Guida per l'utente del rilevamento del flusso CISCO Elephant
I flussi Elephant sono estremamente grandi (in byte totali), flussi continui impostati da un flusso TCP (o altri protocolli) misurati su un collegamento di rete. Per impostazione predefinita, i flussi Elephant sono quelli più grandi di 1 GB/10 secondi. Possono causare difficoltà nelle prestazioni nei core Snort. I flussi di elefanti non sono numerosi, ma possono occupare una quota sproporzionata della larghezza di banda totale per un periodo di tempo. Possono causare problemi, ad esempio un utilizzo elevato della CPU, la perdita di pacchetti e così via.
Dal centro di gestione 7.2.0 in poi (solo dispositivi Snort 3), è possibile utilizzare la funzione flusso elefante per rilevare e correggere i flussi elefante, il che aiuta a ridurre lo stress del sistema e a risolvere i problemi menzionati.
- Informazioni sul rilevamento e sulla bonifica del flusso Elephant, a pagina 1
- Aggiornamento di Elephant Flow da Intelligent Application Bypass, a pagina 1
- Configurare Elephant Flow, a pagina 2
Informazioni sul rilevamento e sulla bonifica del flusso di elefanti
È possibile utilizzare la funzione di rilevamento del flusso degli elefanti per rilevare e correggere i flussi degli elefanti. È possibile applicare le seguenti azioni correttive:
- Bypassare il flusso dell'elefante: è possibile configurare il flusso dell'elefante per ignorare l'ispezione dello Snort. Se questo è configurato, Snort non riceve alcun pacchetto da quel flusso.
- Accelera il flusso dell'elefante: puoi applicare un limite di velocità al flusso e continuare a ispezionare i flussi. La portata viene calcolata dinamicamente e il 10% della portata viene ridotto. Snort invia il verdetto (flusso QoS con una portata inferiore del 10%) al motore firewall. Se si sceglie di ignorare tutte le applicazioni, comprese le applicazioni non identificate, non è possibile configurare l'azione di limitazione (limite di velocità) per alcun flusso.
Nota Affinché il rilevamento del flusso degli elefanti funzioni, Snort 3 deve essere il motore di rilevamento.
Aggiornamento di Elephant Flow da Intelligent Application Bypass
Intelligent Application Bypass (IAB) è deprecato dalla versione 7.2.0 in poi per i dispositivi Snort 3.
Per i dispositivi con versione 7.2.0 o successiva, è necessario configurare le impostazioni di Elephant Flow nella sezione Impostazioni Elephant Flow nella policy AC (scheda Impostazioni avanzate).
Dopo l'aggiornamento alla versione 7.2.0 (o successiva), se si utilizza un dispositivo Snort 3, le impostazioni di configurazione di Elephant Flow verranno selezionate e distribuite dalla sezione Impostazioni di Elephant Flow e non dalla sezione Impostazioni di bypass dell'applicazione intelligente, quindi se si non hai eseguito la migrazione alle impostazioni di configurazione di Elephant Flow, il tuo dispositivo perderà la configurazione di Elephant Flow alla successiva distribuzione.
La tabella seguente mostra le configurazioni del flusso IAB o Elephant che possono essere applicate alla versione 7.2.0 o successiva e alla versione 7.1.0 o precedente che eseguono motori Snort 3 o Snort 2.
Configura Elephant Flow
È possibile configurare il flusso Elephant per eseguire azioni sui flussi Elephant, il che aiuta a risolvere problemi come la coercizione del sistema, l'utilizzo elevato della CPU, la perdita di pacchetti e così via.
Attenzione : Il rilevamento del flusso Elephant non è applicabile ai flussi prefiltrati, attendibili o con avanzamento rapido, che non vengono elaborati tramite Snort. Poiché i flussi Elephant vengono rilevati da Snort, il rilevamento del flusso Elephant non è applicabile al traffico crittografato.
Procedura
Passo 1
Figura 1: configurazione del rilevamento del flusso Elephant
Passaggio 2 Il pulsante di attivazione/disattivazione Rilevamento flusso Elephant è abilitato per impostazione predefinita. È possibile configurare i valori per i byte di flusso e la durata del flusso. Quando superano i valori configurati, vengono generati eventi di flusso elefante.
Passaggio 3 Per correggere i flussi Elephant, abilitare il pulsante di attivazione/disattivazione Correzione Elephant Flow.
Passaggio 4 Per impostare i criteri per la riparazione del flusso Elephant, configurare i valori per % di utilizzo della CPU, durata delle finestre temporali fisse e % di perdita dei pacchetti.
Passaggio 5 È possibile eseguire le seguenti azioni per la riparazione del flusso Elephant quando soddisfa i criteri configurati:
UN. Ignora il flusso: abilita questo pulsante per ignorare l'ispezione di Snort per le applicazioni o i filtri selezionati. Scegli da:
• Tutte le applicazioni, comprese le applicazioni non identificate: selezionare questa opzione per ignorare tutto il traffico delle applicazioni. Se si configura questa opzione, non è possibile configurare l'azione di limitazione (limite di velocità) per nessun flusso.
• Seleziona applicazioni/filtri: seleziona questa opzione per selezionare le applicazioni oi filtri di cui desideri ignorare il traffico; vedere Configurazione delle condizioni e dei filtri dell'applicazione.
B. Limita il flusso: abilitare questo pulsante per applicare un limite di velocità al flusso e continuare a ispezionare i flussi. Tieni presente che puoi selezionare le applicazioni o i filtri per bypassare l'ispezione di Snort e limitare i flussi rimanenti.
Nota
La rimozione automatica dell'acceleratore da un flusso elefante strozzato avviene quando il sistema è fuori dalla coercizione, cioè il percentagIl numero di pacchetti eliminati da Snort è inferiore alla soglia configurata. Di conseguenza, viene rimossa anche la limitazione della velocità.
Puoi anche rimuovere manualmente la limitazione da un flusso di elefante limitato, utilizzando i seguenti comandi di difesa dalle minacce:
• clear efd-throttle <5-tuple/all> bypass: questo comando rimuove la limitazione dal flusso dell'elefante strozzato e ignora l'ispezione di Snort.
• clear efd-throttle <5-tuple/all>: questo comando rimuove la strozzatura dal flusso dell'elefante strozzato e l'ispezione di Snort continua. La correzione del flusso Elephant viene ignorata dopo l'utilizzo di questo comando.
Per ulteriori informazioni su questi comandi, vedere il riferimento ai comandi di difesa dalle minacce di Cisco Secure Firewall.
Attenzione
L'intervento sui flussi Elephant (bypassare e limitare il flusso) non è supportato sui dispositivi Cisco Firepower serie 2100.
Passaggio 6 Nella sezione Regola di esenzione dalla riparazione, fare clic su Aggiungi regola per configurare le regole dell'elenco di controllo di accesso (ACL) L4 per i flussi che devono essere esentati dalla riparazione.
Passaggio 7 Nella finestra Aggiungi regola, utilizzare la scheda Reti per aggiungere i dettagli della rete, ovvero la rete di origine e la rete di destinazione. Utilizzare la scheda Porte per aggiungere la porta di origine e la porta di destinazione.
Se viene rilevato un flusso Elephant e corrisponde alle regole definite, viene generato un evento con il motivo come Flusso Elephant esentato nell'intestazione della colonna Motivo degli Eventi di connessione.
Passaggio 8 Nella sezione Regola di esenzione dalla riparazione è possibile view i flussi esenti dall’azione di bonifica.
Passaggio 9 Fare clic su OK per salvare le impostazioni del flusso Elephant.
Passaggio 10 Fare clic su Salva per salvare la policy.
Cosa fare dopo
Distribuire le modifiche alla configurazione; vedere Distribuire le modifiche alla configurazione.
Dopo aver configurato le impostazioni del flusso Elephant, monitora gli eventi di connessione per vedere se eventuali flussi vengono rilevati, bypassati o limitati. Puoi view questo nel campo Motivo del tuo evento di connessione. Le tre ragioni per le connessioni del flusso elefante sono:
• Flusso degli elefanti
• Flusso dell'elefante strozzato
• Affidabile Elephant Flow
Attenzione L'abilitazione del solo rilevamento del flusso Elephant non causa la generazione di eventi di connessione per i flussi Elephant. Se un evento di connessione è già registrato per un altro motivo e anche il flusso è un flusso elefante, il campo Motivo conterrà queste informazioni. Tuttavia, per garantire la registrazione di tutti i flussi Elephant, è necessario abilitare la registrazione della connessione nelle regole di controllo degli accessi applicabili.
Per ulteriori informazioni, fare riferimento a Cisco Secure Firewall Elephant Flow Detection.
Leggi di più su questo manuale e scarica il PDF:
Documenti / Risorse
 |
Rilevamento del flusso CISCO Elephant [pdf] Guida utente 7.4, Rilevazione del flusso degli elefanti, Rilevazione |