Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

O pacote corre através do Firewall de Cisco ASA

18 Outubro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Setembro 2014) | Feedback


Índice


Introdução

Este documento descreve o fluxo de pacotes pelo firewall do Cisco ASA. Ele mostra como o procedimento interno de processamento de pacotes do Cisco ASA funciona. Ele também discute as diferentes possibilidades onde o pacote poderia ser deixado e as diferentes situações onde o pacote continua adiante.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Dispositivos de segurança adaptáveis Cisco ASA série 5500 que executa a versão de software 8.0 e mais atrasado

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A relação que recebe o pacote é chamada a interface de ingresso e a relação através de que as saídas do pacote são chamadas a interface de saída. Ao referir o pacote corra através de todo o dispositivo, ele pode facilmente ser simplificado olhando a tarefa em termos destas duas relações.

Está aqui um exemplo de cenário:

/image/gif/paws/113396/asa-packet-flow-01.gif

Quando um usuário interno (192.168.10.5) tentar alcançar um servidor de Web na rede do DMZ (172.16.10.5), o fluxo de pacote de informação olha como este:

  • Endereço de origem - 192.168.10.5

  • Porta de origem - 22966

  • Endereço de destino - 172.16.10.5

  • Porta do destino - 8080

  • Interface de ingresso - Para dentro

  • Interface de saída - DMZ

  • Protocolo usado - TCP

Determinando os detalhes do fluxo de pacote de informação como descritos aqui, é fácil isolar a edição a esta entrada de conexão específica.

Algoritmo do processo do pacote de Cisco ASA

Está aqui um diagrama de como Cisco ASA processa o pacote que recebe:

/image/gif/paws/113396/asa-packet-flow-02.gif

São aqui as etapas individuais em detalhe:

  1. O pacote é alcançado na interface de ingresso.

  2. Uma vez que o pacote alcança o buffer interno da relação, o contador de entrada da relação está incrementado por uma.

  3. Cisco ASA verificará primeiramente se esta é uma conexão existente olhando seus detalhes da tabela da conexão interna. Se o fluxo de pacote de informação combina uma conexão existente, a seguir a verificação da lista de controle de acesso (ACL) está contorneada, e o pacote é movido para a frente.

    Se o fluxo de pacote de informação não combina uma conexão existente, a seguir o estado TCP está verificado. Se é um pacote SYN ou um pacote de UDP, a seguir o contador da conexão está incrementado por um e o pacote é enviado para uma verificação ACL. Se não é um pacote SYN, o pacote está deixado cair e o evento é registrado.

  4. O pacote é processado conforme a relação ACL. Verifica-se no ordem sequencial das entradas ACL e se combina algumas das entradas ACL, move-se para a frente. Se não, o pacote é deixado cair e a informação é registrada. A contagem da batida ACL estará incrementada por uma quando o pacote combina a entrada ACL.

  5. O pacote é verificado para as Regras de tradução. Se um pacote passa através desta verificação, a seguir uma entrada de conexão está criada para este fluxo, e o pacote move-se para a frente. Se não, o pacote é deixado cair e a informação é registrada.

  6. O pacote é sujeitado a uma verificação da inspeção. Esta inspeção verifica mesmo se este fluxo de pacote de informação específico é em conformidade com o protocolo. Cisco ASA tem um motor incorporado da inspeção que inspecione cada conexão conforme seu grupo predefinido de funcionalidades do nível de aplicativo. Se passou a inspeção, é movido para a frente. Se não, o pacote é deixado cair e a informação é registrada.

    As verificações de segurança adicionais serão executadas se um módulo CSC é involvido.

  7. A informação de cabeçalho IP é traduzida conforme a regra NAT/PAT e as somas de verificação são atualizadas em conformidade. O pacote está enviado a AIP-SSM para verificações de segurança relativas IPS, quando o módulo de AIP é involvido.

  8. O pacote é enviado à interface de saída baseada nas Regras de tradução. Se nenhuma interface de saída é especificada na regra de tradução, a seguir a interface de destino está decidida com base na consulta global da rota.

  9. Na interface de saída, a consulta da rota da relação é executada. Recorde, a interface de saída é determinado pela regra de tradução que tomará a prioridade.

  10. Uma vez que uma rota da camada 3 foi encontrada e o salto seguinte esteve identificado, mergulhe 2 que a definição é executada. A reescrita da camada 2 do cabeçalho de MAC acontece nesta fase.

  11. O pacote é transmitido no fio, e os contadores de interface incrementam na interface de saída.

Explicação no NAT

Refira estes documentos para mais detalhes na ordem da operação de NAT:

comandos show

Estão aqui alguns comandos úteis que ajudam em seguir os detalhes do fluxo de pacote de informação em fases diferentes do processamento:

Mensagens de syslog

Os mensagens do syslog fornecem a informação util sobre o processamento do pacote. Estão aqui alguns mensagens do syslog do exemplo para sua referência:

  • Mensagem do syslog quando não houver nenhuma entrada de conexão:

    %ASA-6-106015: Deny TCP (no connection) from
    IP_address/port to IP_address/port flags tcp_flags on interface
    interface_name
  • Mensagem do syslog quando o pacote for negado por uma lista de acesso:

    %ASA-4-106023: Deny protocol src
    [interface_name:source_address/source_port] dst
    interface_name:dest_address/dest_port by access_group
    acl_ID
  • O mensagem do syslog quando não há nenhuma regra de tradução é encontrado:

    %ASA-3-305005: No translation group found for protocol
    src interface_name: source_address/source_port dst interface_name:
    dest_address/dest_port
  • Mensagem do syslog quando um pacote for negado pela inspeção da Segurança:

    %ASA-4-405104: H225 message received from
    outside_address/outside_port to inside_address/inside_port before
    SETUP
  • Mensagem do syslog quando não houver nenhuma informação de rota:

    %ASA-6-110003: Routing failed to locate next-hop for
    protocol from src interface:src IP/src port to dest interface:dest IP/dest
    port

Para uma lista completa de todos os mensagens do syslog gerados por Cisco ASA junto com uma explicação resumida, refira o guia dos mensagens de registro de Cisco ASA.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113396