Capturas de paquetes ASA con el CLI y el ejemplo de la Configuración de ASDM

Transcripción

1 Capturas de paquetes ASA con el CLI y el ejemplo de la Configuración de ASDM Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Productos Relacionados Antecedentes Configurar Diagrama de la red Configuraciones Captura de paquetes de la configuración con el ASDM Captura de paquetes de la configuración con el CLI Tipos disponibles de la captura en el ASA Valores predeterminados Vea los paquetes capturados En el ASA Descarga del ASA para la análisis fuera de línea Borre una captura Pare una captura Verificación Troubleshooting Introducción Este documento describe cómo configurar el Firewall adaptante de la última generación del dispositivo de seguridad de Cisco (ASA) para capturar los paquetes deseados con el Cisco Adaptive Security Device Manager (ASDM) o el CLI. Prerrequisitos Requisitos Este documento asume que el ASA está completamente - operativo y se configura para permitir que el ASDM de Cisco o el CLI realice los cambios de configuración.

2 Componentes Utilizados Este documento no se restringe al hardware o a las versiones de software específico. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Productos Relacionados Esta configuración se puede también utilizar con estos Productos Cisco: Versiones de ASA de Cisco 9.1(5) y posterior Cisco ASDM versión Antecedentes El proceso de la captura de paquetes es útil cuando usted resuelve problemas los problemas de conectividad o monitorea la actividad sospechosa. Además, usted puede crear a las capturas múltiples para analizar diversos tipos de tráfico en las interfaces múltiples. Configurar Esta sección proporciona la información que usted puede utilizar para configurar las características de la captura de paquetes que se describen en este documento. Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red:

3 Configuraciones Nota: Los esquemas de IP Addressing que se utilizan en esta configuración no son legalmente routable en Internet. Son los direccionamientos del RFC 1918 que se utilizan en un ambiente de laboratorio. Captura de paquetes de la configuración con el ASDM Nota: Este ejemplo de configuración se utiliza para capturar los paquetes que se transmiten durante un ping del user1 (red interna) al router1 (red externa). Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el ASDM: 1. Navegue a los Asisitente > al Asisitente de la captura de paquetes para comenzar la configuración de la captura de paquetes, como se muestra: 2. El Asisitente de la captura se abre. Haga clic en Next (Siguiente).

4 3. En la nueva ventana, proporcione los parámetros que se utilizan para capturar el Tráfico de ingreso. Seleccione el interior para la interfaz de ingreso y proporcione la fuente y los IP Address de destino de los paquetes que se capturarán, junto con su máscara de subred, en el espacio respectivo proporcionado. También, elija el tipo de paquete que se capturará por el ASA (el IP es el tipo de paquete elegido aquí), como se muestra:

5 Haga clic en Next (Siguiente). 4. Seleccione el exterior para la interfaz de egreso y proporcione la fuente y los IP Address de destino, junto con su máscara de subred, en los espacios respectivos proporcionados. Si el Network Address Translation (NAT) se realiza en el Firewall, tome esto en la consideración también.

6 Haga clic en Next (Siguiente). 5. Ingrese el tamaño de paquetes apropiado y el tamaño de almacén intermedio en el espacio respectivo proporcionado, como estos datos se requieren para que ocurra la captura. También, recuerde marcar la casilla de verificación circular del buffer del uso si usted quiere utilizar la opción circular del buffer. Los buffers circulares nunca se llenan. Pues el buffer alcanza su tamaño máximo, se desechan más viejos datos y la captura continúa. En este ejemplo, el buffer circular no se utiliza, así que la casilla de verificación no se marca.

7 Haga clic en Next (Siguiente). 6. Esta ventana muestra las listas de acceso que se deben configurar en el ASA para capturar los paquetes deseados, y muestra el tipo de paquetes que se capturarán (los paquetes del IP se capturan en este ejemplo). Haga clic en Next (Siguiente).

8 7. Haga clic el comienzo para comenzar a la captura de paquetes, como se muestra aquí:

9 8. Como comienzan a la captura de paquetes, intente hacer ping la red externa de la red interna de modo que los paquetes que fluyen entre la fuente y los IP Address de destino sean capturados por el buffer de la captura ASA. 9. El tecleo consigue el buffer de la captura para ver los paquetes que son capturados por el buffer de la captura ASA.

10 10. Los paquetes capturados se muestran en esta ventana para el ingreso y el tráfico de salida. La salvaguardia del tecleo captura para salvar la información de la captura.

11 11. De la ventana de las capturas de la salvaguardia, elija el formato requerido en el cual el buffer de la captura debe ser guardado. Éste es ASCII o PCAP. Haga clic el botón de radio al lado de los nombres del formato. Entonces, la captura del ingreso de la salvaguardia del tecleo o la salida de la salvaguardia captura como sea necesario. Los archivos PCAP se pueden abrir con los analizadores de la captura, tales como Wireshark, y es el método preferido.

12 12. De la ventana del capturar archivo de la salvaguardia, proporcione el nombre del archivo y la ubicación a donde está ser guardado el capturar archivo. Haga clic en Save (Guardar).

13 13. Haga clic en Finish (Finalizar).

14 Esto completa el procedimiento de la captura de paquetes. Captura de paquetes de la configuración con el CLI Complete estos pasos para configurar la característica de la captura de paquetes en el ASA con el CLI: 1. Configure las interfaces interior y exterior como se ilustra en el diagrama de la red, con la dirección IP y los niveles de seguridad correctos. 2. Comience el proceso de la captura de paquetes con el comando capture en el modo EXEC privilegiado. En este ejemplo de configuración, la captura nombrada capin se define. Átela a la interfaz interior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados: ASA# capture capin interface inside match ip Semejantemente, la captura nombrada capout se define. Átela a la interfaz exterior, y especifique con la palabra clave de la coincidencia que solamente los paquetes que hacen juego el tráfico del interés están capturados: ASA# capture capout interface outside match ip

15 El ASA ahora comienza a capturar el flujo de tráfico entre las interfaces. Para parar la captura en cualquier momento, no ingrese el ningún comando capture seguido por el nombre de la captura. Aquí tiene un ejemplo: no capture capin interface inside no capture capout interface outside Tipos disponibles de la captura en el ASA Esta sección describe los diversos tipos de capturas que estén disponibles en el ASA. asa_dataplane - Captura los paquetes en el backplane ASA que pasan entre el ASA y un módulo que utilice el backplane, tal como el ASA CX o módulo ips. ASA# cap asa_dataplace interface asa_dataplane ASA# show capture capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes] descenso-código del ASP-descenso - Captura los paquetes que son caídos por la trayectoria acelerada de la Seguridad. El descenso-código especifica el tipo de tráfico que es caído por la trayectoria acelerada de la Seguridad. ASA# capture asp-drop type asp-drop acl-drop ASA# show cap ASA# show capture asp-drop 2 packets captured 1: 04:12: > : S : (0) win 4128 <mss 536> Drop-reason: (acl-drop) Flow is denied by configured rule 2: 04:12: > : S : (0) win 4128 <mss 536> Drop-reason: (acl-drop) Flow is denied by configured rule 2 packets shown ASA# show capture asp-drop 2 packets captured 1: 04:12: > : S : (0) win 4128 <mss 536> Drop-reason: (acl-drop) Flow is denied by configured rule 2: 04:12: > : S : (0) win 4128 <mss 536> Drop-reason: (acl-drop) Flow is denied by configured rule 2 packets shown tipo del tipo Ethernet - Selecciona un tipo Ethernet capturar. Los tipos Ethernet soportados incluyen 8021Q, el ARP, el IP, IP6, el IPX, el LACP, PPPOED, PPPOES, el RARP, y el VLA N. Esta demostración del ejemplo cómo capturar el tráfico ARP: ASA# cap arp ethernet-type?

16 exec mode commands/options: 802.1Q < > Ethernet type arp ip ip6 ipx pppoed pppoes rarp vlan cap arp ethernet-type arp interface inside ASA# show cap arp 22 packets captured 1: 05:32: arp who-has tell : 05:32: arp who-has tell : 05:32: arp who-has tell : 05:32: arp who-has tell : 05:32: arp who-has tell : 05:32: arp who-has tell : 05:32: arp who-has tell : unidades de visualización en tiempo real los paquetes capturados continuamente en el tiempo real. Para terminar a una captura de paquetes en tiempo real, presione el Ctrl-c. Para quitar permanentemente la captura, no utilice la ninguna forma de este comando. Esta opción no se soporta cuando usted utiliza el comando capture del ejecutivo del cluster. ASA# cap capin interface inside real-time Warning: using this option with a slow console connection may result in an excessive amount of non-displayed packets due to performance limitations. Use ctrl-c to terminate real-time capture Traza - Localiza los paquetes capturados de una forma similares a la característica del trazalíneas del paquete ASA. ASA#cap in interface Webserver trace match tcp any any eq 80 // Initiate Traffic 1: 07:11: > : S : (0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK> Phase: 1 Type: CAPTURE Subtype: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype:

17 Implicit Rule MAC Access list Phase: 3 Type: ROUTE-LOOKUP Subtype: input in outside Phase: 4 Type: ACCESS-LIST Subtype: log access-group any in interface inside access-list any extended permit ip any4 any4 log Phase: 5 Type: NAT Subtype: object network obj nat (inside,outside) dynamic interface Dynamic translate /49498 to /49498 Phase: 6 Type: NAT Subtype: per-session Phase: 7 Type: IP-OPTIONS Subtype: Phase: 8 Type: Subtype: Phase: 9 Type: ESTABLISHED Subtype: Phase: 10 Type: Subtype:

18 Phase: 11 Type: NAT Subtype: per-session Phase: 12 Type: IP-OPTIONS Subtype: Phase: 13 Type: FLOW-CREATION Subtype: New flow created with id 41134, packet dispatched to next module Phase: 14 Type: ROUTE-LOOKUP Subtype: output and adjacency found next-hop using egress ifc outside adjacency Active next-hop mac address d hits 3170 Result: output-interface: outside output-status: up output-line-status: up Action: allow ikev1/ikev2 - Información sobre protocolo 1 (IKEv1) o IKEv2 solamente del intercambio de claves de Internet de las capturas de la versión. isakmp - Tráfico del Internet Security Association and Key Management Protocol (ISAKMP) de las capturas para las conexiones VPN. El subsistema ISAKMP no tiene acceso a los protocolos de la capa superiores. La captura es una pseudo captura, con la comprobación, las capas IP, y UDP combinadas juntas para satisfacer un analizador de sintaxis PCAP. Obtienen del intercambio SA y se salvan a las direcciones de peer en la capa IP. lacp - Tráfico del protocolo link aggregation control de las capturas (LACP). Si está configurado, el nombre de la interfaz es el nombre de la interfaz física. Esto pudo ser útil cuando usted trabaja con los EtherChanneles para identificar la conducta actual del LACP. TLS-proxy - Las capturas desencriptaron entrante y los datos salientes del proxy de Transport Layer Security (TLS) en una o más interfaces. webvpn - Datos del WebVPN de las capturas para una conexión WebVPN específica.

19 Precaución: Cuando usted habilita la captura del WebVPN, afecta al funcionamiento del dispositivo de seguridad. Asegúrese de que usted inhabilite la captura después de que usted genere los capturares archivo que son necesarios para resolver problemas. Valores predeterminados Éstos son los valores por defecto de valor predeterminado del sistema ASA: El tipo predeterminado es datos sin procesar. El tamaño de almacén intermedio predeterminado es 512 KB. El tipo Ethernet predeterminado es paquetes del IP. La Longitud del paquete predeterminada es 1,518 bytes. Vea los paquetes capturados En el ASA Para ver los paquetes capturados, ingrese el comando capture de la demostración seguido por el nombre de la captura. Esta sección proporciona las salidas del comando show del contenido del buffer de la captura. El comando del capin de la captura de la demostración muestra el contenido del buffer de la captura nombrado capin: ASA# show cap capin 8 packets captured 1: 03:24: > : icmp: echo request 2: 03:24: > : icmp: echo reply 3: 03:24: > : icmp: echo request 4: 03:24: > : icmp: echo reply 5: 03:24: > : icmp: echo request 6: 03:24: > : icmp: echo reply 7: 03:24: > : icmp: echo request 8: 03:24: > : icmp: echo reply El comando del capout de la captura de la demostración muestra el contenido del buffer de la captura nombrado capout: ASA# show cap capout 8 packets captured 1: 03:24: > : icmp: echo request 2: 03:24: > : icmp: echo reply 3: 03:24: > : icmp: echo request 4: 03:24: > : icmp: echo reply 5: 03:24: > : icmp: echo request 6: 03:24: > : icmp: echo reply 7: 03:24: > : icmp: echo request 8: 03:24: > : icmp: echo reply Descarga del ASA para la análisis fuera de línea Hay un par de maneras de descargar a las capturas de paquetes para el análisis off-liné:

20 1. Navegue a <ip_of_asa>/admin/capture/<capture_name>/pcap en cualquier navegador. Consejo: Si usted deja hacia fuera la palabra clave del pcap, después solamente el equivalente de la salida de comando del <cap_name> de la captura de la demostración se proporciona. 2. Ingrese el comando capture de la copia y su File Transfer Protocol preferido para descargar la captura: copy /pcap capture:<capture-name> tftp://<server-ip-address> Consejo: Cuando usted resuelve problemas un problema con el uso de las capturas de paquetes, Cisco recomienda que usted descarga las capturas para la análisis fuera de línea. Borre una captura Para borrar el buffer de la captura, ingrese el comando claro del <capture-name> de la captura: ASA# show capture capture capin type raw-data interface inside [Capturing bytes] match icmp any any capture capout type raw-data interface outside [Capturing bytes] match icmp any any ASA# clear cap capin ASA# clear cap capout ASA# show capture capture capin type raw-data interface inside [Capturing - 0 bytes] match icmp any any capture capout type raw-data interface outside [Capturing - 0 bytes] match icmp any any Ingrese el comando claro de /all de la captura para borrar el buffer para todas las capturas: ASA# clear capture /all Pare una captura La única forma de parar una captura en el ASA es inhabilitarlo totalmente con este comando: no capture <capture-name> El Id. de bug Cisco CSCuv74549 se ha clasifiado para agregar la capacidad de parar una captura sin totalmente inhabilitarla y de controlarla cuando una captura comienza a capturar el tráfico. Verificación Actualmente, no hay un procedimiento de verificación disponible para esta configuración. Troubleshooting

21 Actualmente, no hay información específica de troubleshooting disponible para esta configuración.