WARN] FMC(manager)
10.62.148.247 send unsupported version 6.5.0.4
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:sf_connections [INFO]
<<<<<<<<<<<<<<<<<<<<<< ShutDownPeer 10.62.148.247 >>>>>>>>>>>>>>>>>>>>>>>>
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:stream_file [INFO] Stream CTX
destroyed for 10.62.148.247
Apr 19 22:08:09 mzafeiro_vFTD66 SF-IMS[12730]: [12830] sftunneld:sf_channel [INFO] >>
ChannelState ShutDownPeer peer 10.62.148.247 / channelA / CONTROL [ msgSock & ssl_context ] <<
Controle la matriz de compatibilidad de FirePOWER:
Guía de la compatibilidad de Cisco FirePOWER
5. Diferencia de tiempo entre FTD y FMC
La comunicación FTD-FMC es sensible a las diferencias de tiempo entre los 2 dispositivos. Es unrequisito de diseño hacer que FTD y FMC sean sincronizados por el mismo servidor NTP.
Específicamente, cuando el FTD está instalado en una plataforma como 41xx o 93xx toma susconfiguraciones horarias del chasis del padre (FXOS).
Acción recomendada
Asegúrese de que el encargado del chasis (FCM) y el uso FMC la misma fuente horaria (servidorNTP)
6. proceso del sftunnel abajo o inhabilitado
En FTD el proceso del sftunnel maneja el proceso de inscripción. Éste es el estatus del procesoantes de la configuración de administrador:
> pmtool status
…
sftunnel (system) - Waiting
Command: /ngfw/usr/local/sf/bin/sftunnel -d -f /etc/sf/sftunnel.conf
PID File: /ngfw/var/sf/run/sftunnel.pid
Enable File: /ngfw/etc/sf/sftunnel.conf
CPU Affinity:
Priority: 0
Next start: Mon Apr 20 06:12:06 2020
Required by: sfmgr,sfmbservice,sfipproxy
CGroups: memory=System/ProcessHigh
El estado de registro:
> show managers
No managers configured.
Configure al encargado:
> configure manager add 10.62.148.75 cisco123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
Ahora el proceso está PARA ARRIBA:
> pmtool status
…
sftunnel (system) - Running 24386
Command: /ngfw/usr/local/sf/bin/sftunnel -d -f /etc/sf/sftunnel.conf
PID File: /ngfw/var/sf/run/sftunnel.pid
Enable File: /ngfw/etc/sf/sftunnel.conf
CPU Affinity:
Priority: 0
Next start: Mon Apr 20 07:12:35 2020
Required by: sfmgr,sfmbservice,sfipproxy
CGroups: memory=System/ProcessHigh(enrolled)
En algunos casos pocos probables el proceso puede estar abajo o inhabilitado:
> pmtool status
…
sftunnel (system) - User Disabled
Command: /ngfw/usr/local/sf/bin/sftunnel -d -f /etc/sf/sftunnel.conf
PID File: /ngfw/var/sf/run/sftunnel.pid
Enable File: /ngfw/etc/sf/sftunnel.conf
CPU Affinity:
Priority: 0
Next start: Mon Apr 20 07:09:46 2020
Required by: sfmgr,sfmbservice,sfipproxy
CGroups: memory=System/ProcessHigh
El estatus del encargado parece normal:
> show managers
Host : 10.62.148.75
Registration Key : ****
Registration : pending
RPC Status :
Por otra parte, el registro del dispositivo falla:
En FTD no hay mensajes relacionados vistos en /ngfw/var/log/messages
Acción recomendada
Recoja el fichero del Troubleshooting FTD y entre en contacto con el TAC de Cisco
7. Registro pendiente FTD en FMC secundario
Hay los decorados donde después de que el registro inicial FTD a un FMC ha pusiera eldispositivo FTD no se agrega al FMC secundario.
Acción recomendada
Siga el procedimiento descrito en este documento:
Usando el CLI para resolver el registro del dispositivo en la Alta disponibilidad del centro deadministración de FirePOWER
Advertencia: Este procedimiento es intruso puesto que contiene un unregistration deldispositivo. Esto afecta a la configuración del dispositivo FTD (se suprime). Se recomiendapara utilizar este procedimiento solamente durante el registro inicial y la disposición FTD. Endiverso caso recoja los ficheros del Troubleshooting FTD y FMC y entre en contacto con elTAC de Cisco.
8. Falla a causa del registro al MTU de la trayectoria
Hay decorados vistos en el TAC de Cisco donde el tráfico del sftunnel tiene que atravesar un link
que tenga pequeño MTU. Los paquetes del sftunnel tienen no hacen fragmentos así de lafragmentación fijada bit no se permiten:
Además, en /ngfw/var/log/messages le clasifía puede ver un mensaje como esto:
MSGS: 10-09 14:41:11 ftd1 SF-IMS[7428]: sftunneld [6612]: el sf_ssl [ERROR] conecta: ContactoSSL fallado
Acción recomendada
Para verificar si hay pérdida del paquete debido a las capturas de la toma de la fragmentación enFTD, FMC, e idealmente en los dispositivos en la trayectoria. Controle si usted ve los paquetes elllegar en los ambos extremos.
En FTD baje el MTU en la interfaz de administración FTD. El valor predeterminado es 1500 bytes.El max es 1500 para la interfaz de administración y 9000 para el interfaz de Eventing. El comandofue agregado en la versión FTD 6.6.
Referencia del comando de la defensa de la amenaza de Cisco FirePOWER
Ejemplo:
> configure network mtu 1300
MTU set successfully to 1300 from 1500 for eth0
Refreshing Network Config...
Interface eth0 speed is set to '10000baseT/Full'
Verificación
> show network
===============[ System Information ]===============
Hostname : ksec-sfvm-kali-3.cisco.com
DNS Servers : 173.38.200.100
Management port : 8305
IPv4 Default route
Gateway : 10.62.148.1
Netmask : 0.0.0.0
======================[ eth0 ]======================
State : Enabled
Link : Up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1300
MAC Address : 00:50:56:85:7B:1F
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.62.148.42
Netmask : 255.255.255.128
Gateway : 10.62.148.1
----------------------[ IPv6 ]----------------------
Para verificar el MTU de la trayectoria del FTD usted puede utilizar este comando:
root@firepower:/home/admin# ping -M do -s 1500 10.62.148.75
Haga la opción fija no hacen fragmentos del bit en los paquetes ICMP
En FMC baje el valor MTU en la interfaz de administración FMC según lo descrito en estedocumento:
Configure las interfaces de administración del centro de administración de FirePOWER
9. FTD consigue no registrado después de que un cambio de la carga inicial delencargado UI del chasis
Esto es aplicable a las Plataformas FP41xx y FP93xx y documentado en CSCvn45138 .
Usted no debe hacer generalmente los cambios de la carga inicial del encargado del chasis(FCM) a menos que usted haga una Recuperación tras desastres.
Acción recomendada
En caso de que usted hiciera un cambio de la carga inicial y usted correspondió con la condición(la comunicación FTD-FMC está quebrada mientras que el FTD sube después del cambio de lacarga inicial) que usted debe suprimir y registrar otra vez el FTD a FMC.
10. FTD pierde el acceso a FMC debido a los mensajes del Redireccionamiento de
ICMP
Este problema puede afectar al proceso de inscripción o romper la comunicación FTD-FMCdespués del registro.
El problema en este caso es un dispositivo de red que envía los mensajes del Redireccionamientode ICMP a la interfaz de administración FTD y a la comunicación de los negro-agujeros FTD-FMC.
Cómo identificar este problema
En este caso, 10.100.1.1 es la dirección IP FMC. En FTD hay una ruta ocultada debido almensaje de la redirección ICMP que fue recibido por el FTD en la interfaz de administración:
ftd1:/ngfw/var/common# ip route get 10.100.1.1
10.100.1.1 via 10.10.1.1 dev br1 src 10.10.1.23
cache <redirected>
Acción recomendada
Paso 1
Inhabilite la redirección ICMP en el dispositivo que la envía (e.g contra la corriente el conmutadorL3, router, los etc)
Paso 2
Borre el caché de la ruta FTD. Del FTD CLI:
ftd1:/ngfw/var/common# ip route flush 10.100.1.1
Cuando no se reorienta parece esto:
ftd1:/ngfw/var/common# ip route get 10.100.1.1
10.100.1.1 via 10.62.148.1 dev eth0 src 10.10.1.23
cache mtu 1500 advmss 1460 hoplimit 64
Referencias
Comprensión de los mensajes del Redireccionamiento de ICMP●
CSCvm53282 FTD: Las tablas de encaminamiento agregadas por las redirecciones ICMPconsiguen pegadas en el caché de la tabla de encaminamiento para siempre
●
11. La dirección IP no es accesible
En este caso, el IP del sensor no es accesible
Información Relacionada
Guía de configuración del centro de administración de FirePOWER, versión 6.6●
BRKSEC-3455 Berlín 2017 - FirePOWER de disección NGFW(FTD) y servicios “diseño y elresolver problemas” de FirePOWER
●
