cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

TCP Control Point Normalizer en el FWSM

Cisco Employee

Hola a todos, en esta ocasión les hablaré de la funcionalidad del control point normalizer del (Firewall Services Module) FWSM. Para aquellos que no la conozcan, la tarea del llamado “normalizador de TCP” es el de inspeccionar el tráfico que viaja a través del Control Point. Es decir, revisa todos aquellos paquetes que requieran inspección a nivel capa 7 u otro tráfico de administración del equipo.

Las funciones que realiza el TCP normalizer son las siguientes:

-          -Verificar el valor de TTL en los paquetes IP.

-          -Si los paquetes dentro de un flujo llegan fuera de orden, el firewall tratará de reordenarlos. Este tiene  una queue (cola) de 2, para aquellos               paquetes que llegan fuera de orden.

-          -Realiza checks del estado de TCP y Windowing.

A diferencia del  firewall ASA en donde se puede crear un tcp-map, y usar el Modular Policy Framework (MPF) para manipular banderas de TCP, en el FWSM esto no es posible debido a su arquitectura interna. Es por ello que solamente se puede habilitar o deshabilitar.  Esta cuestión es independiente de la versión y no existen planes hasta el momento para modificarlo.

Para aquellas personas que no estén muy familiarizadas con la arquitectura del FWSM, se puede revisar el siguiente enlace del Cisco Support Community.

https://supportforums.cisco.com/docs/DOC-12713

En ese documento se menciona que el FWSM, tiene 3 NPs (Network Processors).  Basicamente la NP1 y NP2 se encargan de manejar las conexiones, ellas reciben los paquetes del switch a través del backplane.

El Control Point se encuentra por encima de la  NP3.  Este es responsable del manejo de las siguientes funciones:

-          -Syslogs

-          -AAA (Radius y TACACS)

-          -Filtrado de URL

-          -Tráfico de administración  del equipo (Telnet, ssh, https, snmp)

-          -Comunicación del failover

-          -Protocolos de ruteo

-          -Inspección de paquetes a nivel aplicación (capa 7)

Al deshabilitar el control point normalizer, se evita que el FWSM realice inspección estricta de los paquetes, es decir, no detectará paquetes que lleguen fuera de secuencia, opciones de TCP o paquetes  que requieran inspección a nivel capa 7. 

Para deshabilitar el normalizer se ejecuta el siguiente comando:

FWSM# config terminal

FWSM(config)# no control-point tcp-normalizer

FWSM(config)#exit

FWSM#

Este comando se encuentra disponible a nivel contexto en caso de tener un FWSM en multiple context  o  a nivel sistema en modo single.

A pesar de que en esta ocasión se está hablando del control point normalizer en el FWSM, considero importante destacar como se realiza la configuración de este en el ASA, ya que en esta plataforma es posible crear mapas de tcp para manipular  funciones como:

-          -Opciones de TCP como selective-ack ,  timestamp,  window-scale

-          -Permitir o bloquear rangos de opciones de TCP

-          -Permitir o bloquear bits reservados.

-          -Permitir o bloquear paquetes que excedan del tamaño de mss.

-          -Verificar checksum del paquete.

A continuación menciono un ejemplo de configuración de TCP normalizer en el ASA.

1)      1. Crear un mapa de tcp.

hostname(config)# tcp-map tcp-map-name


2)     2. Dentro del mapa especificar  las opciones  de TCP que se desean manipular.  Por ejemplo: Para permitir paquetes que excedan el tamaño      máximo de TCP se ejecuta el siguiente comando

hostname(config-tcp-map)# exceed-mss allow


3)      3. Identificar el tráfico que será afectado a través de un class-map.

hostname(config)# class-map test

hostname(config-cmap)# match access-group 101


4)      4. Configurar un policy-map  o usar el policy global y aplicar la clase configurada previamente.

hostname(config)# policy-map global_policy

hostname(config-pmap)# class test


5)      5. Aplicar el TCP map dentro de la clase.

hostname(config-pmap-c)# set connection advanced-options tcp-map-name


6)      6. Activar la política globalmente o por interfaz.

hostname(config)# service-policy policymap_name {global | interface interface_name}

Como se puede observar en el ASA podemos seleccionar que tráfico debe ser inspeccionado y que banderas deben ser revisadas.

Para finalizar, presento algunas de las preguntas más comunes que se formulan alrededor del tcp control point normalizer en el FWSM.

1.       ¿Cuál es la desventaja de tener el normalizer deshabilitado?

R.  Al solamente realizar inspección en capa 7 o “inspección estricta”, no deberá existir problema en deshabilitarlo.


2.       ¿Al deshabilitar el normalizador,  deshabilito la función de inspección en el FWSM?

R.  Falso, Al deshabilitarlo no se rompe o se afecta la inspección ya configurada en el FWSM.


3.       ¿El  control point normalizer afecta solamente el tráfico saliente o entrante?

R. Este afecta tanto el tráfico de entrada como el de salida.


4.       ¿En qué se diferencia el TCP normalizer del ASA y del FWSM.

R.  Una de las principales diferencias es que los tcp-maps son configurables en el ASA pero en el FWSM no.  Debido a la arquitectura del FWSM, el TCP normalizer solamente afecta el tráfico del Control Point en el FWSM, a diferencia del ASA en donde todo el tráfico es sujeto a su inspección.


5.       ¿Es necesario tener habilitado siempre?

R. En algunas ocasiones será necesario deshabilitarlo ya que pueden existir aplicaciones  dentro de la red que no funcionen cuando está corriendo.

Problemas relacionados con el FWSM.

En alguna ocasiones se pueden presentar problemas de alto CPU en el FWSM, a veces el deshabilitar el control point normalizer ayuda a resolver esta situación. En mi  próxima entrega  explicaré cuales son los pasos para realizar troubleshooting  en casos de alto CPU en FWSM.

Para finalizar anexo documentación  relacionada al  TCP Normalizer. 

Release Notes for the Catalyst 6500 Series and Cisco 7600 Series Firewall Services Module,Software Release 3.1(x)

http://www.cisco.com/en/US/docs/security/fwsm/fwsm31/release/notes/fwsmrn31.html#wp141255

Command refence del FWSM.

http://www.cisco.com/en/US/partner/docs/security/fwsm/fwsm32/command/reference/c4.html#wp1864750


Configuración de TCP normalizer en el ASA

http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/protect.html

  • Etiquetas:
1014
Visitas
0
ÚTIL
0
Comentarios