Trabajo con las capturas de la defensa de la amenaza de FirePOWER y el trazalíneas del paquete

Transcripción

1 Trabajo con las capturas de la defensa de la amenaza de FirePOWER y el trazalíneas del paquete Contenido Introducción Prerequisites Requisitos Componentes usados Diagrama de la red Antecedentes Proceso del paquete FTD Configurar Trabaje con las capturas del motor del Snort Trabaje con las capturas del motor del Snort Trabaje con las capturas del motor FTD LINA Trabaje con las capturas del motor FTD LINA Exporte una captura vía el HTTP Trabaje con las capturas del motor FTD LINA - Exporte una captura vía FTP/TFTP/SCP Trabaje con las capturas del motor FTD LINA Rastree un paquete real del tráfico Capture la herramienta en las versiones de software Post-6.2 FMC Rastree un paquete real en Post-6.2 FMC Utilidad del trazalíneas del paquete FTD Herramienta del trazalíneas UI del paquete en las versiones de software Post-6.2 FMC Información Relacionada Introducción Este documento describe cómo trabajar con las capturas de la defensa de la amenaza de FirePOWER (FTD) y las utilidades del trazalíneas del paquete. Prerequisites Requisitos No hay requisitos específicos para este documento. Componentes usados La información que contiene este documento se basa en estas versiones de software: ASA5515-X que funciona con el software FTD FPR4110 que funciona con el software FTD

2 FS4000 que funciona con el software del centro de administración de FirePOWER (FMC) La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any. Diagrama de la red Antecedentes Proceso del paquete FTD El proceso del paquete FTD puede ser visualizado como sigue: 1. Un paquete ingresa la interfaz de ingreso y es manejado por el motor de LINA. 2. Si la directiva requiere el paquete es examinado por el motor del Snort. 3. El motor del Snort vuelve un veredicto (por ejemplo, lista blanca o lista negra) para el paquete. 4. Los descensos del motor de LINA o adelante el paquete basados en el veredicto del Snort. De acuerdo con la arquitectura, las capturas FTD se pueden admitir dos diversos lugares: Configurar

3 Trabaje con las capturas del motor del Snort Prerequisites Hay una directiva del control de acceso (ACP) aplicada en FTD que permita que vaya el tráfico del Internet Control Message Protocol (ICMP) a través. La directiva también tiene una directiva de la intrusión aplicada: Requisitos 1. Captura del permiso en el modo FTD CLISH usando ningún filtro. 2. Haga ping con el FTD y controle la salida de la captura. Solución Paso 1. Ábrase una sesión a la consola o a SSH FTD al interfaz br1 y active la captura en el modo FTD CLISH usando ningún filtro. > capture-traffic Please choose domain to capture traffic from: 0 - br1 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: En FTD 6.0.x el comando es: > system support capture-traffic Paso 2. Haga ping con FTD y controle la salida de la captura.

4 > capture-traffic Please choose domain to capture traffic from: 0 - br1 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: 12:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 1, length 80 12:52: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 1, length 80 12:52: IP olab-vl603-gw.cisco.com > olab-vl647- gw.cisco.com: ICMP echo request, id 0, seq 2, length 80 12:52: IP olab-vl647- gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 2, length 80 12:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 3, length 80 12:52: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 3, length 80 12:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 4, length 80 12:52: IP olab-vl647-gw.cisco.com > olab-vl603- gw.cisco.com: ICMP echo reply, id 0, seq 4, length 80 ^C <- to exit press CTRL + C Trabaje con las capturas del motor del Snort Requisitos 1. Active la captura en el modo FTD CLISH usando un filtro para IP Haga ping con FTD y controle la salida de la captura. Solución Paso 1. Active la captura en el modo FTD CLISH usando un filtro para IP > capture-traffic Please choose domain to capture traffic from: 0 - br1 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: host Paso 2. Haga ping con el FTD y controle la captura hecha salir: > capture-traffic Please choose domain to capture traffic from: 0 - br1 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: host

5 Usted puede utilizar - la opción n para ver los host y los números del puerto en el formato numérico. Por ejemplo, la captura anterior será mostrada como: > capture-traffic Please choose domain to capture traffic from: 0 - br1 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: -n host :29: IP > : ICMP echo reply, id 5, seq 0, length 80 13:29: IP > : ICMP echo reply, id 5, seq 1, length 80 13:29: IP > : ICMP echo reply, id 5, seq 2, length 80 13:29: IP > : ICMP echo reply, id 5, seq 3, length 80 13:29: IP > : ICMP echo reply, id 5, seq 4, length 80 Ejemplos del filtro de Tcpdump Ejemplo 1 Para capturar el puerto IP o de Dst IP= y de Src de Src o el puerto de Dst = TCP/UDP 23, ingrese este comando: Options: -n host and port 23 Ejemplo 2 Para capturar el puerto de Src IP= y de Src = TCP/UDP 23, ingrese este comando: Options: -n src and src port 23 Ejemplo 3 Para capturar el puerto de Src IP= y de Src = TCP 23, ingrese este comando: Options: -n src and tcp and src port 23 Ejemplo 4 Para capturar Src IP= y ver el MAC address de los paquetes agregar la opción e, ingrese este comando: Options: -ne src :57: c:41:6a:a1:2b:f6 > a8:9d:21:93:22:90, ethertype IPv4 (0x0800), length 58: > : Flags [S.], seq , ack , win 8192, options [mss 1380], length 0 Ejemplo 5 Para salir después de que usted capture 10 paquetes, ingrese este comando:

6 Options: -n -c 10 src :03: IP > : Flags [.], ack , win 32768, length 0 18:03: IP > : Flags [P.], ack 1, win 32768, length 2 18:03: IP > : Flags [P.], ack 1, win 32768, length 10 18:03: IP > : Flags [.], ack 3, win 32768, length 0 18:03: IP > : Flags [P.], ack 3, win 32768, length 2 18:03: IP > : Flags [.], ack 5, win 32768, length 0 18:03: IP > : Flags [P.], ack 5, win 32768, length 10 18:03: IP > : Flags [.], ack 7, win 32768, length 0 18:03: IP > : Flags [P.], ack 7, win 32768, length 12 18:03: IP > : Flags [.], ack 9, win 32768, length 0 Ejemplo 6 Para escribir una captura a un fichero con el nombre capture.pcap y copiarla vía el ftp a un servidor remoto, ingrese este comando: Options: -w capture.pcap host CTRL + C <- to stop the capture > file copy ftp / capture.pcap Enter password for ftp@ : Copying capture.pcap Copy successful. > Trabaje con las capturas del motor FTD LINA Requisitos 1. Permiso dos capturas en FTD usando estos filtros: IP de la fuente 1 IP del destino Protocolo ICMP Interfaz DENTRO IP de la fuente 1 IP del destino Protocolo ICMP Interfaz FUERA 2. Haga ping del host A ( ) al host B ( ) y controle las capturas. Solución

7 Paso 1. Active las capturas: > capture CAPI interface INSIDE match icmp host host > capture CAPO interface OUTSIDE match icmp host host Paso 2. Controle las capturas en el CLI. Haga ping del host A al host B: > show capture capture CAPI type raw-data interface INSIDE [Capturing bytes] match icmp host host capture CAPO type raw-data interface OUTSIDE [Capturing bytes] match icmp host host Las dos capturas tienen diversos tamaños debido a la encabezado Dot1Q en la interfaz interior. Esto se muestra en este ejemplo de resultado: > show capture CAPI 8 packets captured 1: 17:24: Q vlan#1577 P > : icmp: echo request 2: 17:24: Q vlan#1577 P > : icmp: echo reply 3: 17:24: Q vlan#1577 P > : icmp: echo request 4: 17:24: Q vlan#1577 P > : icmp: echo reply 5: 17:24: Q vlan#1577 P > : icmp: echo request 6: 17:24: Q vlan#1577 P > : icmp: echo reply 7: 17:24: Q vlan#1577 P > : icmp: echo request 8: 17:24: Q vlan#1577 P > : icmp: echo reply 8 packets shown > show capture CAPO 8 packets captured 1: 17:24: > : icmp: echo request 2: 17:24: > : icmp: echo reply 3: 17:24: > : icmp: echo request 4: 17:24: > : icmp: echo reply 5: 17:24: > : icmp: echo request 6: 17:24: > : icmp: echo reply 7: 17:24: > : icmp: echo request 8: 17:24: > : icmp: echo reply 8 packets shown Trabajo con las capturas del motor FTD LINA Exporte una captura vía el HTTP Requisitos Exporte las capturas admitidas el escenario previó con un navegador.

8 Solución Para exportar las capturas con un navegador, usted necesita: 1. Active al servidor HTTPS. 2. Permita el acceso HTTPS. Por abandono, inhabilitan al servidor HTTPS y no se permite ningún acceso: > show running-config http > Paso 1. Navegue a los dispositivos > a las configuraciones de la plataforma, haga clic la nueva directiva y elija las configuraciones de la defensa de la amenaza: Especifique la blanco del nombre y del dispositivo de la directiva: Paso 2. Active al servidor HTTPS y agregue la red que usted quiere ser permitido que tenga acceso al dispositivo FTD sobre el HTTPS:

9 Salve y despliegue. Durante la implementación de política usted puede permitir al HTTP de la depuración para ver comenzar del servicio HTTP: > debug http 255 debug http enabled at level 255. http_enable: Enabling HTTP server HTTP server starting. El resultado en FTD CLI es: > unebug all > show run http http server enable http INSIDE Abra a un navegador en el host A ( ) y utilice este URL para descargar la primera captura:

10 Para la referencia: /capture/CAPI/pcap/CAPI. pcap CAPI/pcap/CAPI.pcap / CAPI.pcap Para la segunda captura: IP de la Interfaz de datos FTD donde se activa el servidor HTTP El nombre de la captura FTD El nombre del fichero que será descargado

11 Trabajo con las capturas del motor FTD LINA - Exporte una captura vía FTP/TFTP/SCP Requisitos Exporte las capturas admitidas los escenarios previos con los protocolos FTP/TFTP/SCP. Solución Exporte una captura a un ftp server: firepower# copy /pcap capture:capi ftp://ftp_username:ftp_password@ /capi.pcap Source capture name [CAPI]? Address or name of remote host [ ]? Destination username [ftp_username]? Destination password [ftp_password]? Destination filename [CAPI.pcap]?!!!!!! 114 packets copied in secs firepower# Exporte una captura a un servidor TFTP: firepower# copy /pcap capture:capi tftp:// Source capture name [CAPI]? Address or name of remote host [ ]?

12 Destination filename [CAPI]?!!!!!!!!!!!!!!!! 346 packets copied in 0.90 secs firepower# Exporte una captura a un servidor de SCP: firepower# copy /pcap capture:capi scp://scp_username:scp_password@ Source capture name [CAPI]? Address or name of remote host [ ]? Destination username [scp_username]? Destination filename [CAPI]? The authenticity of host ' ( )' can't be established. RSA key fingerprint is <cb:ca:9f:e9:3c:ef:e2:4f:20:f5:60:21:81:0a:85:f9:02:0d:0e:98:d0:9b:6c:dc:f9:af:49:9e:39:36:96:33 >(SHA256). Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added ' ' (SHA256) to the list of known hosts.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 454 packets copied in secs (151 packets/sec) firepower# Trabaje con las capturas del motor FTD LINA Rastree un paquete real del tráfico Requisitos Active una captura en FTD con estos filtros: IP de la fuente IP del destino Protocolo Interfaz Seguimiento del paquete Número de paquetes que rastrean ICMP DENTRO sí 100 Haga ping del host A ( ) el host B ( ) y controle las capturas. Solución Rastrear un paquete real puede ser muy útil para resolver problemas los problemas de la Conectividad. Permite que usted vea todos los controles internos a través de los cuales un paquete pasa. Agregue las palabras claves del detalle del rastro y especifique la cantidad de paquetes que usted quiera ser rastreado. Por abandono, el FTD rastrea los primeros 50 paquetes de ingreso. En este caso, captura del permiso con el detalle del rastro para los primeros 100 paquetes que

13 FTD recibe en la interfaz interior: > capture CAPI2 interface INSIDE trace detail trace-count 100 match icmp host host Haga ping del host A al host B y controle el resultado: Los paquetes capturados son: > show capture CAPI2 8 packets captured 1: 18:08: Q vlan#1577 P > : icmp: echo request 2: 18:08: Q vlan#1577 P > : icmp: echo reply 3: 18:08: Q vlan#1577 P > : icmp: echo request 4: 18:08: Q vlan#1577 P > : icmp: echo reply 5: 18:08: Q vlan#1577 P > : icmp: echo request 6: 18:08: Q vlan#1577 P > : icmp: echo reply 7: 18:08: Q vlan#1577 P > : icmp: echo request 8: 18:08: Q vlan#1577 P > : icmp: echo reply 8 packets shown Esta salida muestra un rastro del primer paquete. Las piezas interesantes son: Fase 12 donde se puede considerar el flujo delantero. Éste es el arsenal del envío del motor de LINA (con eficacia la orden de funcionamiento interna) Fase 13 donde FTD envía el paquete para resoplar caso Fase 14 donde se considera el veredicto del Snort > show capture CAPI2 packet-number 1 trace detail 8 packets captured 1: 18:08: c fec a89d x8100 Length: Q vlan#1577 P > : icmp: echo request (ttl 128, id 3346) Phase: 1 Type: CAPTURE... output omitted... Phase: 12 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 195, packet dispatched to next module Module information for forward flow... snp_fp_inspect_ip_options snp_fp_snort snp_fp_inspect_icmp snp_fp_adjacency snp_fp_fragment snp_ifc_stat

14 Module information for reverse flow... snp_fp_inspect_ip_options snp_fp_inspect_icmp snp_fp_snort snp_fp_adjacency snp_fp_fragment snp_ifc_stat Phase: 13 Type: EXTERNAL-INSPECT Subtype: Result: ALLOW Config: Additional Information: Application: 'SNORT Inspect' Phase: 14 Type: SNORT Subtype: Result: ALLOW Config: Additional Information: Snort Verdict: (pass-packet) allow this packet... output omitted... Result: input-interface: OUTSIDE input-status: up input-line-status: up output-interface: OUTSIDE output-status: up output-line-status: up Action: allow 1 packet shown > Herramienta de la captura en las versiones de software Post-6.2 FMC En la versión 6.2.x FMC, presentaron a un nuevo Asisitente de la captura de paquetes. Navegue a los dispositivos > a la Administración de dispositivos y haga clic el icono del Troubleshooting. Entonces elija el troubleshooting avanzado y finalmente capture w/trace. Elija agregan la captura para crear una captura FTD:

15 Las limitaciones actuales FMC UI son: No puede especificar los puertos de Src y de Dst Solamente los protocolos básicos IP pueden ser correspondidos con No puede activar la captura para los descensos del motor ASP de LINA Workaround Utilice el FTD CLI. Tan pronto como usted aplique una captura del FMC UI la captura se está ejecutando: La captura en FTD CLI: > show capture capture CAPI%intf=INSIDE% type raw-data trace interface INSIDE [Capturing - 0 bytes] match ip host host > Rastree un paquete real en Post-6.2 FMC

16 En FMC 6.2.x, el Asisitente de la captura w/trace permite que usted capture y que rastree los paquetes reales en FTD: Usted puede controlar el paquete rastreado en el FMC UI: Utilidad del trazalíneas del paquete FTD Requisitos Utilice la utilidad del trazalíneas del paquete para este flujo y controle cómo el paquete será manejado internamente: Interfaz de ingreso Protocolo DENTRO Petición de la generación de eco ICMP

17 IP de la fuente IP del destino Solución El trazalíneas del paquete generará un paquete virtual. Tal y como se muestra en de este ejemplo, el paquete es un tema a resoplar examen. Una captura tomada al mismo tiempo en el Snort-nivel (captura-tráfico) muestra la petición de la generación de eco ICMP: > packet-tracer input INSIDE icmp Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop using egress ifc OUTSIDE Phase: 4 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ advanced permit ip rule-id event-log both access-list CSM_FW_ACL_ remark rule-id : ACCESS POLICY: FTD Mandatory/1 access-list CSM_FW_ACL_ remark rule-id : L4 RULE: Allow ICMP Additional Information: This packet will be sent to snort for additional processing where a verdict will be reached... output omitted... Phase: 12 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 203, packet dispatched to next module Phase: 13 Type: SNORT

18 Subtype: Result: ALLOW Config: Additional Information: Snort Trace: Packet: ICMP AppID: service ICMP (3501), application unknown (0) Firewall: allow rule, id , allow NAP id 2, IPS id 0, Verdict PASS Snort Verdict: (pass-packet) allow this packet Result: input-interface: INSIDE input-status: up input-line-status: up output-interface: OUTSIDE output-status: up output-line-status: up Action: allow > La captura del Snort-nivel durante la prueba del paquete-trazalíneas muestra el paquete virtual: > capture-traffic Please choose domain to capture traffic from: 0 - management0 1 - Router Selection? 1 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: -n 13:27: IP > : ICMP echo request, id 0, seq 0, length 8 Herramienta del trazalíneas UI del paquete en las versiones de software Post-6.2 FMC En la versión 6.2.x FMC la herramienta del trazalíneas UI del paquete fue introducida. La herramienta es accesible igual que la herramienta de la captura y permite que usted ejecute el trazalíneas del paquete en FTD del FMC UI:

19 Información Relacionada Guía de referencia de comandos de la defensa de la amenaza de FirePOWER Release Note del sistema de FirePOWER, versión Guía de configuración de la defensa de la amenaza de Cisco FirePOWER para el administrador de dispositivos de FirePOWER, versión 6.1 Soporte técnico y documentación - Cisco Systems