Захваты пакетов ASA с помощью интерфейса командной строки и пример конфигурации ASDM

Введение

В этом документе описывается настройка межсетевого экрана следующего поколения на многофункциональном устройстве обеспечения безопасности Cisco ASA с помощью Cisco Adaptive Security Device Manager (ASDM) или интерфейса командной строки для перехвата необходимых пакетов.

Предварительные условия

Требования

В этом документе предполагается, что устройство ASA полностью работоспособно и настроено таким образом, чтобы можно было вносить изменения в его конфигурацию с помощью Cisco ASDM или интерфейса командной строки.

Используемые компоненты

Этот документ не относится только к определенным аппаратным средствам или версиям программного обеспечения.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Данная конфигурация может также использоваться со следующими продуктами Cisco:

• Cisco ASA версии 9.1(5) и более поздних версий

• Cisco ASDM версии 7.2.1

Общие сведения

Процесс перехвата пакетов полезен при поиске и устранении неполадок подключения или мониторинге подозрительной активности. Кроме того, можно создавать несколько перехватов пакетов для анализа трафика различных типов на нескольких интерфейсах.

Настройка

Этот раздел содержит информацию, которую можно использовать для настройки функций перехвата пакетов, описанных в данном документе.

Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

Примечание. Схемы IP-адресации, которые используются в данной конфигурации, не являются формально маршрутизируемыми в Интернете. Они представляют собой адреса RFC 1918, которые используются в лабораторной среде.

Настройка перехвата пакетов с помощью ASDM

Примечание. Конфигурация в данном примере используется для перехвата пакетов, которые передаются во время эхозапроса от User1 (внутренняя сеть) к Router1 (внешняя сеть).

Выполните следующие действия для настройки функции перехвата пакетов на устройстве ASA с помощью ASDM:

1. Перейдите в меню Wizards > Packet Capture Wizard (Мастеры > Мастер перехвата пакетов), чтобы начать настройку перехвата пакетов, как показано далее:
   
   
   
   
2. Откроется мастер перехвата. Нажмите кнопку Next.
   
   
   
   
3. В новом окне укажите параметры, которые используются для перехвата трафика INGRESS (входящего). Выберите значение inside для параметра Ingress Interface (Входной интерфейс) и в соответствующих полях укажите IP-адреса источника и назначения перехватываемых пакетов, а также маску подсети. Кроме того, выберите тип пакетов, которые будут перехватываться ASA (здесь выбран тип пакетов IP), как показано:
   
   
   
   Нажмите кнопку Next.
   
   
4. Выберите значение outside для параметра Egress Interface (Выходящий интерфейс) и в соответствующих полях укажите IP-адреса источника и назначения, а также маску подсети. Если на межсетевом экране выполняется преобразование сетевых адресов (NAT), примите это во внимание.
   
   
   
   Нажмите кнопку Next.
   
   
5. Введите необходимые значения Packet Size (Размер пакета) и Buffer Size (Размер буфера) в соответствующие поля, поскольку эти данные необходимы для процесса перехвата пакетов. Кроме того, не забудьте отметить флажок Use circular buffer (Использовать кольцевой буфер), если требуется использовать кольцевой буфер. Кольцевые буферы никогда не заполняются. При достижении максимального размера буфера более старые данные отбрасываются и перехват продолжается. В этом примере кольцевой буфер не используется, поэтому флажок снят.
   
   
   
   Нажмите кнопку Next.
   
   
6. В этом окне показаны списки контроля доступа, которые должны быть настроены на устройстве ASA для перехвата нужных пакетов. Также показан тип пакетов, которые будут перехватываться (в данном примере выполняется перехват пакетов IP). Нажмите кнопку Next.
   
   
   
   
7. Нажмите Start (Пуск), чтобы начать перехват пакетов, как показано далее:
   
   
   
   
8. После запуска перехвата пакетов попытайтесь выполнить эхозапрос к внешней сети из внутренней, чтобы пакеты, которые перемещаются между IP-адресами источника и назначения, были перехвачены соответствующим буфером ASA.
   
   
9. Нажмите Get Capture Buffer (Получить буфер перехвата), чтобы просмотреть пакеты, перехваченные этим буфером ASA.
   
   
   
   
10. Перехваченные пакеты отображаются в этом окне и для входящего и для исходящего трафика. Нажмите Save captures (Сохранить данные перехвата пакетов), чтобы сохранить перехваченную информацию.
    
    
    
    
11. В окне Save Captures (Сохранить данные перехвата пакетов) выберите требуемый формат, в котором следует сохранить накопительный буфер. Доступны форматы ASCII и PCAP. Выберите соответствующий формат переключателем. Затем нажмите кнопку Save ingress capture (Сохранить данные перехвата входящего трафика) или Save egress capture (Сохранить данные перехвата исходящего трафика). Файлы PCAP можно открыть с помощью средств анализа перехваченных пакетов, таких как Wireshark. Это предпочтительный способ.
    
    
    
    
12. В окне Save capture file (Сохранить файл данных перехвата пакетов) укажите имя файла и местоположение, где следует сохранить файл с данными перехвата. Нажмите Save.
    
    
    
    
13. Нажмите кнопку Finish.
    
    
    
    На этом процедура перехвата пакетов завершена.

Настройка перехвата пакетов с помощью интерфейса командной строки

Выполните следующие действия для настройки функции перехвата пакетов на устройстве ASA с помощью интерфейса командной строки:

1. Настройте внутренние и внешние интерфейсы, как показано на схеме сети, указав правильные IP-адреса и уровни безопасности.
   
   
2. Запустите процесс перехвата пакетов с помощью команды capture в привилегированном режиме EXEC. В этом примере задается конфигурация перехвата пакетов под названием capin. Свяжите его с внутренним интерфейсом и с помощью ключевого слова match укажите, что перехватываются только пакеты, которые соответствуют нужному трафику: 
   
   

   ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

3. Аналогичным образом определяется конфигурация перехвата capout. Свяжите его с внешним интерфейсом и с помощью ключевого слова match укажите, что перехватываются только пакеты, которые соответствуют нужному трафику: 
   
   

   ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255
    203.0.113.3 255.255.255.255

   
   Устройство ASA начнет перехват потока трафика, передаваемого между интерфейсами. Для того чтобы остановить перехват пакетов, введите команду no capture, за которой следует название процесса перехвата.
   
   Например:
   
   

   no capture capin interface inside
   no capture capout interface outside 

Типы перехвата пакетов, доступные на устройстве ASA

В этом разделе описываются различные типы перехвата пакетов, которые доступны на устройстве ASA.

• asa_dataplane- Перехватывает пакеты на объединительной плате ASA, которые проходят между ASA и модулем, использующим объединительную плату, например модулем ASA CX или IPS.
  
  

  ASA# cap asa_dataplace interface asa_dataplane
  ASA# show capture
  capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]

• asp-drop drop-code перехватывает пакеты, отброшенные функцией Accelerated Security Path. Параметр drop-code указывает тип трафика, который отбрасывается функцией Accelerated Security Path.
  
  

  ASA# capture asp-drop type asp-drop acl-drop
  ASA# show cap
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown
  
  ASA# show capture asp-drop
   
   2 packets captured
   
   1: 04:12:10.428093       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2: 04:12:12.427330       192.168.10.10.34327 > 10.94.0.51.15868: S
      2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)
      Flow is denied by configured rule
   2 packets shown

• ethernet-type type выбирает для перехвата пакеты типа Ethernet. Поддерживаемые типы Ethernet: 8021Q, ARP, IP, IP6, IPX, LACP, PPPOED, PPPOE, RARP и VLAN.
  
  В данном примере показано, как выполнить перехват трафика ARP:
  
  

  ASA# cap arp ethernet-type ?
  
  exec mode commands/options:
   802.1Q
   <0-65535> Ethernet type
   arp
   ip
   ip6
   ipx
   pppoed
   pppoes
   rarp
   vlan
  
  cap arp ethernet-type arp interface inside
  
  
  ASA# show cap arp
  
  22 packets captured
  
     1: 05:32:52.119485       arp who-has 10.10.3.13 tell 10.10.3.12
     2: 05:32:52.481862       arp who-has 192.168.10.123 tell 192.168.100.100
     3: 05:32:52.481878       arp who-has 192.168.10.50 tell 192.168.100.10
     4: 05:32:53.409723       arp who-has 10.106.44.135 tell 10.106.44.244
     5: 05:32:53.772085       arp who-has 10.106.44.108 tell 10.106.44.248
     6: 05:32:54.782429       arp who-has 10.106.44.135 tell 10.106.44.244
     7: 05:32:54.784695       arp who-has 10.106.44.1 tell 11.11.11.112:

• real-time : непрерывно отображает перехваченные пакеты в режиме реального времени. Для того чтобы прервать перехват пакетов в режиме реального времени, нажмите сочетание клавиш Ctrl-C. Для того чтобы навсегда удалить данные перехвата пакетов, используйте эту команду с параметром no. Этот параметр не поддерживается при использовании команды cluster exec capture.
  
  

  ASA# cap capin interface inside real-time
  
  Warning: using this option with a slow console connection may
           result in an excessive amount of non-displayed packets
           due to performance limitations.
  
  Use ctrl-c to terminate real-time capture

• Trace отслеживает перехваченные пакеты аналогично функции трассировки пакетов устройства ASA.
  
  

  ASA#cap in interface Webserver trace match tcp any any eq 80
  
  // Initiate Traffic
  
   1: 07:11:54.670299   192.168.10.10.49498 > 198.51.100.88.80: S
      2322784363:2322784363(0) win 8192
      <mss 1460,nop,wscale 2,nop,nop,sackOK>
  
   Phase: 1
   Type: CAPTURE
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   MAC Access list
   
   Phase: 2
   Type: ACCESS-LIST
   Subtype:
   Result: ALLOW
   Config:
   Implicit Rule
   Additional Information:
   MAC Access list
   
   Phase: 3
   Type: ROUTE-LOOKUP
   Subtype: input
   Result: ALLOW
   Config:
   Additional Information:
   in   0.0.0.0         0.0.0.0         outside
   
   Phase: 4
   Type: ACCESS-LIST
   Subtype: log
   Result: ALLOW
   Config:
   access-group any in interface inside
   access-list any extended permit ip any4 any4 log
   Additional Information:
   
   Phase: 5
   Type: NAT
   Subtype:
   Result: ALLOW
   Config:
   object network obj-10.0.0.0
   nat (inside,outside) dynamic interface
   Additional Information:
   Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498
   
   Phase: 6
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 7
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 8
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 9
   Type: ESTABLISHED
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 10
   Type:
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 11
   Type: NAT
   Subtype: per-session
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 12
   Type: IP-OPTIONS
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   
   Phase: 13
   Type: FLOW-CREATION
   Subtype:
   Result: ALLOW
   Config:
   Additional Information:
   New flow created with id 41134, packet dispatched to next module
   
   Phase: 14
   Type: ROUTE-LOOKUP
   Subtype: output and adjacency
   Result: ALLOW
   Config:
   Additional Information:
   found next-hop 203.0.113.1 using egress ifc outside
   adjacency Active
   next-hop mac address 0007.7d54.1300 hits 3170
   
   Result:
   output-interface: outside
   output-status: up
   output-line-status: up
   Action: allow

• ikev1/ikev2- Перехватывает только информацию протокола IKEv1 или IKEv2.
  
  
• isakmp перехватывает трафик протокола ISAKMP для VPN-подключений. Подсистема ISAKMP не имеет доступа к протоколам более высокого уровня. Этот перехват является псевдоперехватом, в котором физический уровень и уровни IP и UDP объединяются согласно требованиям анализатора PCAP. Адреса одноранговых узлов получаются посредством обмена SA и сохраняются на уровне IP.
  
  
• lacp- Перехватывает трафик протокола управления агрегацией каналов (LACP). Именем интерфейса (если настроено) является название физического интерфейса. Этот вариант может быть полезен при работе с каналами Etherchannel для определения текущего поведения LACP.
  
  
• tls-proxy перехватывает дешифрованные входящие и исходящие данные от прокси Transport Layer Security (TLS) на одном или нескольких интерфейсах.
  
  
• webvpn- Перехватывает данные WebVPN для определенного подключения WebVPN.
  

  Внимание.  : Перехват данных WebVPN влияет на производительность устройства обеспечения безопасности. Обязательно отключите перехват после формирования файлов с данными перехвата, которые необходимы для поиска и устранения неполадок.

Настройки по умолчанию

Эти значения заданы в системе ASA по умолчанию:

• Тип по умолчанию — raw-data.
• Размер буфера по умолчанию — 512 КБ.
• Тип Ethernet по умолчанию — пакеты IP.
• Длина пакета по умолчанию составляет 1518 байт.

Просмотр перехваченных пакетов

На устройстве ASA

Для того чтобы просмотреть перехваченные пакеты, введите команду show capture, за которой следует название перехвата. Этот раздел содержит выходные данные команды show для содержимого буфера перехвата. Команда show capture capin показывает содержимое буфера перехвата capin:

ASA# show cap capin
 
 8 packets captured
 
 1: 03:24:35.526812       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527224       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528247       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528582       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529345       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529681       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:57.440162       192.168.10.10 > 203.0.113.3: icmp: echo request
 8: 03:24:57.440757       203.0.113.3 > 192.168.10.10: icmp: echo reply

Команда show capture capout показывает содержимое буфера перехвата capout:

ASA# show cap capout
 
 8 packets captured
 
 1: 03:24:35.526843       192.168.10.10 > 203.0.113.3: icmp: echo request
 2: 03:24:35.527179       203.0.113.3 > 192.168.10.10: icmp: echo reply
 3: 03:24:35.528262       192.168.10.10 > 203.0.113.3: icmp: echo request
 4: 03:24:35.528567       203.0.113.3 > 192.168.10.10: icmp: echo reply
 5: 03:24:35.529361       192.168.10.10 > 203.0.113.3: icmp: echo request
 6: 03:24:35.529666       203.0.113.3 > 192.168.10.10: icmp: echo reply
 7: 03:24:47.014098       203.0.113.3 > 203.0.113.2: icmp: echo request
 8: 03:24:47.014510       203.0.113.2 > 203.0.113.3: icmp: echo reply

Загрузка с устройства ASA для автономного анализа

Есть несколько способов загрузки перехваченных пакетов для автономного анализа:

1. Перейдите по ссылке https://<ip_of_asa>/admin/capture/<capture_name>/pcap в любом браузере.
   

   Совет: Если не указать ключевое слово pcap, предоставляются только выходные данные, аналогичные команде show capture<cap_name>.

2. Введите команду copy capture и предпочтительный протокол передачи файлов для загрузки данных перехвата:
   
   

   copy /pcap capture:<capture-name> tftp://<server-ip-address>

Совет: При использовании перехвата пакетов для поиска и устранения неполадок Cisco рекомендует загружать перехваченные данные для автономного анализа.

Очистка перехваченных пакетов

Для того чтобы очистить буфер перехвата, введите команду clear capture <имя-перехвата><команда name>:

ASA# show capture
 capture capin type raw-data interface inside [Capturing - 8190 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 11440 bytes]
 match icmp any any
 
 ASA# clear cap capin
 ASA# clear cap capout

 ASA# show capture
 capture capin type raw-data interface inside [Capturing - 0 bytes]
 match icmp any any
 capture capout type raw-data interface outside [Capturing - 0 bytes]
 match icmp any any

Введите команду clear capture /all для очистки буфера от всех перехваченных пакетов:

ASA# clear capture /all

Остановка перехвата пакетов

Единственный способ остановить перехват пакетов на устройстве ASA — полностью отключить его с помощью следующей команды:

no capture <capture-name>

Идентификатор ошибки Cisco CSCuv74549 был создан, чтобы добавить возможность останавливать перехват пакетов без его полного отключения и контролировать начало перехвата трафика. 

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.