Capturas de paquetes ASA con el CLI y el ejemplo de la Configuración de ASDM

Introducción

Este documento describe cómo configurar el Firewall adaptante de la última generación del dispositivo de seguridad de Cisco (ASA) para capturar los paquetes deseados con el Cisco Adaptive Security Device Manager (ASDM) o el CLI.

Prerrequisitos

Requisitos

Este documento asume que el ASA está completamente - operativo y se configura para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración.

Componentes Utilizados

Este documento no se restringe al hardware o a las versiones de software específico.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con estos Productos Cisco:

• Versiones de ASA de Cisco 9.1(5) y posterior

• Cisco ASDM versión 7.2.1

Antecedentes

El proceso de la captura de paquetes es útil cuando usted resuelve problemas los problemas de conectividad o monitorea la actividad sospechosa. Además, usted puede crear a las capturas múltiples para analizar diversos tipos de tráfico en las interfaces múltiples.

Configurar

Esta sección proporciona la información que usted puede utilizar para configurar las características de la captura de paquetes que se describen en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Nota: Los esquemas de IP Addressing que se utilizan en esta configuración no son legalmente routable en Internet. Son los direccionamientos del RFC 1918 que se utilizan en un ambiente de laboratorio.

Captura de paquetes de la configuración con el ASDM

Nota: Este ejemplo de configuración se utiliza para capturar los paquetes que se transmiten durante un ping del user1 (red interna) al router1 (red externa).

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el ASDM:

1. Navegue a los Asisitente > al Asisitente de la captura de paquetes para comenzar la configuración de la captura de paquetes, como se muestra:
   
   
   
   
2. El Asisitente de la captura se abre. Haga clic en Next (Siguiente).
   
   
   
   
3. En la nueva ventana, proporcione los parámetros que se utilizan para capturar el Tráfico de ingreso. Seleccione el interior para la interfaz de ingreso y proporcione la fuente y los IP Address de destino de los paquetes que se capturarán, junto con su máscara de subred, en el espacio respectivo proporcionado. También, elija el tipo de paquete que se capturará por el ASA (el IP es el tipo de paquete elegido aquí), como se muestra:
   
   
   
   Haga clic en Next (Siguiente).
   
   
4. Seleccione el exterior para la interfaz de egreso y proporcione la fuente y los IP Address de destino, junto con su máscara de subred, en los espacios respectivos proporcionados. Si el Network Address Translation (NAT) se realiza en el Firewall, tome esto en la consideración también.
   
   
   
   Haga clic en Next (Siguiente).
   
   
5. Ingrese el tamaño de paquetes apropiado y el tamaño de almacén intermedio en el espacio respectivo proporcionado, como estos datos se requieren para que ocurra la captura. También, recuerde marcar la casilla de verificación circular del buffer del uso si usted quiere utilizar la opción circular del buffer. Los buffers circulares nunca se llenan. Pues el buffer alcanza su tamaño máximo, se desechan más viejos datos y la captura continúa. En este ejemplo, el buffer circular no se utiliza, así que la casilla de verificación no se marca.
   
   
   
   Haga clic en Next (Siguiente).
   
   
6. Esta ventana muestra las listas de acceso que se deben configurar en el ASA para capturar los paquetes deseados, y muestra el tipo de paquetes que se capturarán (los paquetes del IP se capturan en este ejemplo). Haga clic en Next (Siguiente).
   
   
   
   
7. Haga clic el comienzo para comenzar a la captura de paquetes, como se muestra aquí:
   
   
   
   
8. Como comienzan a la captura de paquetes, intente hacer ping la red externa de la red interna de modo que los paquetes que fluyen entre la fuente y los IP Address de destino sean capturados por el buffer de la captura ASA.
   
   
9. El tecleo consigue el buffer de la captura para ver los paquetes que son capturados por el buffer de la captura ASA.
   
   
   
   
10. Los paquetes capturados se muestran en esta ventana para el ingreso y el tráfico de salida. La salvaguardia del tecleo captura para salvar la información de la captura.
    
    
    
    
11. De la ventana de las capturas de la salvaguardia, elija el formato requerido en el cual el buffer de la captura debe ser guardado. Éste es ASCII o PCAP. Haga clic el botón de radio al lado de los nombres del formato. Entonces, la captura del ingreso de la salvaguardia del tecleo o la salida de la salvaguardia captura como sea necesario. Los archivos PCAP se pueden abrir con los analizadores de la captura, tales como Wireshark, y es el método preferido.
    
    
    
    
12. De la ventana del capturar archivo de la salvaguardia, proporcione el nombre del archivo y la ubicación a donde está ser guardado el capturar archivo. Haga clic en Save (Guardar).
    
    
    
    
13. Haga clic en Finish (Finalizar).
    
    
    
    Esto completa el procedimiento de la captura de paquetes.

Captura de paquetes de la configuración con el CLI

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el CLI:

1. Configure las interfaces interior y exterior como se ilustra en el diagrama de la red, con la dirección IP y los niveles de seguridad correctos.
   
   
2. Comience el proceso de la captura de paquetes con el comando capture en el modo EXEC privilegiado. En este ejemplo de configuración, la captura nombrada capin se define. Átela a la interfaz interior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados:
   
   

   ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

3. Semejantemente, la captura nombrada capout se define. Átela a la interfaz exterior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados:
   
   

   ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

   
   El ASA ahora comienza a capturar el flujo de tráfico entre las interfaces. Para parar la captura en cualquier momento, no ingrese el ningún comando capture seguido por el nombre de la captura.
   
   Aquí tiene un ejemplo:
   
   

   no capture capin interface inside
   no capture capout interface outside 

Tipos disponibles de la captura en el ASA

Esta sección describe los diversos tipos de capturas que estén disponibles en el ASA.

• asa_dataplane - Captura los paquetes en el backplane ASA que pasan entre el ASA y un módulo que utilice el backplane, tal como el ASA CX o módulo ips.
  
  

  ASA# cap asa_dataplace interface asa_dataplane
  ASA# show capture
  capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]

• descenso-código del ASP-descenso - Captura los paquetes que son caídos por la trayectoria acelerada de la Seguridad. El descenso-código especifica el tipo de tráfico que es caído por la trayectoria acelerada de la Seguridad.
  
  

  ASA# capture asp-drop type asp-drop acl-drop
  ASA# show cap
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown
  
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown

• tipo del tipo Ethernet - Selecciona un tipo Ethernet capturar. Los tipos Ethernet soportados incluyen 8021Q, el ARP, el IP, IP6, el IPX, el LACP, PPPOED, PPPOES, el RARP, y el VLA N.
  
  Esta demostración del ejemplo cómo capturar el tráfico ARP:
  
  

  ASA# cap arp ethernet-type ?
  
  exec mode commands/options:
    802.1Q
    <0-65535>  Ethernet type
    arp
    ip
    ip6
    ipx
    pppoed
    pppoes
    rarp
    vlan
  
  cap arp ethernet-type arp interface inside
  
  
  ASA# show cap arp
  
  22 packets captured
  
     1: 05:32:52.119485       arp who-has 10.10.3.13 tell 10.10.3.12
     2: 05:32:52.481862       arp who-has 192.168.10.123 tell 192.168.100.100
     3: 05:32:52.481878       arp who-has 192.168.10.50 tell 192.168.100.10
     4: 05:32:53.409723       arp who-has 10.106.44.135 tell 10.106.44.244
     5: 05:32:53.772085       arp who-has 10.106.44.108 tell 10.106.44.248
     6: 05:32:54.782429       arp who-has 10.106.44.135 tell 10.106.44.244
     7: 05:32:54.784695       arp who-has 10.106.44.1 tell 11.11.11.112:

• unidades de visualización en tiempo real los paquetes capturados continuamente en el tiempo real. Para terminar a una captura de paquetes en tiempo real, presione el Ctrl-c. Para quitar permanentemente la captura, no utilice la ninguna forma de este comando. Esta opción no se soporta cuando usted utiliza el comando capture del ejecutivo del cluster.
  
  

  ASA# cap capin interface inside real-time
  
  Warning: using this option with a slow console connection may
           result in an excessive amount of non-displayed packets
           due to performance limitations.
  
  Use ctrl-c to terminate real-time capture

• Traza - Localiza los paquetes capturados de una forma similares a la característica del trazalíneas del paquete ASA.
  
  

  ASA#cap in interface Webserver trace match tcp any any eq 80
  
  // Initiate Traffic
  
   1: 07:11:54.670299   192.168.10.10.49498 > 198.51.100.88.80: S
      2322784363:2322784363(0) win 8192
      <mss 1460,nop,wscale 2,nop,nop,sackOK>
  
   Phase: 1
   Type: CAPTURE
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   MAC Access list
   
   Phase: 2
   Type: ACCESS-LIST
   Subtype:
   Result: ALLOW
   Config:
   Implicit Rule
   Additional Information:
   MAC Access list
   
   Phase: 3
   Type: ROUTE-LOOKUP
   Subtype: input
   Result: ALLOW
   Config:
   Additional Information:
   in   0.0.0.0         0.0.0.0         outside
   
   Phase: 4
   Type: ACCESS-LIST
   Subtype: log
   Result: ALLOW
   Config:
   access-group any in interface inside
   access-list any extended permit ip any4 any4 log
   Additional Information:
   
   Phase: 5
   Type: NAT
   Subtype:
   Result: ALLOW
   Config:
   object network obj-10.0.0.0
   nat (inside,outside) dynamic interface
   Additional Information:
   Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
   
   Phase: 6
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 7
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 8
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 9
   Type: ESTABLISHED
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 10
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 11
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 12
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 13
   Type: FLOW-CREATION
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   New flow created with id 41134, packet dispatched to next module
   
   Phase: 14
   Type: ROUTE-LOOKUP
   Subtype: output and adjacency
   Result: ALLOW
   Config:
   Additional Information:
   found next-hop 203.0.113.1 using egress ifc outside
   adjacency Active
   next-hop mac address 0007.7d54.1300 hits 3170
   
   Result:
   output-interface: outside
   output-status: up
   output-line-status: up
   Action: allow

• ikev1/ikev2 - Información sobre protocolo 1 (IKEv1) o IKEv2 solamente del intercambio de claves de Internet de las capturas de la versión.
  
  
• isakmp - Tráfico del Internet Security Association and Key Management Protocol (ISAKMP) de las capturas para las conexiones VPN. El subsistema ISAKMP no tiene acceso a los protocolos de la capa superiores. La captura es una pseudo captura, con la comprobación, las capas IP, y UDP combinadas juntas para satisfacer un analizador de sintaxis PCAP. Obtienen del intercambio SA y se salvan a las direcciones de peer en la capa IP.
  
  
• lacp - Tráfico del protocolo link aggregation control de las capturas (LACP). Si está configurado, el nombre de la interfaz es el nombre de la interfaz física. Esto pudo ser útil cuando usted trabaja con los EtherChanneles para identificar la conducta actual del LACP.
  
  
• TLS-proxy - Las capturas desencriptaron entrante y los datos salientes del proxy de Transport Layer Security (TLS) en una o más interfaces.
  
  
• webvpn - Datos del WebVPN de las capturas para una conexión WebVPN específica.
  

  Precaución: Cuando usted habilita la captura del WebVPN, afecta al funcionamiento del dispositivo de seguridad. Asegúrese de que usted inhabilite la captura después de que usted genere los capturares archivo que son necesarios para resolver problemas.

Valores predeterminados

Éstos son los valores por defecto de valor predeterminado del sistema ASA:

• El tipo predeterminado es datos sin procesar.
• El tamaño de almacén intermedio predeterminado es 512 KB.
• El tipo Ethernet predeterminado es paquetes del IP.
• La Longitud del paquete predeterminada es 1,518 bytes.

Vea los paquetes capturados

En el ASA

Para ver los paquetes capturados, ingrese el comando capture de la demostración seguido por el nombre de la captura. Esta sección proporciona las salidas del comando show del contenido del buffer de la captura. El comando del capin de la captura de la demostración muestra el contenido del buffer de la captura nombrado capin:

ASA# show cap capin
 
 8 packets captured
 
 1: 03:24:35.526812       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527224       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528247       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528582       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529345       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529681       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:57.440162       192.168.10.10 > 203.0.113.3: icmp: echo request
 8: 03:24:57.440757       203.0.113.3 > 192.168.10.10: icmp: echo reply

El comando del capout de la captura de la demostración muestra el contenido del buffer de la captura nombrado capout:

ASA# show cap capout
 
 8 packets captured
 
 1: 03:24:35.526843       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527179       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528262       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528567       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529361       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529666       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:47.014098       203.0.113.3 > 203.0.113.2: icmp: echo request
 8: 03:24:47.014510       203.0.113.2 > 203.0.113.3: icmp: echo reply

Descarga del ASA para la análisis fuera de línea

Hay un par de maneras de descargar a las capturas de paquetes para el análisis off-liné:

1. Navegue a https:// <ip_of_asa>/admin/capture/<capture_name>/pcap en cualquier navegador.
   

   Consejo: Si usted deja hacia fuera la palabra clave del pcap, después solamente el equivalente de la salida de comando del <cap_name> de la captura de la demostración se proporciona.

2. Ingrese el comando capture de la copia y su File Transfer Protocol preferido para descargar la captura:
   
   

   copy /pcap capture:<capture-name> tftp://<server-ip-address>

Consejo: Cuando usted resuelve problemas un problema con el uso de las capturas de paquetes, Cisco recomienda que usted descarga las capturas para la análisis fuera de línea.

Borre una captura

Para borrar el buffer de la captura, ingrese el comando claro del <capture-name> de la captura:

ASA# show capture
 capture capin type raw-data interface inside [Capturing - 8190 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 11440 bytes]
 match icmp any any
 
 ASA# clear cap capin
 ASA# clear cap capout

 ASA# show capture
 capture capin type raw-data interface inside [Capturing - 0 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 0 bytes]
 match icmp any any

Ingrese el comando claro de /all de la captura para borrar el buffer para todas las capturas:

ASA# clear capture /all

Pare una captura

La única forma de parar una captura en el ASA es inhabilitarlo totalmente con este comando:

no capture <capture-name>

El Id. de bug Cisco CSCuv74549 se ha clasifiado para agregar la capacidad de parar una captura sin totalmente inhabilitarla y de controlarla cuando una captura comienza a capturar el tráfico.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.