はじめに
Firepower/FTD において、Intrusion Events 内の Inline Result の dropped と would have dropped の違いについてのご質問を多く頂戴しております。本 topic ではこの dropped と would have dropped の動作と発生条件の違いについてご説明させて頂きます。
※ 本 topic は FTD 6.2.0, Firepower 6.2.0 で動作確認を行っています。
dropped と would have dropped の違い
以下のように、Intrusion Events 内の Inline Result の結果は 3 種類ございます。
- dropped(黒い矢印)
- rule の設定として Drop and Generate Events が設定されており、実際にパケットを検知しドロップしたことを示します
- would have dropped(グレーの矢印)
- rule の設定としては Drop and Generate Events が設定されているが、別の条件で実際はドロップされず検知のみが行われたことを示します。
- none(無印)
- rule の設定として Generate Events が設定されており、実際にパケットが検知されたことを示します。
would have dropped は、通常 Intrusion Event の Drop when Inline のチェックが無効の場合に発生します。そのため、発生したイベントの利用intrusion policyにて Drop when Inlineが有効であるかまずは確認してください
まとめると、以下のようになります。
また、これらのアクションの違いは trace の結果でも確認ができます。(trace はFTD の場合のみ)
<dropped の場合>
192.168.46.1-21 - 192.168.45.1-49594 6 Packet: TCP, ACK, seq 42396164, ack 2575956045
192.168.46.1-21 - 192.168.45.1-49594 6 AppID: service FTP (165), application unknown (0)
192.168.45.1-49594 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49594 > 192.168.46.1-21 6 IPS Event: gid 1, sid 336, drop
192.168.45.1-49594 > 192.168.46.1-21 6 Snort detect_drop: gid 1, sid 336, drop
192.168.45.1-49594 > 192.168.46.1-21 6 AS 1 I 0 Deleting session
192.168.45.1-49594 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict BLACKLIST
192.168.45.1-49594 > 192.168.46.1-21 6 ===> Blocked by IPS
Verdict reason is sent to DAQ's PDTS
<would have dropped の場合>
192.168.46.1-21 - 192.168.45.1-49596 6 Packet: TCP, ACK, seq 3472212648, ack 3976815187
192.168.46.1-21 - 192.168.45.1-49596 6 AppID: service FTP (165), application unknown (0)
192.168.45.1-49596 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49596 > 192.168.46.1-21 6 IPS Event: gid 1, sid 336, would drop
192.168.45.1-49596 > 192.168.46.1-21 6 Snort detect_drop: gid 1, sid 336, would drop
192.168.45.1-49596 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
192.168.45.1-49596 > 192.168.46.1-21 6 ===> Blocked by IPS
Verdict reason is sent to DAQ's PDTS
<none の場合>
192.168.46.1-21 - 192.168.45.1-49597 6 Packet: TCP, ACK, seq 4127931202, ack 3448080661
192.168.46.1-21 - 192.168.45.1-49597 6 AppID: service FTP (165), application unknown (0)
192.168.45.1-49597 > 192.168.46.1-21 6 Firewall: allow rule, 'IPS_test', allow
192.168.45.1-49597 > 192.168.46.1-21 6 IPS Event: gid 1, sid 336, allow
192.168.45.1-49597 > 192.168.46.1-21 6 NAP id 2, IPS id 1, Verdict PASS
Drop when Inlineが有効なのに Would have dropped が出力される場合
検知エンジン(Snort)が本来 到達を予測していた すべてのパケットを確認できずに遮断処理をした場合に発生することがあります。パケットドロップは、例えば経路上の他の機器での過負荷や処理問題や、Firepower/FTDの一時的な過負荷、遮断対象の問題あるアプリケーション通信が途中でパケット交換を止めてしまった、などの理由で発生します。 性質上、パケットドロップ個所の調査と原因究明は困難なことが多いのですが、頻発する場合は、利用しているintrusion policyが Drop when Inlineが有効であるかの再確認、および、intrusion event発生時のFTDや経路機器の負荷状況をまずは確認してください。
参考情報