Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Захваты пакета ASA с CLI и примером конфигурации ASDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) Межсетевой экран Следующего поколения для получения необходимых пакетов или с Cisco Adaptive Security Device Manager (ASDM) или с CLI.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Этот документ предполагает, что ASA полностью в рабочем состоянии и настроен, чтобы позволить Cisco ASDM или CLI изменять конфигурацию.

Используемые компоненты

Этот документ не ограничен определенными аппаратными средствами или версиями программного обеспечения.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Данная конфигурация может также использоваться со следующими продуктами Cisco:

  • Версии Cisco ASA 9.1 (5) и позже

  • Версия Cisco ASDM 7.2.1

Общие сведения

Когда вы устраняете неполадки неполадок подключения или контролируете подозрительную операцию, процесс захвата пакета полезен. Кроме того, можно создать множественные заголовки для анализа различных типов трафика на нескольких интерфейсах.

Настройка

Этот раздел предоставляет сведения, который можно использовать для настройки функций захвата пакета, которые описаны в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

Конфигурации

Примечание: Схемы IP-адресации, которые используются в этой конфигурации, не юридически маршрутизируемы в Интернете. Они - адреса RFC 1918, которые используются в лабораторной среде.

Настройте захват пакета с ASDM

Примечание: Конфигурация данного примера используется для получения пакетов, которые переданы во время эхо-запроса от User1 (внутренняя сеть) к Router1 (внешняя сеть).

Выполните эти шаги для настройки функции захвата пакета на ASA с ASDM:

  1. Перейдите Мастерам> Мастер Захвата пакета для начала конфигурации захвата пакета, как показано:



  2. Откроется мастер перехвата. Нажмите кнопку Next.



  3. В новом окне предоставьте параметры, которые используются для получения Входного трафика. Выберите внутри для Входного интерфейса и предоставьте источник и IP - адреса назначения пакетов, которые будут перехвачены, вместе с их маской подсети, в соответствующем предоставленном пространстве. Кроме того, выберите тип пакета, который будет перехвачен ASA (IP является типом пакета, выбранным здесь), как показано:



    Нажмите кнопку Next.

  4. Выберите снаружи для Исходящего интерфейса и предоставьте источник и IP - адреса назначения, вместе с их маской подсети, в соответствующих предоставленных пробелах. Если Технология NAT выполнена на Межсетевом экране, примите это во внимание также.



    Нажмите кнопку Next.

  5. Введите соответствующий Размер пакета и Размер буфера в соответствующем пространстве, если, поскольку эти данные требуются для перехвата иметь место. Кроме того, не забудьте отметить флажок Use circular buffer (Использовать кольцевой буфер), если требуется использовать кольцевой буфер. Кольцевые буферы никогда не заполняются. Поскольку буфер достигает своего максимального размера, от более старых данных сбрасывают, и перехват продолжается. В этом примере кольцевой буфер не используется, поэтому флажок снят.



    Нажмите кнопку Next.

  6. Это окно показывает Access-lists, который должен быть настроен на ASA так, чтобы необходимые пакеты были перехвачены, и это показывает тип пакетов, которые будут перехвачены (пакеты IP перехвачены в данном примере). Нажмите кнопку Next.



  7. Нажмите Start для начала захвата пакета, как показано здесь:



  8. Когда захват пакета запущен, попытка пропинговать внешнюю сеть от внутренней сети так, чтобы пакеты, которые текут между источником и IP - адресами назначения, были перехвачены накопительным буфером ASA.

  9. Нажмите Get Capture Buffer для просмотра пакетов, которые перехвачены накопительным буфером ASA.



  10. Захваченные пакеты показывают в этом окне и для входа и для выходного трафика. Нажмите перехваты Save для сохранения информации перехвата.



  11. Из окна Save Captures выберите требуемый формат, в котором должен быть сохранен накопительный буфер. Доступны форматы ASCII и PCAP. Выберите соответствующий формат переключателем. Затем нажмите кнопку Save ingress capture (Сохранить данные перехвата входящего трафика) или Save egress capture (Сохранить данные перехвата исходящего трафика). Файлы PCAP могут быть открыты с перехватом анализаторы, такие как Wireshark, и это - предпочтительный способ.



  12. Из окна перехвата файла Сохранения предоставьте имя файла и местоположение туда, где должен быть сохранен перехват файла. Нажмите Save.



  13. Нажмите кнопку Finish.



    На этом процедура перехвата пакетов завершена.

Настройте захват пакета с CLI

Выполните эти шаги для настройки функции захвата пакета на ASA с CLI:

  1. Настройте внутренние и внешние интерфейсы, как проиллюстрировано в схеме сети с правильным IP-адресом и уровнями безопасности.

  2. Запустите процесс захвата пакета с  команды перехвата в привилегированном режиме EXEC. В этом примере задается конфигурация перехвата пакетов под названием capin. Свяжите его с внутренним интерфейсом и укажите с ключевым словом соответствия, что только перехвачены пакеты, которые совпадают с трафиком интереса:

    ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255
  3. Аналогичным образом определяется конфигурация перехвата capout. Свяжите его с внешним интерфейсом и укажите с ключевым словом соответствия, что только перехвачены пакеты, которые совпадают с трафиком интереса:

    ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

    ASA теперь начинает перехватывать трафик между интерфейсами. Для остановки перехвата в любое время, не введите команду перехвата, придерживавшуюся названием перехвата.

    Например:

    no capture capin interface inside
    no capture capout interface outside

Доступные типы перехвата на ASA

В этом разделе описываются различные типы перехватов, которые доступны на ASA.

  • asa_dataplane - Перехватывает пакеты на объединительной плате ASA, которые проходят между ASA и модулем, который использует объединительную плату, такую как CX ASA или Модуль ips.

    ASA# cap asa_dataplace interface asa_dataplane
    ASA# show capture
    capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
  • код отбрасывания отбрасывания гадюки - Перехватывает пакеты, которые отброшены ускоренным путем безопасности. Код отбрасывания задает тип трафика, который отброшен ускоренным путем безопасности.

    ASA# capture asp-drop type asp-drop acl-drop
    ASA# show cap
    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown

    ASA# show capture asp-drop

    2 packets captured

    1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
    2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
    Flow is denied by configured rule
    2 packets shown
  • тип типа ethernet - Выбирает Тип ethernet для получения. Поддерживаемые Типы ethernet включают 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOE, RARP и VLAN.

    Данный пример показывает, как перехватить трафик ARP:

    ASA# cap arp ethernet-type ?

    exec mode commands/options:
     802.1Q
     <0-65535> Ethernet type
     arp
     ip
     ip6
     ipx
     pppoed
     pppoes
     rarp
     vlan

    cap arp ethernet-type arp interface inside


    ASA# show cap arp

    22 packets captured

    1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
    2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
    3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

    4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
    5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
    6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
    7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:
  • в реальном времени - Отображает захваченные пакеты постоянно в режиме реального времени. Для завершения захвата пакета в реальном времени нажмите Ctrl-C. Для постоянного удаления перехвата используйте эту команду с параметром no. Эта опция не поддерживается при использовании кластерной команды перехвата exec.

    ASA# cap capin interface inside real-time

    Warning: using this option with a slow console connection may
    result in an excessive amount of non-displayed packets
    due to performance limitations.


    Use ctrl-c to terminate real-time capture
  • След - Отслеживает захваченные пакеты способом, подобным пакетной функции трассировщика ASA.

    ASA#cap in interface Webserver trace match tcp any any eq 80

    // Initiate Traffic

    1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
    2322784363:2322784363(0) win 8192
    <mss 1460,nop,wscale 2,nop,nop,sackOK>

    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in 0.0.0.0 0.0.0.0 outside

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group any in interface inside
    access-list any extended permit ip any4 any4 log
    Additional Information:

    Phase: 5
    Type: NAT
    Subtype:
    Result: ALLOW
    Config:
    object network obj-10.0.0.0
    nat (inside,outside) dynamic interface
    Additional Information:
    Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

    Phase: 6
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 7
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 8
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 9
    Type: ESTABLISHED
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 10
    Type:
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 11
    Type: NAT
    Subtype: per-session
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 12
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:

    Phase: 13
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 41134, packet dispatched to next module

    Phase: 14
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 203.0.113.1 using egress ifc outside
    adjacency Active
    next-hop mac address 0007.7d54.1300 hits 3170

    Result:
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: allow
  • ikev1/ikev2 - Перехватывает только сведения о протоколе Версии 1 (IKEv1) или IKEv2 Обмена ключами между сетями.

  • isakmp - Перехватывает трафик Протокола ISAKMP для VPN-подключений. Подсистема ISAKMP не имеет доступа к протоколам высшего уровня. Перехват является псевдо перехватом, с медосмотром, IP и уровнями UDP, объединенными вместе для удовлетворения синтаксического анализатора PCAP. Адреса партнера (peer) получены из SA, обмениваются и сохранены в IP - уровне.

  • lacp - Перехватывает трафик Протокола управления агрегацией каналов (LACP). Если настроено, имя интерфейса является названием физического интерфейса. Когда вы работаете с Etherchannels для определения настоящего поведения LACP, это могло бы быть полезно.

  • прокси tls - Перехватывает дешифрованный входящий и исходящие данные от прокси Transport Layer Security (TLS) на одном или более интерфейсах.

  • webvpn - Данные WebVPN Перехватов для определенного подключения WebVPN.

    Внимание.  : При включении перехвата WebVPN он влияет на производительность устройства безопасности. Гарантируйте отключение перехвата после генерации перехватов файла, которые необходимы для устранения проблем.

Настройки по умолчанию

Это системные значения по умолчанию ASA:

  • Тип по умолчанию является необработанными данными.
  • Размер буфера по умолчанию составляет 512 КБ.
  • Тип ethernet по умолчанию является пакетами IP.
  • Длина пакета по умолчанию составляет 1,518 байтов.

Просмотрите захваченные пакеты

На ASA

Для просмотра захваченных пакетов введите команду show capture, придерживавшуюся названием перехвата. Этот раздел предоставляет выходные данные команды show содержания накопительного буфера. Команда show capture capin показывает содержимое буфера перехвата capin:

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

Команда show capture capout показывает содержимое буфера перехвата capout:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

Загрузки от ASA для автономного анализа

Существует несколько способов загрузить захваты пакета для анализа офлайн:

  1. Перейдите к https://<ip_of_asa>/admin/capture / <capture_name>/pcap на любом браузере.

    Совет: Если вы не учитываете pcap ключевое слово, то только эквивалент show capture <cap_name> выходные данные command предоставлен.

  2. Введите команду copy capture и предпочтительный протокол передачи файлов для загрузки перехвата:

    copy /pcap capture:<capture-name> tftp://<server-ip-address>

Совет: Когда вы решаете проблему с использованием захватов пакета, Cisco рекомендует загрузить перехваты для автономного анализа.

Очистите перехват

Для очистки накопительного буфера введите clear capture <команда name> перехвата:

ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any

ASA# clear cap capin
ASA# clear cap capout

ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any

Введите clear capture / вся команда для очистки буфера для всех перехватов:

ASA# clear capture /all

Остановите перехват

Единственный способ остановить перехват на ASA состоит в том, чтобы отключить его полностью с этой командой:

no capture <capture-name>

 Когда перехват начинает перехватывать трафик, CSCuv74549 идентификатора ошибки Cisco был подан для добавления возможности остановить перехват, полностью не отключая его и управлять.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118097