¿Por qué las sesiones muestran la aplicación "indeciso" cuando está en ACTIVE el estado pero tiene una aplicación cuando se mueve al DISCARD estado?
49803
Created On 03/30/19 02:33 AM - Last Modified 03/26/21 17:32 PM
Question
¿Por qué algunas sesiones muestran la aplicación como "indeciso" cuando están en un ACTIVE estado pero muestran una aplicación después de pasar al DISCARD estado?
Environment
En ciertos casos, es posible que vea que las sesiones aparecen como "indecisos" cuando el estado de la sesión es ACTIVE . A continuación, más tarde aparecen con un nombre de aplicación.
Aquí hay un ejemplo de cuando la sesión está en el ACTIVE STATE :
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: ACTIVE type: FLOW src user: unknown dst user: unknown Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : undecided <<<<<
Una vez que la sesión se ha movido al DISCARD estado:
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 timeout : 90 sec time to live : 6 sec total byte count(c2s) : 1238 total byte count(s2c) : 144 layer7 packet count(c2s) : 3 layer7 packet count(s2c) : 2 vsys : vsys3 application : web-browsing
Answer
En estos casos, primero tenemos que averiguar por qué la sesión entró en el estado de descarte.
Si la seguridad bloquea la policy aplicación, se espera que se mantenga durante el tiempo. Como App- ID no puede determinar la aplicación exacta, se puede permitir una sesión a través de la como firewall indeciso hasta que se identifique la aplicación, momento en el que se reevaluan las reglas de seguridad y se toma una acción apropiada, que podría ser descartar la sesión.
> show session id 74569901 Session 74569901 c2s flow: source: 10.1.1.1 [Internal_Clients] dst: 192.168.1.1 proto: 6 sport: 28156 dport: 80 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 192.168.1.1 [Internal_Servers] dst: 10.1.1.1 proto: 6 sport: 80 dport: 28156 state: DISCARD type: FLOW src user: unknown dst user: unknown offload: Yes Slot : 1 DP : 2 index(local): : 7461037 start time : Wed Jul 18 09:39:00 2018 ****cut for brevity**** session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny end-reason : policy-deny
Otra causa podría ser la contención de recursos.
Cuando el sistema se grava hasta el punto de que no hay suficientes recursos para completar app- ID , antes de finalizar la inspección de capa 7, la búsqueda de firewall ID aplicaciones, que utiliza información basada en puertos, pero esto puede no ser una aplicación precisa identificada.
La "etapa de firewall seguimiento" identificará si la sesión terminó debido a la contención de recursos.
> show session id 74569901
Session 74569901
c2s flow:
source: 10.1.1.1 [Internal_Clients]
dst: 192.168.1.1
proto: 6
sport: 28156 dport: 80
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 192.168.1.1 [Internal_Servers]
dst: 10.1.1.1
proto: 6
sport: 80 dport: 28156
state: DISCARD type: FLOW
src user: unknown
dst user: unknown
offload: Yes
Slot : 1
DP : 2
index(local): : 7461037
start time : Wed Jul 18 09:39:00 2018
****cut for brevity****
session QoS rule : N/A (class 4)
tracker stage firewall : resource limit <<<<<<<<<<<<
tracker stage l7proc : appid bypass