Habilite el preprocesador en línea de la normalización y entienda el examen PRE-ACK y Poste-ACK

Documentos relacionados
Configuración que abre una sesión el módulo de FirePOWER para los eventos del tráfico del sistema usando el ASDM (Administración del En-cuadro)

Configure un sistema de FireSIGHT para enviar las alertas a un servidor Syslog externo

Integración del sistema de FireSIGHT con ACS 5.x para la autenticación de usuario de RADIUS

Configuración del Acceso de administración a FTD (HTTPS y SSH) vía FMC

Filtrado de URL en un ejemplo de la configuración del sistema de FireSIGHT

Pasos para configurar el Cisco Aironet 1142 y el teléfono del Wi-Fi del registro 7925 con CUCM

Despliegue del centro de administración de FireSIGHT en VMware ESXi

Pasos de la configuración inicial de los sistemas de FireSIGHT

Servidor DHCP/retransmisión de la configuración en FTD usando el centro de administración de la potencia de fuego (FMC)

Reglas locales del Snort de la aduana en un sistema de Cisco FireSIGHT

Asegure las funciones virtuales apropiadas del grupo WSA HA en un entorno de VMware

Cisco recomienda que usted tiene conocimiento del CUCM y de los puntos de acceso de Cisco.

Instrumentación de la seguridad de la red de AnyConnect con el ASA

Administrador de seguridad en el ejemplo de configuración del sistema de prevención de intrusiones del Cisco IOS

Instale la clave de activación o las teclas de función del producto del servidor del TelePresence

Cómo resolver problemas el error de ninguna respuesta HTTPS en TMS después de la actualización de los puntos finales TC/CE

Instale una clave de la versión del conjunto de administración del TelePresence (TMS)

Jabber por el ejemplo persistente de la configuración básica de la charla de la versión de Windows 9.7

Directiva de la intrusión de la configuración y configuración de la firma en el módulo de FirePOWER (Administración del En-cuadro)

Los derechos de usuario del editor de secuencia de comandos del Internet de ICM

Conector de FireAMP para la colección de datos diagnósticos del mac

CS-MARS: Agregue el sensor del IPS de Cisco como dispositivo de informe al ejemplo de la configuración CS-MARS

Restore de reserva de la configuración de la configuración en el módulo de FirePOWER con el ASDM (Administración del En-cuadro)

Instale la activación y las teclas de función en un gateway del Cisco TelePresence ISDN (ISDN EL GW)

Conocimiento del Firewall adaptante y del ASDM del dispositivo de seguridad (ASA). Conocimiento del dispositivo de la potencia de fuego.

Configuración de una regla del paso en un sistema de FireSIGHT

Nota Técnica en el arreglo para requisitos particulares del Instalador MSI del Jabber que usa la orca MS

Proxy WebRTC de la configuración con CMS sobre Expressway con el dominio dual

Actualice una aplicación usando CloudCenter

Grabación de la llamada de la configuración usando MediaSense

Cisco IPS seguros - Excepto de alarmas falsamente positivas

Modo de seguimiento de la sesión TCP en línea en el IPS

CIMC acceso Inband en el ejemplo de configuración de las cuchillas de la serie UCSB

Instale una clave de la versión del conductor del Cisco TelePresence

Instale la licencia de la pantalla del servidor del TelePresence

Acceso porta administrativo ISE con el ejemplo de configuración de las credenciales AD

Contenido. Introducción. Prerrequisitos. Requisitos. Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se basa en estas versiones de software:

El soporte del opus de la configuración en Cisco unificó al administrador de la comunicación

Localmente - Certificados significativos (LSC) con el WLC y el ejemplo de configuración del Servidor Windows 2012

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Instale el producto del punto final MXP, la versión y las claves de la opción vía la interfaz Web y el CLI

Filtros ACL en el ejemplo de configuración del Aironet AP

Configuración de una clave previamente compartida WPA2 (PSK) Configuración de la autenticación abierta

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Sincronización de la configuración de la base de datos del registrador ICM

Práctica de laboratorio: Configuración de Firewall de Windows Vista

Filtros VPN en el ejemplo de la configuración de ASA de Cisco

ASDM 6.3 y posterior: Ejemplo de configuración del examen de las opciones IP

Procedimiento de migración para CUACA (10.5.X a 11.X.X)

Ejemplos de la configuración de resumen IPS

Errores debido del aborto de TLS del Módulo de servicios NGFW al error del error o de la validación de certificado del apretón de manos

Logout auto de la configuración para los agentes CAD en UCCX

Servidores TACACS externos de la configuración y del Troubleshooting en el ISE

Teclea de los archivos de la actualización que se pudieron instalar en un sistema de FireSIGHT

Configure el descifrado SSL en el módulo de FirePOWER usando el ASDM (la Administración del En-cuadro)

Ejemplo de configuración de la calidad de servicio del sistema de la Computación unificada

Actualice un conector de FireAMP en los sistemas operativos Windows

IPS 6.X y posterior: Notificaciones por correo electrónico usando el ejemplo de configuración IME

CUCM IM y Problemas de conexión del servicio de la presencia a una base de datos externa con una base de datos Oracle

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Conexión LAN de los elementos básicos de red inalámbrica con el ejemplo de la Configuración de punto de acceso

De la configuración listas de control de acceso dinámico por usuario en el ISE

Un ejemplo para utilizar el paso de la información de la llamada de la empresa del conjunto

Este documento describe cómo configurar la autenticación Web para trabajar con una configuración del proxy.

La información que contiene este documento se basa en estas versiones de software:

Botones del marcado rápido del Cisco IP Phone de la configuración con el CallManager 11.X

La información que contiene este documento se basa en estas versiones de software:

Configure un servidor público con el ASDM de Cisco

Realice la indicación del punto final de las exploraciones del compromiso (IOC) con el AMP para los puntos finales o FireAMP

Configure al grupo de empresa para CUCM y IM/P

Configurar el dial vía Oficina-reverso para trabajar con el móvil y el Acceso Remoto

Ajuste las variables de salto CTC en el PC para mejorar el rendimiento de CTC

Configuración de la Alta disponibilidad en la serie 3 centros de la defensa

Configure TMS para cambiar el aprovisionamiento de un punto final de TMS a CUCM

Configuración de los códigos de autorización forzados (FAC)

Problema CTC con el firewall de conexión a Internet en Windows XP

Ejemplo de configuración del passthrough de la red del regulador del Wireless LAN

Instalación de la corrección/de la actualización en el módulo de FirePOWER usando el ASDM (Administración del En-cuadro)

Conexión LAN de los elementos básicos de red inalámbrica con el ejemplo de la Configuración de punto de acceso

La integración del ACS versión 5.4 con Motorola se va volando el ejemplo de configuración 5.X (AP)

Conocimiento del Firewall ASA (dispositivo de seguridad adaptante), ASDM (Administrador de dispositivos de seguridad adaptante)

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Ejemplo de configuración concentrador VPN 3000 de la administración del ancho de banda

Entienda la extensión de la regla en los dispositivos de FirePOWER

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Transferencia de archivos ASA con el ejemplo de configuración FXP

Cisco recomienda que usted tiene un conocimiento sobre el funcionamiento de estos temas:

Cree un recopilador de datos definido por el usario fijado en el monitor de rendimiento para resolver problemas los procesos UCCE

ASA 8.3 y posterior: Examen global predeterminado de la neutralización y Inspección de la aplicación no valor por defecto del permiso usando el ASDM

Directiva de la configuración BIOS para Cisco UCS

Este documento describe la configuración de grupo de la empresa vía Cisco aumentó el dispositivo Interfsce (EDI) para el Jabber de Cisco en Windows.

Autenticación CS con el ACS y autorización con el ejemplo de configuración local RBAC

Este documento describe cómo poner un almacenamiento de los medios externos con el contenido Server(TCS) del TelePresence.

Transcripción:

Habilite el preprocesador en línea de la normalización y entienda el examen PRE-ACK y Poste-ACK Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Antecedentes Normalización en línea del permiso Normalización en línea del permiso en las versiones 5.4 y posterior Normalización en línea del permiso en las versiones 5.3 y anterior Examen del permiso Poste-ACK y examen PRE-ACK Entienda el examen Poste-ACK (normalice TCP/Normalize carga útil de TCP inhabilitado) Entienda el examen PRE-ACK (normalice TCP/Normalize carga útil de TCP habilitado) Introducción Este documento describe cómo habilitar el preprocesador en línea de la normalización y le ayuda a entender la diferencia y el impacto de dos opciones avanzadas de la normalización en línea. Prerequisites Requisitos Cisco recomienda que usted tiene conocimiento del sistema de Cisco FirePOWER y resopla. Componentes Utilizados La información en este documento se basa en los dispositivos del centro de administración y de FirePOWER de Cisco FireSIGHT. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Antecedentes Un preprocesador en línea de la normalización normaliza el tráfico para minimizar la ocasión que un atacante puede evadir la detección usando las implementaciones en línea. La normalización

ocurre inmediatamente después del paquete que decodifica y antes de cualquier otro preprocesador, y procede de las capas internas del paquete hacia fuera. La normalización en línea no genera los eventos, sino que prepara los paquetes para uso de otros preprocesadores. Cuando usted aplica una directiva de la intrusión con el preprocesador en línea de la normalización habilitado, el dispositivo de FirePOWER prueba estas dos condiciones para asegurarse de que usted utiliza un despliegue en línea: Para las versiones 5.4 y posterior, el modo en línea se habilita en la directiva de la Análisis de red (SIESTA), y el descenso cuando en línea también se configura en la directiva de la intrusión si la directiva de la intrusión se fija para caer el tráfico. Para las versiones 5.3 y anterior, el descenso cuando la opción en línea se habilita en la directiva de la intrusión. La directiva se aplica con failopen) a un conjunto en línea (o en línea de la interfaz. Por lo tanto, además de la habilitación y de la configuración del preprocesador en línea de la normalización, usted debe también asegurarse de que estos requisitos estén cumplidos, o el preprocesador no normalizará el tráfico: Su directiva se debe fijar para caer el tráfico en las implementaciones en línea. Usted debe aplicar su directiva a un conjunto en línea. Normalización en línea del permiso Esta sección describe cómo habilitar la normalización en línea para las versiones 5.4 y posterior, y también para las versiones 5.3 y anterior. Normalización en línea del permiso en las versiones 5.4 y posterior La mayor parte de las configuraciones del preprocesador se configuran en la SIESTA para las versiones 5.4 y posterior. Complete estos pasos para habilitar la normalización en línea en la SIESTA: 1. Inicie sesión a la red UI de su centro de administración de FireSIGHT. 2. Navegue a las directivas > al control de acceso. 3. Haga clic la directiva de la Análisis de red cerca del área de la esquina superior derecha de la página. 4. Seleccione una directiva de la Análisis de red que usted quiera aplicar a su dispositivo administrado. 5. Haga clic el icono del lápiz para comenzar el editar, y la página de la directiva del editar aparece. 6. Haga clic las configuraciones en el lado izquierdo de la pantalla, y la página Configuración aparece.

7. Localice la opción en línea de la normalización en el área del preprocesador de la capa del /Network del transporte. 8. Seleccione el botón de radio habilitado para habilitar esta característica: La SIESTA con la normalización en línea se debe agregar a su directiva del control de acceso para que la normalización en línea ocurra. La SIESTA se puede agregar a través de la ficha Avanzadas de la directiva del control de acceso: La directiva del control de acceso se debe entonces aplicar al dispositivo de inspección. Note: Para la versión 5.4 o posterior, usted puede habilitar el tráfico en línea de la normalización con certeza y inhabilitarlo para el otro tráfico. Si usted quiere habilitarlo para el tráfico específico, agregue una regla de la Análisis de red y fije los criterios y la directiva del tráfico a la que tiene normalización en línea habilitada. Si usted quiere habilitarlo global, después fije la directiva del análisis de red predeterminada a la que tiene normalización en línea habilitada. Habilite la normalización en línea en las versiones 5.3 y anterior Complete estos pasos para habilitar la normalización en línea en una directiva de la intrusión: 1. Inicie sesión a la red UI de su centro de administración de FireSIGHT. 2. Navegue a las directivas > a la intrusión > a las directivas de la intrusión. 3. Seleccione una directiva de la intrusión que usted quiera aplicar a su dispositivo administrado.

4. Haga clic el icono del lápiz para comenzar el editar, y la página de la directiva del editar aparece. 5. Haga clic las configuraciones avanzadas, y la página Configuración avanzada aparece. 6. Localice la opción en línea de la normalización en el área del preprocesador de la capa del /Network del transporte. 7. Seleccione el botón de radio habilitado para habilitar esta característica: Una vez que la directiva de la intrusión se configura para la normalización en línea, debe ser agregada como la acción predeterminada en la directiva del control de acceso: La directiva del control de acceso se debe entonces aplicar al dispositivo de inspección. Usted puede configurar el preprocesador en línea de la normalización para normalizar el IPv4, el IPv6, la versión 4 (ICMPv4) del protocolo Protocolo de control de mensajes de Internet (ICMP), el ICMPv6, y tráfico TCP en cualquier combinación. La normalización de cada protocolo ocurre automáticamente cuando se habilita esa normalización del protocolo.

Examen del permiso Poste-ACK y examen PRE-ACK Después de que usted habilite el preprocesador en línea de la normalización, usted puede editar las configuraciones para habilitar la opción de la normalización carga útil de TCP. Esta opción en el Switches en línea del preprocesador de la normalización entre dos diversos modos de examen: Acuse de recibo del poste (Poste-ACK) Pre acuse de recibo (PRE-ACK) Entienda el examen Poste-ACK (normalice TCP/Normalize carga útil de TCP inhabilitado) En el examen Poste-ACK, el nuevo ensamble de la secuencia de paquetes, el rubor (mano apagado al resto del proceso del examen), y la detección en el Snort ocurre después de que el acuse de recibo (ACK) de la víctima para el paquete que completa el ataque sea recibido por el Sistema de prevención de intrusiones (IPS). Antes de que ocurra el rubor de la secuencia, el paquete que ofendía ha alcanzado ya a la víctima. Por lo tanto, la alerta/el descenso ocurre después de que el paquete que ofendía haya alcanzado a la víctima. Esta acción ocurre cuando el ACK de la víctima para el paquete que ofende alcanza el IPS. Entienda el examen PRE-ACK (normalice TCP/Normalize carga útil de TCP habilitado) Esta característica normaliza el tráfico inmediatamente después del paquete que decodifica y antes de que cualquier otra función del Snort se procese para minimizar esfuerzos de la evasión TCP. Esto se asegura de que los paquetes que alcanzan el IPS sean lo mismo que los que se pasan encendido a la víctima. El Snort cae el tráfico en el paquete que completa el ataque antes de que el ataque alcance a su víctima.

Cuando usted habilita normalice el TCP, el tráfico que hace juego estas condiciones también se cae: Copias retransmitidas previamente de los paquetes perdidos Trafique que las tentativas de continuar una sesión previamente caída Trafique que hace juego ninguno de estos reglas del preprocesador de la secuencia TCP: 129:1129:3129:4129:6129:8129:11129:14 a 129:19 Note: Para habilitar las alertas para las reglas de la secuencia TCP que son caídas por el preprocesador de la normalización, usted debe habilitar la característica de las anomalías de la inspección con estado en la configuración de la secuencia TCP.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback