Dit document beschrijft de pakketstroom via een Cisco Adaptive Security Appliance (ASA)-firewall. Het toont de Cisco ASA-procedure om interne pakketten te verwerken. Het bespreekt ook de verschillende mogelijkheden waar het pakket kan worden gedropt en verschillende situaties waarin het pakket vordert.
Cisco raadt u aan kennis te hebben van Cisco 5500 Series ASA's.
De informatie in dit document is gebaseerd op Cisco ASA 5500 Series ASA's waarop Softwareversie 8.2 wordt uitgevoerd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De interface die het pakket ontvangt, wordt de ingress-interface genoemd en de interface waardoor het pakket wordt afgesloten, wordt de egress-interface genoemd. Wanneer u verwijst naar de pakketstroom door elk apparaat, wordt de taak gemakkelijk vereenvoudigd als u ernaar kijkt in termen van deze twee interfaces. Hier is een voorbeeldscenario:
Wanneer een gebruiker binnen (192.168.10.5) probeert toegang te krijgen tot een webserver in het netwerk van de gedemilitariseerde zone (DMZ) (172.16.10.5), ziet de pakketstroom er als volgt uit:
Bronadres - 192.168.10.5
Bronpoort - 22966
Bestemmingsadres - 172.16.10.5
Bestemmingshaven - 8080
Ingress-interface - Binnenin
Uitgangs-interface - DMZ
Gebruikte protocol - TCP (Transmission Control Protocol)
Nadat u de details van de pakketstroom hebt bepaald zoals hier beschreven, kunt u het probleem eenvoudig isoleren van deze specifieke verbindingsingang.
Hier is een diagram van hoe de Cisco ASA het pakket verwerkt dat het ontvangt:
Hier zijn de afzonderlijke stappen in detail:
Het pakket wordt bereikt via de ingangsinterface.
Zodra het pakket de interne buffer van de interface bereikt, wordt de invoerteller van de interface met één verhoogd.
Cisco ASA kijkt eerst naar de details van de interne verbindingstabel om te controleren of dit een huidige verbinding is. Als de pakketstroom overeenkomt met een huidige verbinding, wordt de ACL-controle (Access Control List) overgeslagen en wordt het pakket naar voren verplaatst.
Als de pakketstroom niet overeenkomt met een huidige verbinding, wordt de TCP-status geverifieerd. Als het een SYN-pakket of UDP-pakket (User Datagram Protocol) is, wordt de verbindingsteller met één verhoogd en wordt het pakket verzonden voor een ACL-controle. Als het geen SYN-pakket is, wordt het pakket verwijderd en wordt de gebeurtenis geregistreerd.
Het pakket wordt verwerkt volgens de interface-ACL's. Het wordt geverifieerd in volgorde van de ACL-vermeldingen en als het overeenkomt met een van de ACL-vermeldingen, gaat het vooruit. Anders wordt het pakket weggelaten en wordt de informatie vastgelegd. Het aantal ACL-treffers wordt met één verhoogd wanneer het pakket overeenkomt met het ACL-item.
Het pakket wordt gecontroleerd op de vertaalregels. Als een pakket deze controle doorloopt, wordt een verbindingsvermelding gemaakt voor deze stroom en gaat het pakket vooruit. Anders wordt het pakket weggelaten en wordt de informatie vastgelegd.
Het pakket wordt onderworpen aan een inspectiecontrole. Deze inspectie controleert of deze specifieke pakketstroom in overeenstemming is met het protocol. Cisco ASA heeft een ingebouwde inspectiemotor die elke verbinding inspecteert volgens de vooraf gedefinieerde functionaliteit op toepassingsniveau. Als het de inspectie heeft doorstaan, wordt het naar voren geschoven. Anders wordt het pakket weggelaten en wordt de informatie vastgelegd.
Er worden extra veiligheidscontroles uitgevoerd als er een CSC-module (Content Security) bij betrokken is.
De informatie over de IP-header wordt vertaald volgens de regel Network Address Translation/Port Address Translation (NAT/PAT) en de controlesommen worden dienovereenkomstig bijgewerkt. Het pakket wordt doorgestuurd naar de Advanced Inspection and Prevention Security Services Module (AIP-SSM) voor IPS-gerelateerde beveiligingscontroles wanneer de AIP-module is betrokken.
Het pakket wordt doorgestuurd naar de uitgang-interface op basis van de vertaalregels. Als er geen uitgang-interface is opgegeven in de vertaalregel, wordt de doelinterface bepaald op basis van het globale opzoeken van de route.
Op de uitgang interface wordt de interface route opzoeken uitgevoerd. Vergeet niet dat de uitgang-interface wordt bepaald door de vertaalregel die de prioriteit heeft.
Zodra een Layer 3-route is gevonden en de volgende hop is geïdentificeerd, wordt de Layer 2-resolutie uitgevoerd. De Layer 2-herschrijving van de MAC-header vindt in dit stadium plaats.
Het pakket wordt verzonden op de draad en de interfacetellers nemen toe op de uitgang-interface.
Raadpleeg deze documenten voor meer informatie over de volgorde van de NAT-operatie:
Hier zijn enkele nuttige opdrachten die helpen bij het volgen van de pakketstroomdetails in verschillende stadia van het proces:
show interface
show conn
show access-list
show xlate
show service-policy inspect
show run static
show run nat
show run global
show nat
show route
show arp
Syslog-berichten bieden nuttige informatie over pakketverwerking. Hier zijn enkele voorbeelden van syslog-berichten ter referentie:
Syslog-bericht wanneer er geen verbindingsvermelding is:
%ASA-6-106015: Deny TCP (no connection) from IP_address/port to
IP_address/port flags tcp_flags on interface interface_name
Syslog-bericht wanneer het pakket wordt geweigerd door een ACL:
%ASA-4-106023: Deny protocol src [interface_name:source_address/source_port]
dst interface_name:dest_address/dest_port by access_group acl_ID
Syslog-bericht wanneer er geen vertaalregel is gevonden:
%ASA-3-305005: No translation group found for protocol src interface_name:
source_address/source_port dst interface_name:dest_address/dest_port
Syslog-bericht wanneer een pakket wordt geweigerd door de beveiligingsinspectie:
%ASA-4-405104: H225 message received from outside_address/outside_port to
inside_address/inside_port before SETUP
Syslog-bericht wanneer er geen routegegevens zijn:
%ASA-6-110003: Routing failed to locate next-hop for protocol from src
interface:src IP/src port to dest interface:dest IP/dest port
Voor een volledige lijst van alle syslog-berichten die door de Cisco ASA zijn gegenereerd, met een korte uitleg, raadpleegt u de Cisco ASA Series Syslog-berichten.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Jan-2012
|
Eerste vrijgave |