概要
このドキュメントでは、ASDMまたはCLIを使用して目的のパケットをキャプチャするようにCisco ASAファイアウォールを設定する方法について説明します。
前提条件
要件
この手順では、ASAが完全に動作していて、Cisco ASDMまたはCLIで設定を変更できるように設定されていることを前提としています。
使用するコンポーネント
このドキュメントは、特定のハードウェアまたはソフトウェア バージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
関連製品
この設定は、次のシスコ製品にも使用されます。
- Cisco ASA バージョン 9.1(5) 以降
- Cisco ASDM バージョン 7.2.1
背景説明
このドキュメントでは、 Cisco Adaptive Security Appliance (ASA) Next-Generation Firewall
必要なパケットをキャプチャするために、 Cisco Adaptive Security Device Manager (ASDM)
または Command Line Interface (CLI) (ASDM)
.
パケットキャプチャプロセスは、接続の問題のトラブルシューティングや疑わしいアクティビティの監視に役立ちます。また、複数のインターフェイス上のさまざまなタイプのトラフィックを分析するために、複数のキャプチャを作成することもできます。
設定
このセクションでは、このドキュメントで説明されているパケットキャプチャ機能の設定に使用する情報を提供します。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
設定
この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 アドレスであり、ラボ環境で使用されるものです。
ASDM によるパケット キャプチャの設定
この設定例はで使用され、User1(内部ネットワーク)からRouter1(外部ネットワーク)へのping中に送信されるパケットをキャプチャします。
ASDM を使用して ASA 上のパケット キャプチャ機能を設定するには、次の手順を実行します。
1.に移動します。 Wizards > Packet Capture Wizard
次のようにパケットキャプチャ設定を開始します。
2. Capture Wizard
が開きます。クリック Next
.
3.0新しいウィンドウで、入力トラフィックをキャプチャするためにで使用するパラメータを指定します。
3.1選択 inside
の Ingress Interface
キャプチャするパケットの送信元と宛先のIPアドレス、およびそのサブネットマスクを、指定されたそれぞれの場所に入力します。
3.2 ASAによってキャプチャされるパケットタイプ(ここで選択されるパケットタイプはIP)を次のように選択します。
3.3クリック Next
.
4.1選択 outside
の Egress Interface
送信元と宛先のIPアドレスとサブネットマスクを、指定されたそれぞれの場所に入力します。
If Network Address Translation (NAT)
ファイアウォール上で実行されます。これも考慮してください。
4.2クリック Next
.
5.1適切なIDを Packet Size
および Buffer Size
提供されたそれぞれの場所でこのデータは、キャプチャを実行するために必要です。
5.2 Use circular buffer
ボックスをクリックします。循環バッファは決していっぱいになりません。
バッファが最大サイズに到達すると、古いデータが破棄され、キャプチャが継続されます。
この例では、循環バッファが使用されないため、チェックボックスはオンになりません。
5.3クリック Next
.
6.0このウィンドウには、 Access-lists
キャプチャするパケットのタイプ(この例ではIPパケットがキャプチャされます)をASAで設定する必要があります。
6.1クリック Next
.
7.クリック Start
次のように、パケットキャプチャを開始します。
パケット キャプチャが開始されたら、内部ネットワークから外部ネットワークに ping を実行して、発信元 IP アドレスと宛先 IP アドレスの間を流れるパケットが ASA キャプチャ バッファでキャプチャされるようにします。
8.クリック Get Capture Buffer
ASAキャプチャバッファによってキャプチャされたパケットを表示します。
入力トラフィックと出力トラフィックの両方に関してキャプチャされたパケットがこのウィンドウに表示されます。
9.クリック Save captures
キャプチャ情報を保存します。
10.1 Save captures
ウィンドウで、キャプチャバッファを保存する形式を選択します。
10.2これはASCIIまたはPCAPです。形式名の横にあるオプション ボタンをクリックします。
10.3次に、 Save ingress capture
または Save egress capture
必要に応じて、
PCAPファイルは、次のようなキャプチャアナライザで開くことができます Wireshark
を使用します。これは推奨される方法です。
11.1 Save capture file
ウィンドウで、ファイル名とキャプチャファイルを保存する場所を指定します。
11.2クリック Save
.
12.クリック Finish
.
これで、GUIパケットキャプチャ手順は完了です。
CLI によるパケット キャプチャの設定
CLI を使用して ASA 上のパケット キャプチャ機能を設定するには、次の手順を実行します。
- ネットワークダイアグラムに示すように、内部インターフェイスと外部インターフェイスを正しいIPアドレスとセキュリティレベルで設定します。
- パケット キャプチャ プロセスを開始するには、特権 EXEC モードで capture コマンドを使用します。この設定例では、capin という名前のキャプチャが定義されます。それを内部インターフェイスにバインドし、対象のトラフィックと一致するパケットのみがキャプチャされるように match キーワードを指定します。
ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
203.0.113.3 255.255.255.255
- 同様に、capout という名前のキャプチャを定義します。それを外部インターフェイスにバインドし、対象のトラフィックと一致するパケットのみがキャプチャされるように match キーワードを指定します。
ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
203.0.113.3 255.255.255.255
これで、ASA がインターフェイス間のトラフィック フローのキャプチャを開始します。どの時点でも、キャプチャを停止するには、no capture コマンドに続けてキャプチャ名を入力します。
以下が一例です。
no capture capin interface inside
no capture capout interface outside
ASA 上で使用可能なキャプチャ タイプ
ここでは、ASA 上で使用可能なさまざまなタイプのキャプチャについて説明します。
asa_dataplane
- ASAとバックプレーンを使用するモジュール(ASA CXまたはIPSモジュールなど)の間を通過するASAバックプレーン上のパケットをキャプチャします。
ASA# cap asa_dataplace interface asa_dataplane
ASA# show capture
capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]
asp-drop
drop-code:高速セキュリティパスによって廃棄されたパケットをキャプチャします。drop-code は、高速セキュリティ パスで破棄されるトラフィックのタイプを指定します。
ASA# capture asp-drop type asp-drop acl-drop
ASA# show cap
ASA# show capture asp-drop
2 packets captured
1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2 packets shown
ASA# show capture asp-drop
2 packets captured
1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S
2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
Flow is denied by configured rule
2 packets shown
ethernet-type
type:キャプチャするイーサネットタイプを選択します。サポートされるイーサネットタイプには、8021Q、ARP、IP、IP6、LACP、PPPOED、PPPOES、RARP、VLANなどがあります。
この例では、ARP トラフィックのキャプチャ方法を示します。
ASA# cap arp ethernet-type ?
exec mode commands/options:
802.1Q
<0-65535> Ethernet type
arp
ip
ip6
pppoed
pppoes
rarp
vlan
cap arp ethernet-type arp interface inside
ASA# show cap arp
22 packets captured
1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12
2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100
3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10
4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244
5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248
6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244
7: 05:32:54.784695 arp who-has 10.106.44.1 tell xx.xx.xx.xxx:
real-time
– キャプチャされたパケットをリアルタイムで継続的に表示します。リアルタイムパケットキャプチャを終了するには、Ctrl+Cを押します。キャプチャを完全に削除するには、このコマンドのno形式を使用します。
- このオプションは、
cluster exec capture
コマンドが表示されない場合もあります。
ASA# cap capin interface inside real-time
Warning: using this option with a slow console connection may
result in an excessive amount of non-displayed packets
due to performance limitations.
Use ctrl-c to terminate real-time capture
Trace
- ASAパケットトレーサ機能と同様の方法で、キャプチャされたパケットをトレースします。
ASA#cap in interface Webserver trace match tcp any any eq 80
// Initiate Traffic
1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S
2322784363:2322784363(0) win 8192
<mss 1460,nop,wscale 2,nop,nop,sackOK>
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 outside
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group any in interface inside
access-list any extended permit ip any4 any4 log
Additional Information:
Phase: 5
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-10.0.0.0
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 9
Type: ESTABLISHED
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 10
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 11
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Phase: 12
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 41134, packet dispatched to next module
Phase: 14
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 203.0.113.1 using egress ifc outside
adjacency Active
next-hop mac address 0007.7d54.1300 hits 3170
Result:
output-interface: outside
output-status: up
output-line-status: up
Action: allow
注:ASA 9.10+では、anyキーワードはipv4アドレスを持つパケットだけをキャプチャします。any6キーワードは、すべてのipv6アドレスのトラフィックをキャプチャします。
これらは、パケットキャプチャで設定できる詳細設定です。
設定方法については、コマンドリファレンスガイドを参照してください。
ikev1/ikev2
– インターネットキーエクスチェンジバージョン1(IKEv1)またはIKEv2プロトコル情報のみをキャプチャします。
isakmp
- VPN接続のInternet Security Association and Key Management Protocol(ISAKMP)トラフィックをキャプチャします。ISAKMP サブシステムは、上位層プロトコルにアクセスできません。このキャプチャは、PCAP パーサーを満足させるために物理、IP、および UDP の各層を 1 つにまとめた疑似キャプチャです。このピア アドレスは、SA 交換から取得され、IP レイヤに保存されます。
lacp
- Link Aggregation Control Protocol(LACP)トラフィックをキャプチャします。設定されている場合は、インターフェイス名は物理インターフェイス名です。これは、Etherchannelを使用してLACPの現在の動作を特定する場合に役立ちます。
tls-proxy
- 1つ以上のインターフェイスのTransport Layer Security(TLS)プロキシから、復号化された着信データと発信データをキャプチャします。
webvpn
– 特定のWebVPN接続のWebVPNデータをキャプチャします。
注意:WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成したら、必ず、キャプチャを無効にしてください。
デフォルト
ASA システムのデフォルト値を以下に示します。
- デフォルトのタイプは ローデータ です。
- デフォルトのバッファ サイズは 512 KB です。
- デフォルトのイーサネット タイプは IP パケットです。
- デフォルトのパケット長は 1,518 バイトです。
キャプチャされたパケットの表示
ASA
キャプチャされたパケットを表示するには、show capture コマンドに続けてキャプチャ名を入力します。ここでは、キャプチャ バッファの内容の show コマンドの出力を示します。「 show capture capin
コマンドを実行すると、 capin
:
ASA# show cap capin
8 packets captured
1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request
8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply
「 show capture capout
コマンドを実行すると、 capout
:
ASA# show cap capout
8 packets captured
1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request
2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply
3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request
4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply
5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request
6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply
7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request
8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply
オフライン分析のための ASA からのダウンロード
オフラインで分析するためにパケット キャプチャをダウンロードする方法がいくつかあります。
- 移動先
https://<ip_of_asa>/admin/capture/<capture_name>/pcap
任意のブラウザで実行できます。
ヒント:このコマンドを pcap
キーワードを指定した場合は、 show capture
コマンド出力が表示されます。
- キャプチャをダウンロードするには、copy capture コマンドと必要なファイル転送プロトコルを入力します。
copy /pcap capture:<capture-name> tftp://<server-ip-address>
ヒント:パケット キャプチャの使用に伴う問題をトラブルシューティングする場合は、オフライン分析のためにキャプチャをダウンロードすることをお勧めします。
キャプチャのクリア
キャプチャバッファをクリアするには、 clear capture
コマンドにより、WLC CLI で明確に示されます。
ASA# show capture
capture capin type raw-data interface inside [Capturing - 8190 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 11440 bytes]
match icmp any any
ASA# clear cap capin
ASA# clear cap capout
ASA# show capture
capture capin type raw-data interface inside [Capturing - 0 bytes]
match icmp any any
capture capout type raw-data interface outside [Capturing - 0 bytes]
match icmp any any
次を入力します。 clear capture /all
コマンドを発行して、すべてのキャプチャのバッファをクリアします。
ASA# clear capture /all
キャプチャの停止
ASA 上でキャプチャを停止する唯一の方法は、次のコマンドを使用して完全に無効にする方法です。
no capture <capture-name>
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。