Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Capturas de paquetes ASA con el CLI y el ejemplo de la Configuración de ASDM

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar el Firewall adaptante de la última generación del dispositivo de seguridad de Cisco (ASA) para capturar los paquetes deseados con el Cisco Adaptive Security Device Manager (ASDM) o el CLI.

Contribuido por los ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Este documento asume que el ASA está completamente - operativo y se configura para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración.

Componentes Utilizados

Este documento no se restringe al hardware o a las versiones de software específico.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con estos Productos Cisco:

  • Versiones de ASA de Cisco 9.1(5) y posterior

  • Cisco ASDM versión 7.2.1

Antecedentes

El proceso de la captura de paquetes es útil cuando usted resuelve problemas los problemas de conectividad o monitorea la actividad sospechosa. Además, usted puede crear a las capturas múltiples para analizar diversos tipos de tráfico en las interfaces múltiples.

Configurar

Esta sección proporciona la información que usted puede utilizar para configurar las características de la captura de paquetes que se describen en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Nota: Los esquemas de IP Addressing que se utilizan en esta configuración no son legalmente routable en Internet. Son los direccionamientos del RFC 1918 que se utilizan en un ambiente de laboratorio.

Captura de paquetes de la configuración con el ASDM

Nota: Este ejemplo de configuración se utiliza para capturar los paquetes que se transmiten durante un ping del user1 (red interna) al router1 (red externa).

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el ASDM:

  1. Navegue a los Asisitente > al Asisitente de la captura de paquetes para comenzar la configuración de la captura de paquetes, como se muestra:



  2. El Asisitente de la captura se abre. Haga clic en Next (Siguiente).



  3. En la nueva ventana, proporcione los parámetros que se utilizan para capturar el Tráfico de ingreso. Seleccione el interior para la interfaz de ingreso y proporcione la fuente y los IP Address de destino de los paquetes que se capturarán, junto con su máscara de subred, en el espacio respectivo proporcionado. También, elija el tipo de paquete que se capturará por el ASA (el IP es el tipo de paquete elegido aquí), como se muestra:



    Haga clic en Next (Siguiente).

  4. Seleccione el exterior para la interfaz de egreso y proporcione la fuente y los IP Address de destino, junto con su máscara de subred, en los espacios respectivos proporcionados. Si el Network Address Translation (NAT) se realiza en el Firewall, tome esto en la consideración también.



    Haga clic en Next (Siguiente).

  5. Ingrese el tamaño de paquetes apropiado y el tamaño de almacén intermedio en el espacio respectivo proporcionado, como estos datos se requieren para que ocurra la captura. También, recuerde marcar la casilla de verificación circular del buffer del uso si usted quiere utilizar la opción circular del buffer. Los buffers circulares nunca se llenan. Pues el buffer alcanza su tamaño máximo, se desechan más viejos datos y la captura continúa. En este ejemplo, el buffer circular no se utiliza, así que la casilla de verificación no se marca.



    Haga clic en Next (Siguiente).

  6. Esta ventana muestra las listas de acceso que se deben configurar en el ASA para capturar los paquetes deseados, y muestra el tipo de paquetes que se capturarán (los paquetes del IP se capturan en este ejemplo). Haga clic en Next (Siguiente).



  7. Haga clic el comienzo para comenzar a la captura de paquetes, como se muestra aquí:



  8. Como comienzan a la captura de paquetes, intente hacer ping la red externa de la red interna de modo que los paquetes que fluyen entre la fuente y los IP Address de destino sean capturados por el buffer de la captura ASA.

  9. El tecleo consigue el buffer de la captura para ver los paquetes que son capturados por el buffer de la captura ASA.



  10. Los paquetes capturados se muestran en esta ventana para el ingreso y el tráfico de salida. La salvaguardia del tecleo captura para salvar la información de la captura.



  11. De la ventana de las capturas de la salvaguardia, elija el formato requerido en el cual el buffer de la captura debe ser guardado. Éste es ASCII o PCAP. Haga clic el botón de radio al lado de los nombres del formato. Entonces, la captura del ingreso de la salvaguardia del tecleo o la salida de la salvaguardia captura como sea necesario. Los archivos PCAP se pueden abrir con los analizadores de la captura, tales como Wireshark, y es el método preferido.



  12. De la ventana del capturar archivo de la salvaguardia, proporcione el nombre del archivo y la ubicación a donde está ser guardado el capturar archivo. Haga clic en Save (Guardar).



  13. Haga clic en Finish (Finalizar).



    Esto completa el procedimiento de la captura de paquetes.

Captura de paquetes de la configuración con el CLI

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el CLI:

  1. Configure las interfaces interior y exterior como se ilustra en el diagrama de la red, con la dirección IP y los niveles de seguridad correctos.

  2. Comience el proceso de la captura de paquetes con el comando capture en el modo EXEC privilegiado. En este ejemplo de configuración, la captura nombrada capin se define. Átela a la interfaz interior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados:

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255
  3. Semejantemente, la captura nombrada capout se define. Átela a la interfaz exterior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados:

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

    El ASA ahora comienza a capturar el flujo de tráfico entre las interfaces. Para parar la captura en cualquier momento, no ingrese el ningún comando capture seguido por el nombre de la captura.

    Aquí tiene un ejemplo:

    no capture capin interface inside
    no capture capout interface outside

Tipos disponibles de la captura en el ASA

Esta sección describe los diversos tipos de capturas que estén disponibles en el ASA.

  • asa_dataplane - Captura los paquetes en el backplane ASA que pasan entre el ASA y un módulo que utilice el backplane, tal como el ASA CX o módulo ips.

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • descenso-código del ASP-descenso - Captura los paquetes que son caídos por la trayectoria acelerada de la Seguridad. El descenso-código especifica el tipo de tráfico que es caído por la trayectoria acelerada de la Seguridad.

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown

    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown
  • tipo del tipo Ethernet - Selecciona un tipo Ethernet capturar. Los tipos Ethernet soportados incluyen 8021Q, el ARP, el IP, IP6, el IPX, el LACP, PPPOED, PPPOES, el RARP, y el VLA N.

    Esta demostración del ejemplo cómo capturar el tráfico ARP:

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
      802.1Q
      <0-65535>  Ethernet type
      arp
      ip
      ip6
      ipx
      pppoed
      pppoes
      rarp
      vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

    1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
    2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
    3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

    4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
    5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
    6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
    7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
  • unidades de visualización en tiempo real los paquetes capturados continuamente en el tiempo real. Para terminar a una captura de paquetes en tiempo real, presione el Ctrl-c. Para quitar permanentemente la captura, no utilice la ninguna forma de este comando. Esta opción no se soporta cuando usted utiliza el comando capture del ejecutivo del cluster.

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
    result in an excessive amount of non-displayed packets
    due to performance limitations.


    Use ctrl-c to terminate real-time capture
  • Traza - Localiza los paquetes capturados de una forma similares a la característica del trazalíneas del paquete ASA.

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

    1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
    2322784363:2322784363(0) win 8192
    <mss 1460,nop,wscale 2,nop,nop,sackOK>

    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in 0.0.0.0 0.0.0.0 outside

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group any in interface inside
    access-list any extended permit ip any4 any4 log
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    object network obj-10.0.0.0
    nat (inside,outside) dynamic interface
    Additional Information:
    Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

    Phase: 6
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: ESTABLISHED
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 10
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 11
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 12
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 13
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 41134, packet dispatched to next module

    Phase: 14
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 203.0.113.1 using egress ifc outside
    adjacency Active
    next-hop mac address 0007.7d54.1300 hits 3170

    Result:
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow
  • ikev1/ikev2 - Información sobre protocolo 1 (IKEv1) o IKEv2 solamente del intercambio de claves de Internet de las capturas de la versión.

  • isakmp - Tráfico del Internet Security Association and Key Management Protocol (ISAKMP) de las capturas para las conexiones VPN. El subsistema ISAKMP no tiene acceso a los protocolos de la capa superiores. La captura es una pseudo captura, con la comprobación, las capas IP, y UDP combinadas juntas para satisfacer un analizador de sintaxis PCAP. Obtienen del intercambio SA y se salvan a las direcciones de peer en la capa IP.

  • lacp - Tráfico del protocolo link aggregation control de las capturas (LACP). Si está configurado, el nombre de la interfaz es el nombre de la interfaz física. Esto pudo ser útil cuando usted trabaja con los EtherChanneles para identificar la conducta actual del LACP.

  • TLS-proxy - Las capturas desencriptaron entrante y los datos salientes del proxy de Transport Layer Security (TLS) en una o más interfaces.

  • webvpn - Datos del WebVPN de las capturas para una conexión WebVPN específica.

    Precaución: Cuando usted habilita la captura del WebVPN, afecta al funcionamiento del dispositivo de seguridad. Asegúrese de que usted inhabilite la captura después de que usted genere los capturares archivo que son necesarios para resolver problemas.

Valores predeterminados

Éstos son los valores por defecto de valor predeterminado del sistema ASA:

  • El tipo predeterminado es datos sin procesar.
  • El tamaño de almacén intermedio predeterminado es 512 KB.
  • El tipo Ethernet predeterminado es paquetes del IP.
  • La Longitud del paquete predeterminada es 1,518 bytes.

Vea los paquetes capturados

En el ASA

Para ver los paquetes capturados, ingrese el comando capture de la demostración seguido por el nombre de la captura. Esta sección proporciona las salidas del comando show del contenido del buffer de la captura. El comando del capin de la captura de la demostración muestra el contenido del buffer de la captura nombrado capin:

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

El comando del capout de la captura de la demostración muestra el contenido del buffer de la captura nombrado capout:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

Descarga del ASA para la análisis fuera de línea

Hay un par de maneras de descargar a las capturas de paquetes para el análisis off-liné:

  1. Navegue a https:// <ip_of_asa>/admin/capture/<capture_name>/pcap en cualquier navegador.

    Consejo: Si usted deja hacia fuera la palabra clave del pcap, después solamente el equivalente de la salida de comando del <cap_name> de la captura de la demostración se proporciona.

  2. Ingrese el comando capture de la copia y su File Transfer Protocol preferido para descargar la captura:

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

Consejo: Cuando usted resuelve problemas un problema con el uso de las capturas de paquetes, Cisco recomienda que usted descarga las capturas para la análisis fuera de línea.

Borre una captura

Para borrar el buffer de la captura, ingrese el comando claro del <capture-name> de la captura:

ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any

ASA# clear cap capin
ASA# clear cap capout

ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any

Ingrese el comando claro de /all de la captura para borrar el buffer para todas las capturas:

ASA# clear capture /all

Pare una captura

La única forma de parar una captura en el ASA es inhabilitarlo totalmente con este comando:

no capture <capture-name>

El Id. de bug Cisco CSCuv74549 se ha clasifiado para agregar la capacidad de parar una captura sin totalmente inhabilitarla y de controlarla cuando una captura comienza a capturar el tráfico.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.



Document ID: 118097