Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Captures de paquet ASA avec l'exemple de configuration CLI et ASDM

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer le Pare-feu de la deuxième génération de l'appliance de sécurité adaptable Cisco (ASA) afin de capturer les paquets désirés avec le Cisco Adaptive Security Device Manager (ASDM) ou le CLI.

Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Ce document suppose que l'ASA est complètement opérationnelle et est configurée afin de permettre à Cisco ASDM ou le CLI pour apporter des modifications de configuration.

Composants utilisés

Ce document n'est pas limité au matériel ou aux versions de logiciel spécifique.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec ces Produits Cisco :

  • Versions 9.1(5) et ultérieures de Cisco ASA

  • Version 7.2.1 de Cisco ASDM

Informations générales

Le processus de capture de paquet est utile quand vous dépannez des problèmes de Connectivité ou l'activité suspecte de moniteur. En outre, vous pouvez créer de plusieurs captures afin d'analyser différents types de trafic sur des plusieurs interfaces.

Configurez

Cette section fournit les informations que vous pouvez employer afin de configurer les caractéristiques de capture de paquet qui sont décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations

Remarque: Les schémas d'adressage IP qui sont utilisés dans cette configuration ne sont pas légalement routable sur l'Internet. Ils sont les adresses RFC 1918 qui sont utilisées dans un environnement de travaux pratiques.

Configurez la capture de paquet avec l'ASDM

Remarque: Cet exemple de configuration est utilisé afin de capturer les paquets qui sont transmis pendant un ping d'User1 (réseau d'intérieur) à Router1 (réseau d'extérieur).

Terminez-vous ces étapes afin de configurer la caractéristique de capture de paquet sur l'ASA avec l'ASDM :

  1. Naviguez vers les assistants > l'assistant de capture de paquet afin de commencer la configuration de capture de paquet, comme affiché :



  2. L'assistant de capture s'ouvre. Cliquez sur Next (Suivant).



  3. Dans la nouvelle fenêtre, fournissez les paramètres qui sont utilisés afin de capturer le trafic entrant. Sélectionnez l'intérieur pour l'interface d'entrée et fournissez la source et les adresses IP de destination des paquets à capturer, avec leur masque de sous-réseau, dans l'espace prévu respectif. En outre, choisissez le type de paquet à capturer par l'ASA (l'IP est le type de paquet choisi ici), comme affiché :



    Cliquez sur Next (Suivant).

  4. L'extérieur choisi pour l'interface de sortie et fournissent la source et les adresses IP de destination, avec leur masque de sous-réseau, dans les espaces respectifs fournis. Si le Traduction d'adresses de réseau (NAT) est exécuté sur le Pare-feu, prenez en compte ceci aussi bien.



    Cliquez sur Next (Suivant).

  5. Écrivez la longueur de paquet appropriée et la taille de mémoire tampon dans l'espace prévu respectif, comme on a besoinavoir besoin de ce pour que la capture ait lieu. En outre, souvenez-vous pour cocher la case circulaire de mémoire tampon d'utilisation si vous voulez utiliser l'option circulaire de mémoire tampon. Les mémoires tampons circulaires ne se remplissent jamais. Car la mémoire tampon atteint sa taille maximale, des données plus anciennes sont jetées et la capture continue. Dans cet exemple, la mémoire tampon circulaire n'est pas utilisée, ainsi la case n'est pas cochée.



    Cliquez sur Next (Suivant).

  6. Cette fenêtre affiche les Listes d'accès qui doivent être configurées sur l'ASA de sorte que les paquets désirés soient capturés, et elle affiche le type de paquets à capturer (des paquets IP sont capturés dans cet exemple). Cliquez sur Next (Suivant).



  7. Début de clic afin de commencer la capture de paquet, comme affiché ici :



  8. Comme la capture de paquet est commencée, tentez de cingler le réseau extérieur du réseau intérieur de sorte que les paquets qui circulent entre la source et les adresses IP de destination soient capturés par la mémoire tampon de capture ASA.

  9. Le clic obtiennent la mémoire tampon de capture afin de visualiser les paquets qui sont capturés par la mémoire tampon de capture ASA.



  10. Les paquets capturés sont affichés dans cette fenêtre pour le d'entrée et le trafic en sortie. La sauvegarde de clic la capture afin de sauvegarder les informations de capture.



  11. De la fenêtre de captures de sauvegarde, choisissez le format requis dans lequel la mémoire tampon de capture doit être enregistrée. C'est ASCII ou PCAP. Cliquez sur la case d'option à côté des noms de format. Puis, la capture d'entrée de sauvegarde de clic ou le de sortie de sauvegarde les capturent au besoin. Les fichiers PCAP peuvent être ouverts avec des analyseurs de capture, tels que Wireshark, et c'est la méthode préférée.



  12. De la fenêtre de fichier de capture de sauvegarde, fournissez le nom du fichier et l'emplacement à où le fichier de capture doit être enregistré. Cliquez sur Save.



  13. Cliquez sur Finish (Terminer).



    Ceci remplit la procédure de capture de paquet.

Configurez la capture de paquet avec le CLI

Terminez-vous ces étapes afin de configurer la caractéristique de capture de paquet sur l'ASA avec le CLI :

  1. Configurez les interfaces internes et externes comme illustrées dans le schéma de réseau, avec l'adresse IP et les niveaux de Sécurité corrects.

  2. Commencez le processus de capture de paquet avec l'ordre de capture dans le mode d'exécution privilégié. Dans cet exemple de configuration, la capture nommée capin est définie. Liez-le à l'interface interne, et le spécifiez avec le mot clé de correspondance que seulement les paquets qui apparient le trafic d'intérêt sont capturés :

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255
  3. De même, la capture nommée capout est définie. Liez-le à l'interface extérieure, et le spécifiez avec le mot clé de correspondance que seulement les paquets qui apparient le trafic d'intérêt sont capturés :

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

    L'ASA commence maintenant à capturer la circulation entre les interfaces. Afin d'arrêter la capture à tout moment, ne sélectionnez l'aucune commande de capture suivie du nom de capture.

    Voici un exemple :

    no capture capin interface inside
    no capture capout interface outside

Types disponibles de capture sur l'ASA

Cette section décrit les différents types de captures qui sont disponibles sur l'ASA.

  • asa_dataplane - Capture les paquets sur le fond de panier ASA qui passent entre l'ASA et un module qui utilise le fond de panier, tel que le module ASA CX ou IPS.

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • baisse-code d'asp-baisse - Capture les paquets qui sont lâchés par le chemin accéléré de Sécurité. Le baisse-code spécifie le type de trafic qui est abandonné par le chemin accéléré de Sécurité.

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown

    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown
  • type d'Ethernet-type - Sélectionne un type d'Ethernets pour le capturer. Les types pris en charge d'Ethernets incluent 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOE, RARP, et VLAN.

    Cette exposition d'exemple comment capturer le trafic ARP :

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
      802.1Q
      <0-65535>  Ethernet type
      arp
      ip
      ip6
      ipx
      pppoed
      pppoes
      rarp
      vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

    1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
    2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
    3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

    4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
    5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
    6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
    7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
  • temps réel - Affiche les paquets capturés continuellement en temps réel. Afin de terminer une capture en temps réel de paquet, presse CTRL-C. Afin de retirer de manière permanente la capture, utilisez le forme no de cette commande. Cette option n'est pas prise en charge quand vous utilisez l'ordre de capture d'exécutif de batterie.

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
    result in an excessive amount of non-displayed packets
    due to performance limitations.


    Use ctrl-c to terminate real-time capture
  • Suivi - Trace les paquets capturés en quelque sorte semblables à la caractéristique de traceur de paquet ASA.

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

    1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
    2322784363:2322784363(0) win 8192
    <mss 1460,nop,wscale 2,nop,nop,sackOK>

    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in 0.0.0.0 0.0.0.0 outside

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group any in interface inside
    access-list any extended permit ip any4 any4 log
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    object network obj-10.0.0.0
    nat (inside,outside) dynamic interface
    Additional Information:
    Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

    Phase: 6
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: ESTABLISHED
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 10
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 11
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 12
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 13
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 41134, packet dispatched to next module

    Phase: 14
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 203.0.113.1 using egress ifc outside
    adjacency Active
    next-hop mac address 0007.7d54.1300 hits 3170

    Result:
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow
  • ikev1/ikev2 - Version 1 (IKEv1) d'échange de clés Internet (IKE) de captures seulement ou informations du protocole IKEv2.

  • ISAKMP - Le trafic de Protocole ISAKMP (Internet Security Association and Key Management Protocol) de captures pour des connexions VPN. Le sous-système d'ISAKMP n'a pas accès aux protocoles de couche supérieure. La capture est une pseudo capture, avec l'examen médical, des couches IP, et d'UDP combinés ensemble afin de satisfaire un programme d'analyse syntaxique PCAP. Les adresses de pair sont obtenues de l'échange SA et sont enregistrées dans la couche IP.

  • lacp - Le trafic du Control Protocol d'agrégation de liaisons de captures (LACP). Si configuré, le nom d'interface est le nom d'interface physique. Ceci pourrait être utile quand vous travaillez avec des EtherChannels afin d'identifier le comportement actuel du LACP.

  • tls-proxy - Les captures ont déchiffré des données d'arrivée et sortantes du proxy de Transport Layer Security (TLS) sur un ou plusieurs interfaces.

  • webvpn - Données de webvpn de captures pour une connexion spécifique de webvpn.

    Attention : Quand vous activez la capture de webvpn, il affecte la représentation des dispositifs de sécurité. Assurez-vous que vous désactivez la capture après que vous génériez les fichiers de capture qui sont nécessaires afin de dépanner.

Par défaut

Ce sont les valeurs de paramètres systèmes par défaut ASA :

  • Le type par défaut est des cru-données.
  • La taille de mémoire tampon par défaut est 512 KO.
  • Le type par défaut d'Ethernets est des paquets IP.
  • La longueur de paquet par défaut est de 1,518 octets.

Visualisez les paquets capturés

Sur l'ASA

Afin de visualiser les paquets capturés, sélectionnez la commande de show capture suivie du nom de capture. Cette section fournit les sorties de commande show du contenu de mémoire tampon de capture. La commande de capin de show capture affiche le contenu de la mémoire tampon de capture nommée capin :

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

La commande de capout de show capture affiche le contenu de la mémoire tampon de capture nommée capout :

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

Téléchargement de l'ASA pour l'analyse hors ligne

Il y a quelques manières de télécharger les captures de paquet pour l'analyse off-line :

  1. Naviguez vers https:// <ip_of_asa>/admin/capture/<capture_name>/pcap sur n'importe quel navigateur.

    Conseil : Si vous omettez le mot clé de pcap, alors seulement l'équivalent de la sortie de commande de <cap_name> de show capture est fourni.

  2. Écrivez l'ordre de copy capture et votre protocole de transfert de fichiers préféré afin de télécharger la capture :

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

Conseil : Quand vous dépannez une question avec l'utilisation des captures de paquet, Cisco recommande que vous téléchargiez les captures pour l'analyse hors ligne.

Effacez une capture

Afin d'effacer la mémoire tampon de capture, sélectionnez la commande de <capture-name> de clear capture :

ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any

ASA# clear cap capin
ASA# clear cap capout

ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any

Sélectionnez la commande de /all de clear capture afin d'effacer la mémoire tampon pour toutes les captures :

ASA# clear capture /all

Arrêtez une capture

La seule manière d'arrêter une capture sur l'ASA est de le désactiver complètement avec cette commande :

no capture <capture-name>

L'ID de bogue Cisco CSCuv74549 a été classé pour ajouter la capacité d'arrêter une capture sans la désactiver complètement et de la contrôler quand des débuts d'une capture pour capturer le trafic.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118097