सामग्री लपवा
1 CISCO एलिफंट फ्लो डिटेक्शन वापरकर्ता मार्गदर्शक
2 एलिफंट फ्लो डिटेक्शन आणि रिमेडिएशन बद्दल
3 इंटेलिजेंट ऍप्लिकेशन बायपासवरून एलिफंट फ्लो अपग्रेड
4 हत्ती प्रवाह कॉन्फिगर करा
5 कागदपत्रे / संसाधने
5.1 संदर्भ

CISCO एलिफंट फ्लो डिटेक्शन वापरकर्ता मार्गदर्शक

CISCO हत्ती प्रवाह शोध

 

हत्तीचा प्रवाह खूप मोठा असतो (एकूण बाइट्समध्ये), नेटवर्क लिंकवर मापन केलेल्या टीसीपी (किंवा इतर प्रोटोकॉल) प्रवाहाद्वारे सेट केलेले सतत प्रवाह. डीफॉल्टनुसार, हत्तीचा प्रवाह 1 GB/10 सेकंदांपेक्षा मोठा असतो. ते स्नॉर्ट कोरमध्ये कार्यक्षमतेवर दबाव आणू शकतात. हत्तींचे प्रवाह असंख्य नसतात, परंतु ते ठराविक कालावधीत एकूण बँडविड्थचा विषम वाटा व्यापू शकतात. ते उच्च CPU वापर, पॅकेट थेंब इत्यादी समस्यांना कारणीभूत ठरू शकतात.

व्यवस्थापन केंद्र 7.2.0 वरून (फक्त स्नॉर्ट 3 डिव्हाइसेस), तुम्ही हत्ती प्रवाह शोधण्यासाठी आणि त्यावर उपाय करण्यासाठी हत्ती प्रवाह वैशिष्ट्य वापरू शकता, जे सिस्टम तणाव कमी करण्यास आणि नमूद केलेल्या समस्यांचे निराकरण करण्यात मदत करते.

  • एलिफंट फ्लो डिटेक्शन आणि रिमेडिएशन बद्दल, पृष्ठ 1 वर
  • इंटेलिजेंट ऍप्लिकेशन बायपासवरून एलिफंट फ्लो अपग्रेड, पृष्ठ 1 वर
  • पृष्ठ 2 वर, हत्ती प्रवाह कॉन्फिगर करा

 

एलिफंट फ्लो डिटेक्शन आणि रिमेडिएशन बद्दल

हत्तीचा प्रवाह शोधण्यासाठी आणि त्यावर उपाय करण्यासाठी तुम्ही हत्ती प्रवाह शोध वैशिष्ट्य वापरू शकता. खालील उपचार क्रिया लागू केल्या जाऊ शकतात:

  • हत्तीचा प्रवाह बायपास करा- स्नॉर्ट तपासणीला बायपास करण्यासाठी तुम्ही हत्तीचा प्रवाह कॉन्फिगर करू शकता. हे कॉन्फिगर केले असल्यास, स्नॉर्टला त्या प्रवाहातून कोणतेही पॅकेट मिळणार नाही.
  • थ्रॉटल एलिफंट फ्लो–तुम्ही प्रवाहाला दर-मर्यादा लागू करू शकता आणि प्रवाहांचे निरीक्षण करणे सुरू ठेवू शकता. प्रवाह दर गतिशीलपणे मोजला जातो आणि प्रवाह दराच्या 10% कमी केला जातो. Snort फायरवॉल इंजिनला निकाल (10% कमी प्रवाह दरासह QoS प्रवाह) पाठवते. आपण अज्ञात अनुप्रयोगांसह सर्व अनुप्रयोगांना बायपास करणे निवडल्यास, आपण कोणत्याही प्रवाहासाठी थ्रॉटल क्रिया (दर-मर्यादा) कॉन्फिगर करू शकत नाही.

नोंद हत्तीचा प्रवाह तपासण्यासाठी, Snort 3 हे शोध इंजिन असणे आवश्यक आहे.

 

इंटेलिजेंट ऍप्लिकेशन बायपासवरून एलिफंट फ्लो अपग्रेड

इंटेलिजेंट ऍप्लिकेशन बायपास (IAB) ची आवृत्ती 7.2.0 पासून Snort 3 उपकरणांसाठी नापसंत केली आहे.
7.2.0 किंवा नंतरच्या आवृत्तीवर चालणाऱ्या उपकरणांसाठी, तुम्ही AC धोरण (प्रगत सेटिंग्ज टॅब) मधील एलिफंट फ्लो सेटिंग्ज विभागांतर्गत हत्ती प्रवाह सेटिंग्ज कॉन्फिगर करणे आवश्यक आहे.

7.2.0 (किंवा नंतर) वर अपग्रेड केल्यानंतर, तुम्ही Snort 3 डिव्हाइस वापरत असल्यास, हत्ती प्रवाह कॉन्फिगरेशन सेटिंग्ज एलिफंट फ्लो सेटिंग्ज विभागातून निवडल्या जातील आणि तैनात केल्या जातील आणि इंटेलिजेंट ऍप्लिकेशन बायपास सेटिंग्ज विभागातून नाही, त्यामुळे जर तुम्ही एलिफंट फ्लो कॉन्फिगरेशन सेटिंग्जमध्ये स्थलांतरित केले नाही, तुमचे डिव्हाइस पुढील डिप्लॉयमेंटवर हत्ती फ्लो कॉन्फिगरेशन गमावेल.

खालील सारणी IAB किंवा हत्ती प्रवाह कॉन्फिगरेशन दर्शवते जी आवृत्ती 7.2.0 किंवा नंतरच्या आवृत्तीवर आणि Snort 7.1.0 किंवा Snort 3 इंजिन चालवत असलेल्या आवृत्ती 2 किंवा त्यापूर्वीच्या आवृत्तीवर लागू केली जाऊ शकते.

अंजीर 1 इंटेलिजेंट ऍप्लिकेशन बायपास.जेपीजी वरून एलिफंट फ्लो अपग्रेड

 

हत्ती प्रवाह कॉन्फिगर करा

तुम्ही हत्तीच्या प्रवाहावर कृती करण्यासाठी हत्ती प्रवाह कॉन्फिगर करू शकता, जे समस्यांचे निराकरण करण्यात मदत करते, जसे की सिस्टमचा ताण, उच्च CPU वापर, पॅकेट ड्रॉप्स आणि यासारख्या.

सावधगिरीचे चिन्ह  लक्ष द्या: स्नॉर्टद्वारे प्रक्रिया न करणाऱ्या प्रीफिल्टर्ड, विश्वासार्ह किंवा जलद-फॉरवर्ड केलेल्या प्रवाहांसाठी हत्ती प्रवाह शोध लागू होत नाही. हत्तीचा प्रवाह Snort द्वारे शोधला जात असल्याने, कूटबद्ध रहदारीसाठी हत्ती प्रवाह शोध लागू होत नाही.

कार्यपद्धती

पायरी 1

अंजीर 2 प्रक्रिया

आकृती 1: एलिफंट फ्लो डिटेक्शन कॉन्फिगर करा

अंजीर 3 एलिफंट फ्लो डिटेक्शन.jpg कॉन्फिगर करा

पायरी 2 एलिफंट फ्लो डिटेक्शन टॉगल बटण डीफॉल्टनुसार सक्षम केले आहे. तुम्ही फ्लो बाइट्स आणि फ्लो कालावधीसाठी व्हॅल्यू कॉन्फिगर करू शकता. जेव्हा ते तुमची कॉन्फिगर केलेली मूल्ये ओलांडतात, तेव्हा हत्ती प्रवाह इव्हेंट व्युत्पन्न केले जातात.
पायरी 3 हत्तीच्या प्रवाहाचे निराकरण करण्यासाठी, हत्ती प्रवाह उपाय टॉगल बटण सक्षम करा.
पायरी 4 हत्तीच्या प्रवाहाच्या उपायासाठी निकष सेट करण्यासाठी, CPU वापर %, निश्चित वेळ विंडोचा कालावधी आणि पॅकेट ड्रॉप % साठी मूल्ये कॉन्फिगर करा.
पायरी 5 जेव्हा हत्तीच्या प्रवाहाच्या उपचारासाठी ते कॉन्फिगर केलेल्या निकषांची पूर्तता करते तेव्हा तुम्ही खालील क्रिया करू शकता:
a प्रवाहाला बायपास करा—निवडलेल्या ॲप्लिकेशन्स किंवा फिल्टरसाठी स्नॉर्ट तपासणीला बायपास करण्यासाठी हे बटण सक्षम करा. यामधून निवडा:
• अज्ञात अनुप्रयोगांसह सर्व अनुप्रयोग—सर्व ॲप्लिकेशन ट्रॅफिक बायपास करण्यासाठी हा पर्याय निवडा. तुम्ही हा पर्याय कॉन्फिगर केल्यास, तुम्ही कोणत्याही प्रवाहासाठी थ्रॉटल क्रिया (दर-मर्यादा) कॉन्फिगर करू शकत नाही.
• ॲप्लिकेशन्स/फिल्टर्स निवडा—ज्यांच्या ट्रॅफिकला तुम्ही बायपास करू इच्छिता ते ॲप्लिकेशन्स किंवा फिल्टर्स निवडण्यासाठी हा पर्याय निवडा; ऍप्लिकेशन अटी आणि फिल्टर कॉन्फिगर करणे पहा.
b प्रवाहाला थ्रोटल करा—प्रवाहावर दर-मर्यादा लागू करण्यासाठी आणि प्रवाहांची तपासणी करणे सुरू ठेवण्यासाठी हे बटण सक्षम करा. लक्षात घ्या की तुम्ही स्नॉर्ट तपासणीला बायपास करण्यासाठी आणि उर्वरित प्रवाहांना थ्रोटल करण्यासाठी अनुप्रयोग किंवा फिल्टर निवडू शकता.

नोंद

थ्रॉटल केलेल्या हत्तीच्या प्रवाहातून थ्रॉटल स्वयंचलितपणे काढून टाकणे तेव्हा होते जेव्हा सिस्टीमचा दबाव असतो, म्हणजेच टक्केवारीtagई स्नॉर्ट पॅकेट ड्रॉप्स तुमच्या कॉन्फिगर केलेल्या थ्रेशोल्डपेक्षा कमी आहेत. परिणामी, दर मर्यादा देखील काढून टाकली आहे.
तुम्ही खालील धोक्याच्या संरक्षण आदेशांचा वापर करून थ्रॉटलिंग हत्तीच्या प्रवाहातून व्यक्तिचलितपणे काढून टाकू शकता:
• क्लिअर efd-थ्रॉटल <5-tuple</all> बायपास—ही कमांड थ्रॉटलिंग हत्तीच्या प्रवाहातून थ्रॉटलिंग काढून टाकते आणि स्नॉर्ट तपासणीला बायपास करते.
• स्पष्ट efd-थ्रॉटल <5-tuple </all>—ही कमांड थ्रॉटलिंग हत्तीच्या प्रवाहातून थ्रॉटलिंग काढून टाकते आणि स्नॉर्ट तपासणी सुरू ठेवते. हा आदेश वापरल्यानंतर हत्ती प्रवाह उपाय वगळला जातो.
या आदेशांबद्दल अधिक माहितीसाठी, सिस्को सिक्योर फायरवॉल थ्रेट डिफेन्स कमांड संदर्भ पहा.

लक्ष द्या

सिस्को फायरपॉवर 2100 सिरीज डिव्हाइसेसवर हत्तीच्या प्रवाहावर (बायपास आणि थ्रोटल द फ्लो) कारवाई करणे समर्थित नाही.

पायरी 6 रेमेडिएशन एक्झेम्प्शन नियम विभागात, L4 ऍक्सेस कंट्रोल लिस्ट (ACL) नियम कॉन्फिगर करण्यासाठी नियम जोडा क्लिक करा ज्याला उपायांमधून सूट मिळणे आवश्यक आहे.
पायरी 7 जोडा नियम विंडोमध्ये, नेटवर्क तपशील जोडण्यासाठी नेटवर्क टॅब वापरा, ते स्त्रोत नेटवर्क आणि गंतव्य नेटवर्क आहे. स्त्रोत पोर्ट आणि गंतव्य पोर्ट जोडण्यासाठी पोर्ट्स टॅब वापरा.
जर हत्तीचा प्रवाह आढळला आणि तो परिभाषित केलेल्या नियमांशी जुळत असेल, तर कनेक्शन इव्हेंटच्या कारण स्तंभ शीर्षलेखामध्ये हत्ती प्रवाहास सूट दिल्याच्या कारणासह इव्हेंट तयार केला जातो.
चरण 8 उपाय सूट नियम विभागात, तुम्ही हे करू शकता view सुधारणेच्या कृतीतून मुक्त असलेले प्रवाह.
पायरी 9 हत्ती प्रवाह सेटिंग सेव्ह करण्यासाठी ओके क्लिक करा.
पायरी 10 पॉलिसी सेव्ह करण्यासाठी सेव्ह वर क्लिक करा.

पुढे काय करायचे
कॉन्फिगरेशन बदल तैनात करा; कॉन्फिगरेशन बदल तैनात पहा.
तुमची हत्ती प्रवाह सेटिंग्ज कॉन्फिगर केल्यानंतर, कोणतेही प्रवाह आढळले आहेत, बायपास केले आहेत किंवा थ्रोटल केले आहेत हे पाहण्यासाठी तुमच्या कनेक्शन इव्हेंटचे निरीक्षण करा. आपण करू शकता view हे तुमच्या कनेक्शन इव्हेंटच्या कारण फील्डमध्ये आहे. हत्ती प्रवाह कनेक्शनची तीन कारणे आहेत:
• हत्तीचा प्रवाह
• एलिफंट फ्लो थ्रोटल
• हत्ती प्रवाह विश्वसनीय

सावधगिरीचे चिन्ह लक्ष द्या हत्ती प्रवाह शोधणे सक्षम केल्याने हत्तीच्या प्रवाहासाठी कनेक्शन इव्हेंटची निर्मिती होत नाही. जर कनेक्शन इव्हेंट आधीच दुसऱ्या कारणासाठी लॉग केले असेल आणि प्रवाह देखील हत्तीचा प्रवाह असेल, तर कारण फील्डमध्ये ही माहिती असते. तथापि, आपण सर्व हत्ती प्रवाह लॉगिंग करत आहात याची खात्री करण्यासाठी, आपण लागू प्रवेश नियंत्रण नियमांमध्ये कनेक्शन लॉगिंग सक्षम करणे आवश्यक आहे.

अधिक माहितीसाठी Cisco Secure Firewall Elephant Flow Detection चा संदर्भ घ्या.

 

या मॅन्युअलबद्दल अधिक वाचा आणि PDF डाउनलोड करा:

कागदपत्रे / संसाधने

CISCO हत्ती प्रवाह शोध [pdf] वापरकर्ता मार्गदर्शक
7.4, एलिफंट फ्लो डिटेक्शन, डिटेक्शन

संदर्भ

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *