Problema ASA IPS: interface de roteamento e gerenciamento

Temos a rede de gerenciamento (192.168.25.0/24), onde temos o ip de gerenciamento do ASA 5525-X IPS Bundle (.250) e IPS (.37). O IPS tem um gateway padrão do nosso switch de camada 3 (.1) que está atrás do ASA (de acordo com os documentos da Cisco ).

Para passar o tráfego de volta ao IPS, criei uma rota para 192.168.25.0/24 que aponta para o switch L3.

Quando eu digito #sh routeno ASA:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

ao mesmo tempo #sh running-config route:

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

Portanto, na tabela de roteamento, tenho informações de que a sub-rede está diretamente conectada e o tráfego da interface de gerenciamento não passará para o IPS. Mas o IPS pode acessar a Internet e o tráfego passa pelo switch L3 (verifiquei o contador).

Alguém pode explicar como o roteamento da função IPS deve funcionar?

Eu já tive esse problema antes e há algumas coisas acontecendo nesse cenário.

Primeiro, a interface de gerenciamento não executa as mesmas regras que outras interfaces no FW. Por padrão, ele não passa nem recebe tráfego de nenhuma outra interface no dispositivo devido à configuração "Somente gerenciamento".

Segundo, a maneira como a Cisco implementa a interface de gerenciamento causa um loop de roteamento com o ASA. Você gostaria de rotear todo o tráfego para a rede de gerenciamento através do switch L3 no interior, mas o ASA vê a rede de gerenciamento conectada diretamente via interface de gerenciamento

Você gostaria que o tráfego seguisse o seguinte caminho:

IPS> Switch L3> ASA Inside> Internet> ASA Outside> Switch L3> IPS

Infelizmente, o caminho que está seguindo está assim:

IPS> Switch L3> ASA Inside> Internet> ASA Outside> Bit Bucket

Qualquer pacote enviado do IPS para a Internet é retornado à interface ASA Outside, momento em que a tabela de roteamento é verificada e vê que a rede de gerenciamento está diretamente conectada via interface de gerenciamento. Como a interface de gerenciamento não recebe tráfego de outra interface por padrão, os bits atingem o chão.

Infelizmente, a melhor maneira de resolver esse problema é abandonar o uso da interface de gerenciamento para gerenciar o firewall e, em vez disso, usar a interface interna. Se você remover o endereço IP da interface de gerenciamento (mas ainda manter a porta ativada para o módulo IPS), isso removerá a rede de gerenciamento da tabela de roteamento ASA. Isso permitirá que o tráfego retorne à central L3 no interior quando retornar da Internet.

Eu espero que isso ajude

Infelizmente, a interface mgmt0 / 0 em um ASA costuma ser mal utilizada. Deve ser usado apenas para o gerenciamento do contexto administrativo / do sistema de um ASA no modo multi-contexto ou para uma sub-rede de gerenciamento dedicada que usa o ASA como gateway padrão.

O que você precisa fazer é remover o endereço IP da interface mgmt0 / 0 no próprio ASA (NÃO OS IPS !!) e tudo deve funcionar conforme o esperado, desde que a sub-rede de gerenciamento seja roteada para a interface correta no ASA.

O que está acontecendo com o ASA que possui uma interface na sub-rede de gerenciamento (192.168.25.0/24 neste caso) são todos os pacotes dessa sub-rede que usam um gateway interno (switch L3) e, em seguida, tentam encaminhar pacotes pela insideinterface que estão com falha. verificação de encaminhamento de caminho reverso (RPF) e sendo descartada como tráfego falsificado.

O fluxo de tráfego real que você está vendo é IPS> L3 Switch> ASA> Bit Bucket (falha de RPF), até que você endereça novamente o IPS, desabilite a verificação de RPF (não recomendado) ou remova o IP da interface de gerenciamento 0/0 do ASA. continuará a ver esse comportamento.