Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

El paquete atraviesa el Firewall de Cisco ASA

25 Diciembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Septiembre 2014) | Comentarios


Contenido


Introducción

Este documento describe el flujo de paquetes a través de un firewall Cisco ASA. Muestra cómo funciona el procedimiento de procesamiento de paquetes interno de Cisco ASA. También discute las diversas posibilidades por las que el paquete se podría perder y diversas situaciones en las que el paquete sigue adelante.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivos de seguridad adaptable Cisco ASA de la serie 5500 que funciona con la versión de software 8.0 y posterior

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

La interfaz que recibe el paquete se llama la interfaz de ingreso y la interfaz a través de las cuales las salidas del paquete se llaman la interfaz de egreso. Al referir al paquete atraviese cualquier dispositivo, él puede ser simplificado fácilmente mirando la tarea en términos de estas dos interfaces.

Aquí está un escenario de ejemplo:

/image/gif/paws/113396/asa-packet-flow-01.gif

Cuando un usuario interior (192.168.10.5) intenta acceder un servidor Web en la red DMZ (172.16.10.5), el flujo de paquetes parece esto:

  • Dirección de origen - 192.168.10.5

  • Puerto de origen - 22966

  • Dirección destino - 172.16.10.5

  • Puerto destino - 8080

  • Interfaz de ingreso - Dentro

  • Interfaz de egreso - DMZ

  • Protocolo usado - TCP

Determinando los detalles del flujo de paquetes según lo descrito aquí, es fácil aislar el problema a este específico Entrada de conexión.

Algoritmo del proceso del paquete de Cisco ASA

Aquí está un diagrama de cómo Cisco ASA procesa el paquete que recibe:

/image/gif/paws/113396/asa-packet-flow-02.gif

Aquí están los pasos individuales detalladamente:

  1. El paquete se alcanza en la interfaz de ingreso.

  2. Una vez que el paquete alcanza el búfer interno de la interfaz, el contador de entradas de la interfaz es incrementado por una.

  3. Cisco ASA primero verificará si esto es una conexión existente mirando sus detalles de la tabla de la conexión interna. Si el flujo de paquetes hace juego una conexión existente, después se desvía el control de la lista de control de acceso (ACL), y el paquete se mueve adelante.

    Si el flujo de paquetes no hace juego una conexión existente, después se verifica el estado TCP. Si es un paquete SYN o un paquete UDP, después el contador de la conexión es incrementado por uno y el paquete se envía para un control ACL. Si no es un paquete SYN, se cae el paquete y se registra el evento.

  4. El paquete se procesa según la interfaz ACL. Se verifica en el orden consecutivo de las entradas ACL y si hace juego las entradas ACL unas de los, se mueve adelante. Si no, se cae el paquete y se registra la información. La cuenta del golpe ACL será incrementada por una cuando el paquete hace juego la entrada ACL.

  5. El paquete se verifica para las Reglas de traducción. Si un paquete pasa a través de este control, después a Entrada de conexión se crea para este flujo, y el paquete se mueve adelante. Si no, se cae el paquete y se registra la información.

  6. El paquete se sujeta a un control del examen. Este examen verifica independientemente de si este flujo de paquetes específico esté de acuerdo con el protocolo. Cisco ASA tiene un motor incorporado del examen que examine cada conexión según su conjunto predefinido de las funciones del nivel de la aplicación. Si pasó el examen, se mueve adelante. Si no, se cae el paquete y se registra la información.

    Las revisiones de seguridad adicionales serán implementadas si un módulo del CSC está implicado.

  7. La información del encabezado IP se traduce según la regla NAT/PAT y las sumas de comprobación se ponen al día por consiguiente. El paquete se remite a AIP-SSM para las revisiones de seguridad relacionadas IPS, cuando el módulo AIP está implicado.

  8. El paquete se remite a la interfaz de egreso basada en las Reglas de traducción. Si no se especifica ninguna interfaz de egreso en la regla de traducción, después la interfaz de destino se decide sobre la base de las operaciones de búsqueda globales de la ruta.

  9. En la interfaz de egreso, se realizan las operaciones de búsqueda de la ruta de la interfaz. Recuerde, la interfaz de egreso es determinado por la regla de traducción que tomará la prioridad.

  10. Una vez que se ha encontrado una ruta de la capa 3 y se ha identificado el salto siguiente, acode 2 que se realiza la resolución. La reescritura de la capa 2 del encabezado MAC sucede en esta etapa.

  11. El paquete se transmite en el alambre, y los contadores de la interfaz incrementan en la interfaz de egreso.

Explicación en el NAT

Refiera a estos documentos para más detalles por orden del Funcionamiento de NAT:

Comandos show

Aquí están algunos comandos útiles que ayudan en el seguimiento de los detalles del flujo de paquetes en diversas etapas del proceso:

Mensajes de Syslog

Los mensajes de Syslog proporcionan la información útil sobre el proceso del paquete. Aquí están algunos mensajes de Syslog del ejemplo para su referencia:

  • Mensaje de Syslog cuando hay ningún Entrada de conexión:

    %ASA-6-106015: Deny TCP (no connection) from
    IP_address/port to IP_address/port flags tcp_flags on interface
    interface_name
  • Mensaje de Syslog cuando el paquete es negado por una lista de acceso:

    %ASA-4-106023: Deny protocol src
    [interface_name:source_address/source_port] dst
    interface_name:dest_address/dest_port by access_group
    acl_ID
  • Se encuentra el mensaje de Syslog cuando no hay regla de traducción:

    %ASA-3-305005: No translation group found for protocol
    src interface_name: source_address/source_port dst interface_name:
    dest_address/dest_port
  • Mensaje de Syslog cuando un paquete es negado por el examen de la Seguridad:

    %ASA-4-405104: H225 message received from
    outside_address/outside_port to inside_address/inside_port before
    SETUP
  • Mensaje de Syslog cuando no hay información de ruta:

    %ASA-6-110003: Routing failed to locate next-hop for
    protocol from src interface:src IP/src port to dest interface:dest IP/dest
    port

Para una lista completa de todos los mensajes de Syslog generados por Cisco ASA junto con una explicación abreviada, refiera a la guía de los mensajes del registro de Cisco ASA.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113396