Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Introdução

Este documento descreve como configurar o Firewall adaptável da próxima geração da ferramenta de segurança de Cisco (ASA) a fim capturar os pacotes desejados com o Cisco Adaptive Security Device Manager (ASDM) ou o CLI.

Pré-requisitos

Requisitos

Este documento supõe que o ASA é plenamente operacional e está configurado a fim permitir que Cisco ASDM ou o CLI faça alterações de configuração.

Componentes Utilizados

Este documento não é restringido ao hardware ou às versões de software específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com este Produtos da Cisco:

• Versões ASA de Cisco 9.1(5) e mais atrasado

• Versão ASDM Cisco 7.2.1

Informações de Apoio

O processo da captura de pacote de informação é útil quando você pesquisa defeitos problemas de conectividade ou monitora a atividade suspeita. Além, você pode criar capturas múltiplas a fim analisar tipos de tráfego diferentes em interfaces múltiplas.

Configurar

Esta seção fornece a informação que você pode usar a fim configurar as características da captura de pacote de informação que são descritas neste documento.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Nota: Os esquemas de endereçamento de IP que são usados nesta configuração não são legalmente roteável no Internet. São os endereços do RFC 1918 que são usados em um ambiente de laboratório.

Configurar a captura de pacote de informação com o ASDM

Nota: Este exemplo de configuração é usado a fim capturar os pacotes que são transmitidos durante um sibilo do usuário1 (rede interna) ao roteador1 (rede externa).

Termine estas etapas a fim configurar a característica da captura de pacote de informação no ASA com o ASDM:

1. Navegue aos assistentes > ao assistente da captura de pacote de informação a fim começar a configuração da captura de pacote de informação, como mostrado:
   
   
   
   
2. O assistente da captação abre. Clique em Next.
   
   
   
   
3. Na nova janela, forneça os parâmetros que são usados a fim capturar o tráfego de ingresso. Selecione o interior para a interface de ingresso e forneça a fonte e os endereços IP de destino dos pacotes a ser capturados, junto com sua máscara de sub-rede, no espaço respectivo fornecido. Também, escolha o tipo de pacote a ser capturado pelo ASA (o IP é o tipo de pacote escolhido aqui), como mostrado:
   
   
   
   Clique em Next.
   
   
4. Selecione a parte externa para a interface de saída e forneça a fonte e os endereços IP de destino, junto com sua máscara de sub-rede, nos espaços respectivos fornecidos. Se o Network Address Translation (NAT) é executado no Firewall, tome isto na consideração também.
   
   
   
   Clique em Next.
   
   
5. Incorpore o tamanho do pacote apropriado e o tamanho de buffer ao espaço respectivo fornecido, como estes dados são exigidos para que a captação ocorra. Também, recorde verificar a caixa de verificação circular do buffer do uso se você quer usar a opção circular do buffer. Os bufferes circulares nunca enchem-se acima. Porque o buffer alcança seu tamanho máximo, uns dados mais velhos são rejeitados e a captação continua. Neste exemplo, o buffer circular não é usado, assim que a caixa de verificação não é verificada.
   
   
   
   Clique em Next.
   
   
6. Este indicador mostra as listas de acesso que devem ser configuradas no ASA de modo que os pacotes desejados sejam capturados, e mostra o tipo de pacotes a ser capturados (os pacotes IP são capturados neste exemplo). Clique em Next.
   
   
   
   
7. Clique o começo a fim começar a captura de pacote de informação, como mostrado aqui:
   
   
   
   
8. Como a captura de pacote de informação é começada, tente sibilar a rede externa da rede interna de modo que os pacotes que fluem entre a fonte e os endereços IP de destino sejam capturados pelo buffer da captação ASA.
   
   
9. O clique consegue o buffer da captação a fim ver os pacotes que são capturados pelo buffer da captação ASA.
   
   
   
   
10. Os pacotes capturados são mostrados neste indicador para o ingresso e o tráfego de saída. A salvaguarda do clique captura a fim salvar a informação da captação.
    
    
    
    
11. Do indicador das captações da salvaguarda, escolha o formato exigido em que o buffer da captação deve ser salvar. Este é ASCII ou PCAP. Clique o botão de rádio ao lado dos nomes do formato. Então, a captação do ingresso da salvaguarda do clique ou a saída da salvaguarda capturam como necessário. Os arquivos PCAP podem ser abertos com analisadores da captação, tais como Wireshark, e é o método preferido.
    
    
    
    
12. Do indicador do arquivo de captura da salvaguarda, forneça o nome de arquivo e o lugar a onde o arquivo de captura deve ser salvar. Clique em Salvar.
    
    
    
    
13. Clique em Finish.
    
    
    
    Isto termina o procedimento da captura de pacote de informação.

Configurar a captura de pacote de informação com o CLI

Termine estas etapas a fim configurar a característica da captura de pacote de informação no ASA com o CLI:

1. Configurar as interfaces internas e externas como ilustrado no diagrama da rede, com o endereço IP de Um ou Mais Servidores Cisco ICM NT e os níveis de segurança corretos.
   
   
2. Comece o processo da captura de pacote de informação com o comando capture no modo de exec privilegiado. Neste exemplo de configuração, a captação nomeada capin é definida. Ligue-a à interface interna, e especifique-o com a palavra-chave do fósforo essa somente os pacotes que combinam o tráfego do interesse são capturados:
   
   

   ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

3. Similarmente, a captação nomeada capout é definida. Ligue-a à interface externa, e especifique-o com a palavra-chave do fósforo essa somente os pacotes que combinam o tráfego do interesse são capturados:
   
   

   ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

   
   O ASA começa agora a capturar o fluxo de tráfego entre as relações. A fim parar a qualquer hora a captação, não inscreva nenhum comando capture seguido pelo nome da captação.
   
   Aqui está um exemplo:
   
   

   no capture capin interface inside
   no capture capout interface outside 

Tipos disponíveis da captação no ASA

Esta seção descreve os tipos diferentes de captações que estão disponíveis no ASA.

• asa_dataplane - Captura os pacotes no backplane ASA que passam entre o ASA e um módulo que use o backplane, tal como o ASA CX ou módulo ips.
  
  

  ASA# cap asa_dataplace interface asa_dataplane
  ASA# show capture
  capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]

• gota-código da ASP-gota - Captura os pacotes que são deixados cair pelo trajeto acelerado da Segurança. O gota-código especifica o tipo de tráfego que é deixado cair pelo trajeto acelerado da Segurança.
  
  

  ASA# capture asp-drop type asp-drop acl-drop
  ASA# show cap
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown
  
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown

• tipo do tipo de Ethernet - Seleciona um tipo de Ethernet para capturar. Os tipos de Ethernet apoiados incluem 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOES, RARP, e VLAN.
  
  Esta mostra do exemplo como capturar o tráfego ARP:
  
  

  ASA# cap arp ethernet-type ?
  
  exec mode commands/options:
    802.1Q
    <0-65535>  Ethernet type
    arp
    ip
    ip6
    ipx
    pppoed
    pppoes
    rarp
    vlan
  
  cap arp ethernet-type arp interface inside
  
  
  ASA# show cap arp
  
  22 packets captured
  
     1: 05:32:52.119485       arp who-has 10.10.3.13 tell 10.10.3.12
     2: 05:32:52.481862       arp who-has 192.168.10.123 tell 192.168.100.100
     3: 05:32:52.481878       arp who-has 192.168.10.50 tell 192.168.100.10
     4: 05:32:53.409723       arp who-has 10.106.44.135 tell 10.106.44.244
     5: 05:32:53.772085       arp who-has 10.106.44.108 tell 10.106.44.248
     6: 05:32:54.782429       arp who-has 10.106.44.135 tell 10.106.44.244
     7: 05:32:54.784695       arp who-has 10.106.44.1 tell 11.11.11.112:

• exibições em tempo real os pacotes capturados continuamente no tempo real. A fim terminar uma captura de pacote de informação do tempo real, pressione o Ctrl-c. A fim remover permanentemente a captação, não use nenhum formulário deste comando. Esta opção não é apoiada quando você usa o comando capture do executivo do conjunto.
  
  

  ASA# cap capin interface inside real-time
  
  Warning: using this option with a slow console connection may
           result in an excessive amount of non-displayed packets
           due to performance limitations.
  
  Use ctrl-c to terminate real-time capture

• Traço - Segue os pacotes capturados de um modo similares à característica do projétil luminoso do pacote ASA.
  
  

  ASA#cap in interface Webserver trace match tcp any any eq 80
  
  // Initiate Traffic
  
   1: 07:11:54.670299   192.168.10.10.49498 > 198.51.100.88.80: S
      2322784363:2322784363(0) win 8192
      <mss 1460,nop,wscale 2,nop,nop,sackOK>
  
   Phase: 1
   Type: CAPTURE
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   MAC Access list
   
   Phase: 2
   Type: ACCESS-LIST
   Subtype:
   Result: ALLOW
   Config:
   Implicit Rule
   Additional Information:
   MAC Access list
   
   Phase: 3
   Type: ROUTE-LOOKUP
   Subtype: input
   Result: ALLOW
   Config:
   Additional Information:
   in   0.0.0.0         0.0.0.0         outside
   
   Phase: 4
   Type: ACCESS-LIST
   Subtype: log
   Result: ALLOW
   Config:
   access-group any in interface inside
   access-list any extended permit ip any4 any4 log
   Additional Information:
   
   Phase: 5
   Type: NAT
   Subtype:
   Result: ALLOW
   Config:
   object network obj-10.0.0.0
   nat (inside,outside) dynamic interface
   Additional Information:
   Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
   
   Phase: 6
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 7
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 8
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 9
   Type: ESTABLISHED
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 10
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 11
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 12
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 13
   Type: FLOW-CREATION
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   New flow created with id 41134, packet dispatched to next module
   
   Phase: 14
   Type: ROUTE-LOOKUP
   Subtype: output and adjacency
   Result: ALLOW
   Config:
   Additional Information:
   found next-hop 203.0.113.1 using egress ifc outside
   adjacency Active
   next-hop mac address 0007.7d54.1300 hits 3170
   
   Result:
   output-interface: outside
   output-status: up
   output-line-status: up
   Action: allow

• ikev1/ikev2 - Informação de protocolo 1 (IKEv1) ou IKEv2 somente do intercâmbio de chave de Internet das captações da versão.
  
  
• isakmp - Tráfego do Internet Security Association and Key Management Protocol (ISAKMP) das captações para conexões de VPN. O subsistema ISAKMP não tem o acesso aos protocolos de camada superior. A captação é uma captação pseudo-, com o exame, as camadas IP, e UDP combinados junto a fim satisfazer um parser PCAP. Os endereços de peer são obtidos da troca SA e armazenados na camada IP.
  
  
• lacp - Tráfego do protocolo link aggregation control das captações (LACP). Se configurado, o nome da relação é o nome da interface física. Isto pôde ser útil quando você trabalha com EtherChannéis a fim identificar o comportamento atual do LACP.
  
  
• TLS-proxy - As captações decifraram dados de entrada e de partida do proxy do Transport Layer Security (TLS) em umas ou várias relações.
  
  
• webvpn - Dados das captações WebVPN para uma conexão VPN da Web específica.
  

  Cuidado: Quando você permite a captação WebVPN, afeta o desempenho da ferramenta de segurança. Assegure-se de que você desabilite a captação depois que você gerencie os arquivos de captura que estão precisados a fim pesquisar defeitos.

Defaults

Estes são os valores de padrão de sistema ASA:

• O tipo padrão é dados brutos.
• O tamanho de buffer do padrão é 512 KB.
• O tipo de Ethernet do padrão é pacotes IP.
• O comprimento do pacote do padrão é 1,518 bytes.

Veja os pacotes capturados

No ASA

A fim ver os pacotes capturados, inscreva o comando capture da mostra seguido pelo nome da captação. Esta seção fornece os show command outputs (resultado do comando show) dos índices do buffer da captação. O comando do capin da captação da mostra mostra os índices do buffer da captação nomeado capin:

ASA# show cap capin
 
 8 packets captured
 
 1: 03:24:35.526812       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527224       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528247       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528582       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529345       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529681       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:57.440162       192.168.10.10 > 203.0.113.3: icmp: echo request
 8: 03:24:57.440757       203.0.113.3 > 192.168.10.10: icmp: echo reply

O comando do capout da captação da mostra mostra os índices do buffer da captação nomeado capout:

ASA# show cap capout
 
 8 packets captured
 
 1: 03:24:35.526843       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527179       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528262       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528567       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529361       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529666       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:47.014098       203.0.113.3 > 203.0.113.2: icmp: echo request
 8: 03:24:47.014510       203.0.113.2 > 203.0.113.3: icmp: echo reply

Transferência do ASA para a análise off-line

Há um par maneiras de transferir off line as capturas de pacote de informação para a análise:

1. Navegue a https:// <ip_of_asa>/admin/capture/<capture_name>/pcap em todo o navegador.
   

   Dica: Se você deixa para fora a palavra-chave do pcap, a seguir somente o equivalente da saída do comando do <cap_name> da captação da mostra está fornecido.

2. Incorpore o comando capture da cópia e seu protocolo de transferência de arquivo preferido a fim transferir a captação:
   
   

   copy /pcap capture:<capture-name> tftp://<server-ip-address>

Dica: Quando você pesquisa defeitos uma edição com o uso das capturas de pacote de informação, Cisco recomenda que você transfere as captações para a análise off-line.

Cancele uma captação

A fim cancelar o buffer da captação, incorpore o comando claro do <capture-name> da captação:

ASA# show capture
 capture capin type raw-data interface inside [Capturing - 8190 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 11440 bytes]
 match icmp any any
 
 ASA# clear cap capin
 ASA# clear cap capout

 ASA# show capture
 capture capin type raw-data interface inside [Capturing - 0 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 0 bytes]
 match icmp any any

Incorpore o comando claro de /all da captação a fim cancelar o buffer para todas as captações:

ASA# clear capture /all

Pare uma captação

A única maneira de parar uma captação no ASA é desabilitá-la completamente com este comando:

no capture <capture-name>

A identificação de bug Cisco CSCuv74549 esteve arquivada para adicionar a capacidade para parar uma captação sem completamente desabilitá-la e para controlá-la quando uma captação começa capturar o tráfego.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.