ASA 8.2: Fluxo de pacotes através de um firewall ASA

Opções de download

  • PDF     (257.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (69.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:18 de maio de 2015
ID do documento:113396

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve o fluxo de pacotes através de um firewall Cisco Adaptive Security Appliance (ASA). Ele mostra o procedimento do Cisco ASA para processar pacotes internos. Ele também discute as diferentes possibilidades onde o pacote poderia ser deixado e as diferentes situações onde o pacote continua adiante.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento dos ASAs Cisco 5500 Series.

Componentes Utilizados

As informações neste documento são baseadas nos ASAs Cisco ASA 5500 Series que executam a versão de software 8.2.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

A interface que recebe o pacote é chamada de interface de entrada e a interface através da qual o pacote sai é chamada de interface de saída. Quando você se refere ao fluxo de pacotes através de qualquer dispositivo, a tarefa é facilmente simplificada se você olhar em termos dessas duas interfaces. Aqui está um exemplo de cenário:

Quando um usuário interno (192.168.10.5) tenta acessar um servidor Web na rede da zona desmilitarizada (DMZ) (172.16.10.5), o fluxo de pacotes se parece com este:

  • Endereço origem - 192.168.10.5

  • Porta de origem - 22966

  • Endereço destino - 172.16.10.5

  • Porta de destino - 8080

  • Interface de entrada - Interno

  • Interface de saída - DMZ

  • Protocolo usado - TCP (Transmission Control Protocol)

Depois de determinar os detalhes do fluxo do pacote conforme descrito aqui, é fácil isolar o problema para essa entrada de conexão específica.

Algoritmo de processo de pacote do Cisco ASA

Aqui está um diagrama de como o Cisco ASA processa o pacote que recebe:

Estas são as etapas individuais em detalhes:

  1. O pacote é alcançado na interface de entrada.

  2. Quando o pacote alcança o buffer interno da interface, o contador de entrada da interface é incrementado em um.

  3. O Cisco ASA examina primeiro os detalhes da tabela de conexão interna para verificar se essa é uma conexão atual. Se o fluxo do pacote corresponder a uma conexão atual, a verificação da Lista de Controle de Acesso (ACL) será ignorada e o pacote será encaminhado.

    Se o fluxo do pacote não corresponder a uma conexão atual, o estado do TCP será verificado. Se for um pacote SYN ou um pacote UDP (User Datagram Protocol), o contador de conexões será incrementado em um e o pacote será enviado para uma verificação de ACL. Se não for um pacote SYN, o pacote será descartado e o evento será registrado.

  4. O pacote é processado de acordo com as ACLs da interface. Ele é verificado em ordem sequencial das entradas da ACL e, se ele corresponder a qualquer uma das entradas da ACL, ele prosseguirá. Caso contrário, o pacote será descartado e as informações serão registradas. A contagem de acertos da ACL é incrementada em um quando o pacote corresponde à entrada da ACL.

  5. O pacote é verificado quanto às regras de conversão. Se um pacote passar por essa verificação, uma entrada de conexão será criada para esse fluxo e o pacote será encaminhado. Caso contrário, o pacote será descartado e as informações serão registradas.

  6. O pacote é submetido a uma verificação de inspeção. Essa inspeção verifica se esse fluxo de pacote específico está ou não em conformidade com o protocolo. O Cisco ASA tem um mecanismo de inspeção integrado que inspeciona cada conexão de acordo com seu conjunto predefinido de funcionalidade em nível de aplicativo. Se passar na inspeção, é movido para a frente. Caso contrário, o pacote será descartado e as informações serão registradas.

    Verificações de segurança adicionais serão implementadas se um módulo CSC (Content Security, segurança de conteúdo) estiver envolvido.

  7. As informações do cabeçalho IP são convertidas de acordo com a regra NAT/PAT (Network Address Translation/ Port Address Translation) e as somas de verificação são atualizadas de acordo. O pacote é encaminhado para o Advanced Inspection and Prevention Security Services Module (AIP-SSM) para verificações de segurança relacionadas ao IPS quando o módulo AIP está envolvido.

  8. O pacote é encaminhado para a interface de saída com base nas regras de conversão. Se nenhuma interface de saída for especificada na regra de conversão, a interface de destino será decidida com base na pesquisa de rota global.

  9. Na interface de saída, a consulta da rota da interface é executada. Lembre-se de que a interface de saída é determinada pela regra de conversão que tem a prioridade.

  10. Depois que uma rota de Camada 3 é encontrada e o próximo salto é identificado, a resolução de Camada 2 é executada. A regravação da Camada 2 do cabeçalho MAC acontece nesse estágio.

  11. O pacote é transmitido no fio e os contadores de interface são incrementados na interface de saída.

Explicação de NAT

Consulte estes documentos para obter mais detalhes sobre a ordem de operação do NAT:

comandos show

Aqui estão alguns comandos úteis que ajudam a rastrear os detalhes do fluxo do pacote em diferentes estágios do processo:

show interface
show conn
show access-list
show xlate
show service-policy inspect
show run static
show run nat
show run global
show nat
show route
show arp

Mensagens de syslog

As mensagens de syslog fornecem informações úteis sobre o processamento de pacotes. Aqui estão alguns exemplos de mensagens de syslog para sua referência:

  • Mensagem de syslog quando não há entrada de conexão:

    %ASA-6-106015: Deny TCP (no connection) from IP_address/port to
     IP_address/port flags tcp_flags on interface interface_name

  • Mensagem de syslog quando o pacote é negado por uma ACL:

    %ASA-4-106023: Deny protocol src [interface_name:source_address/source_port]
     dst interface_name:dest_address/dest_port by access_group acl_ID

  • Mensagem de Syslog quando não for encontrada nenhuma regra de conversão:

    %ASA-3-305005: No translation group found for protocol src interface_name:
     source_address/source_port dst interface_name:dest_address/dest_port

  • Mensagem de Syslog quando um pacote é negado pela Inspeção de Segurança:

    %ASA-4-405104: H225 message received from outside_address/outside_port to
     inside_address/inside_port before SETUP

  • Mensagem de syslog quando não há informações de rota:

    %ASA-6-110003: Routing failed to locate next-hop for protocol from src
     interface:src IP/src port to dest interface:dest IP/dest port

Para obter uma lista completa de todas as mensagens de syslog geradas pelo Cisco ASA com uma breve explicação, consulte Cisco ASA Series Syslog Messages.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Jan-2012
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Seth Richardson and Dinkar Sharma
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos