購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1183
閲覧回数
6
いいね!
0
コメント

FTD: system support trace のご紹介

toishika
Cisco Employee
Cisco Employee

‎2017-07-06 12:14 AM - 最終編集日: ‎2023-12-18 03:55 PM 、編集者: Level 7

 

 

はじめに

FTD(Firepower Threat Defense)のトラブルシューティングにおいて従来の firewall-engine-debug をより強力にした trace 機能が FTD 6.2 以降で追加されております。本 topic ではこの trace 機能について基本的な利用方法についてご紹介させて頂きます。

※ 本 topic は FTD 6.2.0 で動作確認を行っています。

 

使い方

1. CLISH より system support trace を実行します。

> system support trace

 

2. trace したい IP protocol, source/destination IP address/port を選択します。IP protocol は tcp or udp を選択します。blank の場合は any 扱いになります。以下は送信元が 192.168.45.1、送信先が 192.168.46.1 の tcp 通信を対象にした場合の例です。 通信負荷や出力数を絞るためにも、可能な限り、プロトコルや 送信元/宛先IPやPortは 細かく定義したうえでの、trace有効化をお勧めします。

Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.45.1
Please specify a client port:
Please specify a server IP address: 192.168.46.1
Please specify a server port:
Enable firewall-engine-debug too? [n]: y      <--- 基本 Yes

※ firewall-engine-debug も有効にする場合は Enable firewall-engine-debug too? を y にします。

 

3. 以下のような ACP が設定されている環境下で、192.168.45.1 -> 192.168.46.1 に FTP 通信を行い、cd ~root を実行します。

> show access-control-config
<snip>
-----------------[ Rule: IPS_test ]-----------------
 Action : Allow
 Intrusion Policy : Intrusion_test
 ISE Metadata :

 Source Networks : 192.168.45.1
 Destination Networks : 192.168.46.1
 URLs
 Logging Configuration
 DC : Enabled
 Beginning : Enabled
 End : Enabled
 Files : Disabled
 Safe Search : No
 Rule Hits : 3
 Variable Set : Default-Set

 

4. その際に以下のようなログが出力され、IPS_test の ACP rule に該当し gid 1, sid 336 の rule の影響で drop されたことが確認できます。

192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, SYN, seq 1581427185
192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service unknown (0), application unknown (0)
192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 New session
192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 using HW or preset rule order 4, 'IPS_test', action Allow and prefilter rule 0
192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 allow action
192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS

192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, SYN, ACK, seq 1992828138, ack 1581427186
192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service unknown (0), application unknown (0)
192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
<snip>
192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, ACK, seq 1581427216, ack 1992828234
192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service FTP (165), application unknown (0)
192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS

192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, ACK, seq 1581427216, ack 1992828234
192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service FTP (165), application unknown (0)
192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49477 > 192.168.46.1-21 6 IPS Event: gid 1, sid 336, drop
192.168.45.1-49477 > 192.168.46.1-21 6 Snort detect_drop: gid 1, sid 336, drop
192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 Deleting session
192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict BLACKLIST
192.168.45.1-49477 > 192.168.46.1-21 6 ===> Blocked by IPS
Verdict reason is sent to DAQ's PDTS

 

FMC からも PROTOCOL-FTP CWD ~root attempt (1:336:17) で drop していることが確認できます。

 

5. trace で生成されたログは同時に /ngfw/var/log/messages にも保存されます。trace 自体の出力は PktTracerDbg、firewall-engine-debug の出力は NGFWDbg のため、grep -i dbg 等でフィルターすると確認しやすくなります。

root@toishika-5516-ftd:~# grep -i dbg /ngfw/var/log/messages 
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, SYN, seq 1581427185
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service unknown (0), application unknown (0)
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: NGFWDbg 192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 New session
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: NGFWDbg 192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 using HW or preset rule order 4, id 268435456 action Allow and prefilter rule 0
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: NGFWDbg 192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 allow action
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, id 268435456, allow
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, SYN, ACK, seq 1992828138, ack 1581427186
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service unknown (0), application unknown (0)
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, id 268435456, allow
Jul 5 14:42:35 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
<snip>
Jul 5 14:42:39 ciscoasa SF-IMS[32554]: PktTracerDbg
Jul 5 14:42:39 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, ACK, seq 1581427216, ack 1992828234
Jul 5 14:42:39 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service FTP (165), application unknown (0)
Jul 5 14:42:39 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, id 268435456, allow
Jul 5 14:42:39 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 Packet: TCP, ACK, seq 1581427216, ack 1992828234
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.46.1-21 - 192.168.45.1-49477 6 AppID: service FTP (165), application unknown (0)
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 Firewall: allow rule, id 268435456, allow
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 IPS Event: gid 1, sid 336, drop
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 Snort detect_drop: gid 1, sid 336, drop
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: NGFWDbg 192.168.45.1-49477 > 192.168.46.1-21 6 AS 1 I 1 Deleting session
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict BLACKLIST
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg 192.168.45.1-49477 > 192.168.46.1-21 6 ===> Blocked by IPS
Jul 5 14:42:43 ciscoasa SF-IMS[32554]: PktTracerDbg Verdict reason is sent to DAQ's PDTS

 

参考情報

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents