Dit document beschrijft de pakketstroom door een Cisco adaptieve security applicatie (ASA) firewall. Het toont de procedure van Cisco ASA om interne pakketten te verwerken. Het bespreekt ook de verschillende mogelijkheden waar het pakket zou kunnen worden gelaten vallen en verschillende situaties waar het pakket vooruitgaat.
Cisco raadt u aan kennis te hebben van Cisco 5500 Series ASA’s.
De informatie in dit document is gebaseerd op Cisco ASA 5500 Series ASA's waarin Software versie 8.2 wordt uitgevoerd.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De interface die het pakket ontvangt, wordt de ingangsinterface genoemd en de interface waardoor het pakket vertrekt, wordt de uitgangsinterface genoemd. Wanneer u naar de pakketstroom door een apparaat verwijst, wordt de taak eenvoudig vereenvoudigd als u deze in termen van deze twee interfaces bekijkt. Hier is een voorbeeldscenario:
Wanneer een interne gebruiker (192.168.10.5) probeert toegang te krijgen tot een webserver in het DMZ-netwerk (172.16.10.5), ziet de pakketstroom er als volgt uit:
Bronadres - 192.168.10.5
Bronpoort - 22966
Doeladres - 172.16.10.5
Bestemmingshaven - 8080
Ingress-interface - Inside
Uitgaande interface - DMZ
Gebruikt protocol - TCP (Transmission Control Protocol)
Nadat u de details van de pakketstroom hebt bepaald zoals hier beschreven, kunt u het probleem eenvoudig van deze specifieke verbindingsingang isoleren.
Hier is een diagram van hoe Cisco ASA het pakket verwerkt dat het ontvangt:
Hier zijn de individuele stappen in detail:
Het pakket wordt bereikt bij de toegangsinterface.
Zodra het pakket de interne buffer van de interface bereikt, wordt de invoerteller van de interface met één verhoogd.
Cisco ASA bekijkt eerst de details van de interne verbindingstabel om te verifiëren of dit een huidige verbinding is. Als de pakketstroom een huidige verbinding aanpast, wordt de controle van de toegangscontrolelijst (ACL) omzeild en wordt het pakket voorwaarts verplaatst.
Als de pakketstroom geen huidige verbinding aanpast, wordt de TCP-status geverifieerd. Als het een SYN-pakket of UDP-pakket (User Datagram Protocol) is, wordt de verbindingsteller met één verhoogd en wordt het pakket verzonden voor een ACL-controle. Als het geen SYN-pakket is, wordt het pakket verbroken en wordt de gebeurtenis vastgelegd.
Het pakket wordt verwerkt volgens de interface-ACL’s. Het wordt geverifieerd in opeenvolgende volgorde van de ACL-vermeldingen en als het overeenkomt met een van de ACL-vermeldingen, gaat het vooruit. Anders wordt het pakket verbroken en wordt de informatie vastgelegd. Het aantal ACL-treffers wordt met één verhoogd wanneer het pakket overeenkomt met de ACL-ingang.
Het pakket wordt geverifieerd voor de vertaalregels. Als een pakket door deze controle gaat, dan wordt een verbindingsingang gemaakt voor deze stroom en het pakket beweegt zich voorwaarts. Anders wordt het pakket verbroken en wordt de informatie vastgelegd.
Het pakket wordt onderworpen aan een controle. Deze inspectie verifieert of deze specifieke pakketstroom al dan niet in overeenstemming is met het protocol. Cisco ASA heeft een ingebouwde inspectie-engine die elke verbinding inspecteert volgens de vooraf gedefinieerde set functionaliteit op toepassingsniveau. Als het de inspectie heeft doorstaan, wordt het naar voren geschoven. Anders wordt het pakket verbroken en wordt de informatie vastgelegd.
Er worden aanvullende beveiligingscontroles uitgevoerd als er een CSC-module (Content Security) bij betrokken is.
De IP-headerinformatie wordt vertaald volgens de NAT/PAT-regel (Network Address Translation/Port Address Translation) en controlesommen worden dienovereenkomstig geactualiseerd. Het pakket wordt doorgestuurd naar de security servicesmodule voor geavanceerde inspectie en preventie (AIP-SSM) voor IPS-gerelateerde beveiligingscontroles wanneer de AIP-module is betrokken.
Het pakket wordt doorgestuurd naar de uitgaande interface op basis van de vertaalregels. Als er in de vertaalregel geen uitgaande interface is gespecificeerd, wordt de doelinterface bepaald op basis van de wereldwijde route lookup.
Op de uitgangsinterface wordt de raadpleging van de interfaceroute uitgevoerd. Vergeet niet dat de uitgaande interface wordt bepaald door de vertaalregel die de prioriteit neemt.
Zodra een Layer 3-route is gevonden en de volgende hop is geïdentificeerd, wordt Layer 2-resolutie uitgevoerd. Layer 2 herschrijven van de MAC-header gebeurt in deze fase.
Het pakket wordt verzonden op de draad, en de interfacetellerverhoging op de uitgangsinterface.
Raadpleeg deze documenten voor meer informatie over de volgorde van de NAT-bewerkingen:
Hier zijn een aantal handige opdrachten waarmee de pakketstroomdetails in de verschillende fasen van het proces kunnen worden bijgehouden:
show interface
show conn
show access-list
show xlate
show service-policy inspect
show run static
show run nat
show run global
show nat
show route
show arp
Syslog-berichten geven nuttige informatie over pakketverwerking. Hier zijn enkele syslog berichten voor uw referentie:
Syslog-bericht wanneer er geen verbinding wordt ingevoerd:
%ASA-6-106015: Deny TCP (no connection) from IP_address/port to
IP_address/port flags tcp_flags on interface interface_name
Syslog-bericht wanneer het pakket wordt ontkend door een ACL:
%ASA-4-106023: Deny protocol src [interface_name:source_address/source_port]
dst interface_name:dest_address/dest_port by access_group acl_ID
Syslog-bericht wanneer er geen vertaalregel is gevonden:
%ASA-3-305005: No translation group found for protocol src interface_name:
source_address/source_port dst interface_name:dest_address/dest_port
Syslog-bericht wanneer een pakket wordt geweigerd door Security Inspection:
%ASA-4-405104: H225 message received from outside_address/outside_port to
inside_address/inside_port before SETUP
Syslog-bericht wanneer er geen routegegevens zijn:
%ASA-6-110003: Routing failed to locate next-hop for protocol from src
interface:src IP/src port to dest interface:dest IP/dest port
Raadpleeg de Cisco ASA Syslog-berichten voor een volledige lijst met alle syslog-berichten die door Cisco ASA samen met een korte uitleg zijn gegenereerd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Jan-2012
|
Eerste vrijgave |