Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA/PIX/FWSM : Exemple de configuration de capture de paquets CLI et ASDM

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (23 mars 2009) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer le dispositif de sécurité adaptatif dédié de la gamme Cisco ASA 5500 pour saisir les paquets désirés en utilisant l'Adaptive Security Device Manager (ASDM) ou le CLI. L'ASDM fournit la gestion et la surveillance de la sécurité de classe mondiale par une interface de gestion basée sur le Web, intuitive et facile à utiliser.

Conditions préalables

Conditions requises

Ce document suppose que l´ASA est complètement opérationnel et configuré pour permettre au Cisco ASDM ou CLI d'apporter des modifications de configuration.

Remarque: Référez-vous à Permettre l'accès HTTPS pour l'ASDM ou PIX/ASA 7.x : SSH dans l'exemple de configuration d'interface interne et externe pour permettre au périphérique d´être configuré à distance par l'ASDM ou Secure Shell (SSH).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel Cisco Adaptive Security Appliance versions 7.x et ultérieures

  • Version 6.x et ultérieures d'Adaptive Security Device Manager

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec ces Produits Cisco :

  • Version 6.2(1) et ultérieures d'appareils de Sécurité de Cisco PIX

  • Version 2.2(1) et ultérieures du Module de services de Pare-feu (FWSM)

Remarque: La capture de paquet peut être configurée sur FWSM seulement utilisant le CLI car cette caractéristique n'est pas prise en charge dans l'ASDM (l'ordre de capture n'est pas pris en charge dans l'ASDM). Référez-vous au pour en savoir plus ignoré et réservé à la vue de section de commandes.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Capturer des paquets est utile quand vous dépannez des problèmes de Connectivité ou l'activité suspecte de moniteur. Vous pouvez créer de plusieurs captures. Afin d'activer des capacités de capture de paquet pour le reniflement de paquet et l'isolation des erreurs de réseau, utilisez l'ordre de capture dans le mode d'exécution privilégié. Afin de désactiver des capacités de capture de paquet, utilisez le forme no de cette commande. Afin de visualiser la capture de paquet, utilisez la commande de nom de show capture. Afin de sauvegarder la capture à un fichier, utilisez l'ordre de copy capture.

Dans l'utilisation ASA/PIX l'appliance-IP-adresse de https://security/admin/capture/commande du capture_name [/pcap] de voir le paquet saisir les informations avec un navigateur Web. Si vous spécifiez le mot clé facultatif de pcap, alors un fichier de libpcap-format est téléchargé au navigateur Web et peut être enregistré utilisant le navigateur Web. Si vous copiez le contenu de mémoire tampon à un serveur TFTP dans l'ASCII formate, vous verra seulement les en-têtes, pas les détails et le vidage mémoire hexadécimal des paquets. Afin de voir les détails et le vidage mémoire hexadécimal, vous devez transférer la mémoire tampon dans le format PCAP et la lire avec TCPDUMP ou éthéré.

Dans des versions FWSM avant 3.1(7) et 3.2(2), utilisez la commande de https://fwsm-ip-address/capture/capture_name [/pcap] de voir le paquet saisir les informations avec un navigateur Web.

Dans des versions FWSM après 3.1(7) et 3.2(2), utilisez la commande de https://fwsm-ip-address/capture/context_name/capture_name [/pcap] de voir le paquet saisir les informations avec un navigateur Web.

Par exemple, le contenu de capture pour une capture nommée captest peut être visualisé utilisant un navigateur Web à l'emplacement suivant, selon le mode de Pare-feu et la version comme affiché ici :

Avant des versions 3.1(7) et 3.2(2) :

https://fwsm-ip-address/capture/captest

Après version 3.1(7) ou 3.2(2) et en mode de contexte unique :

https://fwsm-ip-address/capture/single_vf/captest

Après version 3.1(7) ou 3.2(2) et dans le mode de contexte multiple :

https://fwsm-ip-address/capture/context_name/captest

Remarque: L'activation de la capture de webvpn affecte la représentation des dispositifs de sécurité. Veillez à désactiver la capture après que vous génériez les fichiers de capture dont vous avez besoin pour le dépannage.

Configurez

Dans cette section, vous êtes présenté avec les informations pour configurer la fonction décrite de capture de paquet dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/110117/asa-capture-asdm-config1.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Configurez la capture de paquet utilisant l'ASDM

Terminez-vous ces étapes afin de configurer le paquet capturant la caractéristique dans l'ASA. Par exemple, la configuration faite ici est de capturer les paquets transmis pendant un ping d'User1 (réseau d'intérieur) à Router1 (réseau d'extérieur) :

  1. Choisissez les assistants > l'assistant de capture de paquet afin de commencer la configuration de capture de paquet, comme affiché :

    /image/gif/paws/110117/asa-capture-asdm-config2.gif

  2. L'assistant de capture s'ouvre. Cliquez sur Next comme affiché ici :

    /image/gif/paws/110117/asa-capture-asdm-config3.gif

  3. Dans la nouvelle fenêtre fournissez les paramètres pour capturer le trafic entrant. Choisissez l'interface d'entrée en tant qu'à l'intérieur et fournissez la source et l'adresse IP de destination des paquets à capturer avec leur subnet mask dans l'espace prévu respectif. En outre, choisissez le type de paquet à capturer par ASA (l'IP est le type de paquet choisi ici), comme affiché :

    asa-capture-asdm-config4.gif

    Cliquez sur Next (Suivant).

  4. Choisissez l'interface de sortie aussi dehors et fournissez à la source et à l'adresse IP de destination leur subnet mask dans les espaces respectifs fournis comme affiché :

    /image/gif/paws/110117/asa-capture-asdm-config5.gif

    Cliquez sur Next (Suivant).

  5. Fournissez la longueur de paquet et la taille de mémoire tampon de capture dans l'espace prévu respectif comme on a besoinavoir besoin de ces pour que la capture ait lieu. En outre, souvenez-vous pour cocher la case circulaire de mémoire tampon d'utilisation si vous voulez utiliser l'option circulaire de mémoire tampon. Dans cet exemple, la mémoire tampon circulaire n'est pas utilisée ainsi la case n'est pas cochée.

    /image/gif/paws/110117/asa-capture-asdm-config6.gif

    Cliquez sur Next (Suivant).

  6. Cette fenêtre affiche les Listes d'accès à configurer sur l'ASA pour que la l'ASA capture les paquets désirés et affiche le type de paquet (des paquets IP sont capturés dans cet exemple). Cliquez sur Next (Suivant).

    asa-capture-asdm-config7.gif

  7. Début de clic pour commencer la capture de paquet comme affiché ici :

    /image/gif/paws/110117/asa-capture-asdm-config8.gif

  8. Car la capture de paquet a été commencée, essayez de cingler le réseau extérieur du réseau intérieur de sorte que les paquets circulant entre la source et la destination soient capturés par la mémoire tampon de capture ASA.

  9. Le clic obtiennent la mémoire tampon de capture afin de visualiser les paquets capturés par la mémoire tampon de capture ASA.

    /image/gif/paws/110117/asa-capture-asdm-config9.gif

  10. Les paquets capturés sont affichés dans cette fenêtre pour le d'entrée et le trafic en sortie. La sauvegarde de clic la capture afin de sauvegarder les informations de capture comme affichées :

    /image/gif/paws/110117/asa-capture-asdm-config10.gif

  11. Dans la fenêtre de captures de sauvegarde choisissez le format requis dans lequel la mémoire tampon de capture doit être enregistrée. C'est ASCII ou PCAP. Cliquez sur la case d'option à côté des noms de format. Puis, la capture d'entrée de sauvegarde de clic ou le de sortie de sauvegarde les capturent au besoin.

    asa-capture-asdm-config11.gif

    Si vous spécifiez le format de pcap, alors vous pouvez ouvrir le fichier utilisant TCPDUMP ou éthéré. Le fichier de capture dans le format ASCII peut être visualisé utilisant le navigateur Web.

  12. Dans la fenêtre de fichier de capture de sauvegarde fournissez le nom du fichier et l'emplacement où le fichier de capture doit être enregistré, puis cliquent sur la sauvegarde comme affichée :

    asa-capture-asdm-config12.gif

  13. Cliquez sur Finish (Terminer).

    asa-capture-asdm-config13.gif

    Ceci remplit la procédure de capture de paquet.

Procédure pas à pas pour configurer la capture de paquet dans ASA/PIX utilisant le CLI

Complee ces étapes afin de configurer la capture de paquet dans ASA/PIX utilisant le CLI :

  1. Configurez les interfaces internes et externes suivant les indications du schéma de réseau avec l'adresse IP et les Sécurité-niveaux.

  2. Configurez l'asdm_cap_selector_inside et l'asdm_cap_selector_outside de Listes d'accès pour capturer les paquets qui voyagent du réseau intérieur au réseau extérieur et au réseau d'extérieur au réseau intérieur.

    access-list asdm_cap_selector_inside extended permit ip host 10.20.10.2 host 172.16.1.2
    access-list asdm_cap_selector_inside extended permit ip host 172.16.1.2 host 10.20.10.2
    access-list asdm_cap_selector_outside extended permit ip host 172.16.1.2 host 10.20.10.2
    access-list asdm_cap_selector_outside extended permit ip host 10.20.10.2 host 172.16.1.2
    
  3. Commencez le processus de capture de paquet utilisant l'ordre de capture dans le mode d'exécution privilégié. L'ordre de capture devrait être utilisé après que les Listes d'accès aient été configurées suivant les indications de la configuration ASA. Dans cet exemple de configuration, la capture nommée capin est définie. Liez-le à l'interface interne, et le spécifiez pour capturer seulement les paquets qui apparient l'asdm_cap_selector_inside de liste d'accès comme affiché ici :

    ASA#capture capin interface inside access-list asdm_cap_selector_inside
    

    De même, la capture nommée capout est définie. Liez-le à l'interface extérieure, et le spécifiez pour capturer seulement les paquets qui apparient l'asdm_cap_selector_outside de liste d'accès comme affiché ici :

    ASA#capture capout interface outside access-list asdm_cap_selector_outside
    

    L'ASA commencera maintenant capturer la circulation entre les interfaces. Afin d'arrêter la capture à tout moment, n'utilisez l'aucun ordre de capture suivi du nom de capture.

Visionnement des paquets capturés sur l'ASA

Visionnement des paquets capturés sur le périphérique ASA
Afin de visualiser les paquets capturés, utilisez l'ordre de show capture suivi du nom de capture. Ce sont les sorties de commande show du contenu de mémoire tampon de capture : La commande de capin de show capture affiche le contenu de la mémoire tampon de capture nommée capin.
ASA#show capture capin
20 packets captured
   1: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   2: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   3: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   4: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   5: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   6: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   7: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   8: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   9: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
  10: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
  11: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
  12: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
  13: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
  14: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
  15: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  16: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
  17: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  18: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
  19: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  20: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
20 packets shown
ASA#
La commande de capout de show capture affiche le contenu de la mémoire tampon de capture nommée capout.
ASA#show capture capout
20 packets captured
   1: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   2: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   3: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   4: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   5: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   6: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   7: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
   8: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
   9: 01:49:24.087474 10.20.10.2 > 172.16.1.2: icmp: echo request
  10: 01:49:24.087474 172.16.1.2 > 10.20.10.2: icmp: echo reply
  11: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
  12: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
  13: 01:49:26.247042 172.16.1.2 > 10.20.10.2: icmp: echo request
  14: 01:49:26.247042 10.20.10.2 > 172.16.1.2: icmp: echo reply
  15: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  16: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
  17: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  18: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
  19: 01:49:26.257051 172.16.1.2 > 10.20.10.2: icmp: echo request
  20: 01:49:26.257051 10.20.10.2 > 172.16.1.2: icmp: echo reply
20 packets shown
ASA#

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 110117