Capturas de paquetes ASA con el CLI y elejemplo de la Configuración de ASDM

Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosProductos RelacionadosAntecedentesConfigurarDiagrama de la redConfiguracionesCaptura de paquetes de la configuración con el ASDMCaptura de paquetes de la configuración con el CLITipos disponibles de la captura en el ASAValores predeterminadosVea los paquetes capturadosEn el ASADescarga del ASA para la análisis fuera de líneaBorre una capturaPare una capturaVerificaciónTroubleshooting

Introducción

Este documento describe cómo configurar el Firewall adaptante de la última generación deldispositivo de seguridad de Cisco (ASA) para capturar los paquetes deseados con el CiscoAdaptive Security Device Manager (ASDM) o el CLI.

Prerrequisitos

Requisitos

Este documento asume que el ASA está completamente - operativo y se configura para permitirque el ASDM de Cisco o el CLI realice los cambios de configuración.

Componentes Utilizados

Este documento no se restringe al hardware o a las versiones de software específico.

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con estos Productos Cisco:

Versiones de ASA de Cisco 9.1(5) y posterior●

Cisco ASDM versión 7.2.1●

Antecedentes

El proceso de la captura de paquetes es útil cuando usted resuelve problemas los problemas deconectividad o monitorea la actividad sospechosa. Además, usted puede crear a las capturasmúltiples para analizar diversos tipos de tráfico en las interfaces múltiples.

Configurar

Esta sección proporciona la información que usted puede utilizar para configurar lascaracterísticas de la captura de paquetes que se describen en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener másinformación sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Nota: Los esquemas de IP Addressing que se utilizan en esta configuración no sonlegalmente routable en Internet. Son los direccionamientos del RFC 1918 que se utilizan enun ambiente de laboratorio.

Captura de paquetes de la configuración con el ASDM

Nota: Este ejemplo de configuración se utiliza para capturar los paquetes que se transmitendurante un ping del user1 (red interna) al router1 (red externa).

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA conel ASDM:

Navegue a los Asisitente > al Asisitente de la captura de paquetes para comenzar laconfiguración de la captura de paquetes, como se muestra:

1.

El Asisitente de la captura se abre. Haga clic en Next (Siguiente).2.

En la nueva ventana, proporcione los parámetros que se utilizan para capturar el Tráfico deingreso. Seleccione el interior para la interfaz de ingreso y proporcione la fuente y los IPAddress de destino de los paquetes que se capturarán, junto con su máscara de subred, enel espacio respectivo proporcionado. También, elija el tipo de paquete que se capturará porel ASA (el IP es el tipo de paquete elegido aquí), como se muestra:

3.

Haga clic en Next (Siguiente).

Seleccione el exterior para la interfaz de egreso y proporcione la fuente y los IP Address dedestino, junto con su máscara de subred, en los espacios respectivos proporcionados. Si elNetwork Address Translation (NAT) se realiza en el Firewall, tome esto en la consideracióntambién.

4.

Haga clic en Next (Siguiente).

Ingrese el tamaño de paquetes apropiado y el tamaño de almacén intermedio en el espaciorespectivo proporcionado, como estos datos se requieren para que ocurra la captura.También, recuerde marcar la casilla de verificación circular del buffer del uso si usted quiereutilizar la opción circular del buffer. Los buffers circulares nunca se llenan. Pues el bufferalcanza su tamaño máximo, se desechan más viejos datos y la captura continúa. En esteejemplo, el buffer circular no se utiliza, así que la casilla de verificación no se marca.

5.

Haga clic en Next (Siguiente).

Esta ventana muestra las listas de acceso que se deben configurar en el ASA para capturarlos paquetes deseados, y muestra el tipo de paquetes que se capturarán (los paquetes delIP se capturan en este ejemplo). Haga clic en Next (Siguiente).

6.

Haga clic el comienzo para comenzar a la captura de paquetes, como se muestra aquí:7.

Como comienzan a la captura de paquetes, intente hacer ping la red externa de la redinterna de modo que los paquetes que fluyen entre la fuente y los IP Address de destinosean capturados por el buffer de la captura ASA.

8.

El tecleo consigue el buffer de la captura para ver los paquetes que son capturados por elbuffer de la captura ASA.

9.

Los paquetes capturados se muestran en esta ventana para el ingreso y el tráfico de salida.La salvaguardia del tecleo captura para salvar la información de la captura.

10.

De la ventana de las capturas de la salvaguardia, elija el formato requerido en el cual elbuffer de la captura debe ser guardado. Éste es ASCII o PCAP. Haga clic el botón de radioal lado de los nombres del formato. Entonces, la captura del ingreso de la salvaguardia deltecleo o la salida de la salvaguardia captura como sea necesario. Los archivos PCAP sepueden abrir con los analizadores de la captura, tales como Wireshark, y es el métodopreferido.

11.

De la ventana del capturar archivo de la salvaguardia, proporcione el nombre del archivo yla ubicación a donde está ser guardado el capturar archivo. Haga clic en Save (Guardar).

12.

Haga clic en Finish (Finalizar).13.

Esto completa el procedimiento de la captura de paquetes.

Captura de paquetes de la configuración con el CLI

Complete estos pasos para configurar la característica de la captura de paquetes en el ASA conel CLI:

Configure las interfaces interior y exterior como se ilustra en el diagrama de la red, con ladirección IP y los niveles de seguridad correctos.

1.

Comience el proceso de la captura de paquetes con el comando capture en el modo EXECprivilegiado. En este ejemplo de configuración, la captura nombrada capin se define. Átela ala interfaz interior, y especifique con la palabra clave de la coincidencia que solamente lospaquetes que hacen juego el tráfico del interés están capturados:

ASA# capture capin interface inside match ip 192.168.10.10 255.255.255.255

203.0.113.3 255.255.255.255

2.

Semejantemente, la captura nombrada capout se define. Átela a la interfaz exterior, yespecifique con la palabra clave de la coincidencia que solamente los paquetes que hacenjuego el tráfico del interés están capturados:

ASA# capture capout interface outside match ip 192.168.10.10 255.255.255.255

3.

203.0.113.3 255.255.255.255

El ASA ahora comienza a capturar el flujo de tráfico entre las interfaces. Para parar lacaptura en cualquier momento, no ingrese el ningún comando capture seguido por elnombre de la captura.

Aquí tiene un ejemplo:

no capture capin interface inside

no capture capout interface outside

Tipos disponibles de la captura en el ASA

Esta sección describe los diversos tipos de capturas que estén disponibles en el ASA.

asa_dataplane - Captura los paquetes en el backplane ASA que pasan entre el ASA y unmódulo que utilice el backplane, tal como el ASA CX o módulo ips.

ASA# cap asa_dataplace interface asa_dataplane

ASA# show capture

capture asa_dataplace type raw-data interface asa_dataplane [Capturing - 0 bytes]

●

descenso-código del ASP-descenso - Captura los paquetes que son caídos por la trayectoriaacelerada de la Seguridad. El descenso-código especifica el tipo de tráfico que es caído porla trayectoria acelerada de la Seguridad.

ASA# capture asp-drop type asp-drop acl-drop

ASA# show cap

ASA# show capture asp-drop

2 packets captured

1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S

2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)

Flow is denied by configured rule

2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S

2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)

Flow is denied by configured rule

2 packets shown

ASA# show capture asp-drop

2 packets captured

1: 04:12:10.428093 192.168.10.10.34327 > 10.94.0.51.15868: S

2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)

Flow is denied by configured rule

2: 04:12:12.427330 192.168.10.10.34327 > 10.94.0.51.15868: S

2669456341:2669456341(0) win 4128 <mss 536> Drop-reason: (acl-drop)

Flow is denied by configured rule

2 packets shown

●

tipo del tipo Ethernet - Selecciona un tipo Ethernet capturar. Los tipos Ethernet soportadosincluyen 8021Q, el ARP, el IP, IP6, el IPX, el LACP, PPPOED, PPPOES, el RARP, y el VLAN.

Esta demostración del ejemplo cómo capturar el tráfico ARP:

ASA# cap arp ethernet-type ?

●

exec mode commands/options:

 802.1Q

 <0-65535>  Ethernet type

 arp

 ip

 ip6

 ipx

 pppoed

 pppoes

 rarp

 vlan

cap arp ethernet-type arp interface inside

ASA# show cap arp

22 packets captured

1: 05:32:52.119485 arp who-has 10.10.3.13 tell 10.10.3.12

2: 05:32:52.481862 arp who-has 192.168.10.123 tell 192.168.100.100

3: 05:32:52.481878 arp who-has 192.168.10.50 tell 192.168.100.10

4: 05:32:53.409723 arp who-has 10.106.44.135 tell 10.106.44.244

5: 05:32:53.772085 arp who-has 10.106.44.108 tell 10.106.44.248

6: 05:32:54.782429 arp who-has 10.106.44.135 tell 10.106.44.244

7: 05:32:54.784695 arp who-has 10.106.44.1 tell 11.11.11.112:

unidades de visualización en tiempo real los paquetes capturados continuamente en eltiempo real. Para terminar a una captura de paquetes en tiempo real, presione el Ctrl-c. Paraquitar permanentemente la captura, no utilice la ninguna forma de este comando. Esta opciónno se soporta cuando usted utiliza el comando capture del ejecutivo del cluster.

ASA# cap capin interface inside real-time

Warning: using this option with a slow console connection may

result in an excessive amount of non-displayed packets

due to performance limitations.

Use ctrl-c to terminate real-time capture

●

Traza - Localiza los paquetes capturados de una forma similares a la característica deltrazalíneas del paquete ASA.

ASA#cap in interface Webserver trace match tcp any any eq 80

// Initiate Traffic

1: 07:11:54.670299 192.168.10.10.49498 > 198.51.100.88.80: S

2322784363:2322784363(0) win 8192

<mss 1460,nop,wscale 2,nop,nop,sackOK>

Phase: 1

Type: CAPTURE

Subtype:

Result: ALLOW

Config:

Additional Information:

MAC Access list

Phase: 2

Type: ACCESS-LIST

Subtype:

●

Result: ALLOW

Config:

Implicit Rule

Additional Information:

MAC Access list

Phase: 3

Type: ROUTE-LOOKUP

Subtype: input

Result: ALLOW

Config:

Additional Information:

in 0.0.0.0 0.0.0.0 outside

Phase: 4

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:

access-group any in interface inside

access-list any extended permit ip any4 any4 log

Additional Information:

Phase: 5

Type: NAT

Subtype:

Result: ALLOW

Config:

object network obj-10.0.0.0

nat (inside,outside) dynamic interface

Additional Information:

Dynamic translate 192.168.10.10/49498 to 203.0.113.2/49498

Phase: 6

Type: NAT

Subtype: per-session

Result: ALLOW

Config:

Additional Information:

Phase: 7

Type: IP-OPTIONS

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 8

Type:

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 9

Type: ESTABLISHED

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 10

Type:

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 11

Type: NAT

Subtype: per-session

Result: ALLOW

Config:

Additional Information:

Phase: 12

Type: IP-OPTIONS

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 13

Type: FLOW-CREATION

Subtype:

Result: ALLOW

Config:

Additional Information:

New flow created with id 41134, packet dispatched to next module

Phase: 14

Type: ROUTE-LOOKUP

Subtype: output and adjacency

Result: ALLOW

Config:

Additional Information:

found next-hop 203.0.113.1 using egress ifc outside

adjacency Active

next-hop mac address 0007.7d54.1300 hits 3170

Result:

output-interface: outside

output-status: up

output-line-status: up

Action: allow

ikev1/ikev2 - Información sobre protocolo 1 (IKEv1) o IKEv2 solamente del intercambio declaves de Internet de las capturas de la versión.

●

isakmp - Tráfico del Internet Security Association and Key Management Protocol (ISAKMP)de las capturas para las conexiones VPN. El subsistema ISAKMP no tiene acceso a losprotocolos de la capa superiores. La captura es una pseudo captura, con la comprobación,las capas IP, y UDP combinadas juntas para satisfacer un analizador de sintaxis PCAP.Obtienen del intercambio SA y se salvan a las direcciones de peer en la capa IP.

●

lacp - Tráfico del protocolo link aggregation control de las capturas (LACP). Si estáconfigurado, el nombre de la interfaz es el nombre de la interfaz física. Esto pudo ser útilcuando usted trabaja con los EtherChanneles para identificar la conducta actual del LACP.

●

TLS-proxy - Las capturas desencriptaron entrante y los datos salientes del proxy de TransportLayer Security (TLS) en una o más interfaces.

●

webvpn - Datos del WebVPN de las capturas para una conexión WebVPN específica.●

Precaución: Cuando usted habilita la captura del WebVPN, afecta al funcionamiento deldispositivo de seguridad. Asegúrese de que usted inhabilite la captura después de que ustedgenere los capturares archivo que son necesarios para resolver problemas.

Valores predeterminados

Éstos son los valores por defecto de valor predeterminado del sistema ASA:

El tipo predeterminado es datos sin procesar.●

El tamaño de almacén intermedio predeterminado es 512 KB.●

El tipo Ethernet predeterminado es paquetes del IP.●

La Longitud del paquete predeterminada es 1,518 bytes.●

Vea los paquetes capturados

En el ASA

Para ver los paquetes capturados, ingrese el comando capture de la demostración seguido por elnombre de la captura. Esta sección proporciona las salidas del comando show del contenido delbuffer de la captura. El comando del capin de la captura de la demostración muestra el contenidodel buffer de la captura nombrado capin:

ASA# show cap capin

8 packets captured

1: 03:24:35.526812 192.168.10.10 > 203.0.113.3: icmp: echo request

2: 03:24:35.527224 203.0.113.3 > 192.168.10.10: icmp: echo reply

3: 03:24:35.528247 192.168.10.10 > 203.0.113.3: icmp: echo request

4: 03:24:35.528582 203.0.113.3 > 192.168.10.10: icmp: echo reply

5: 03:24:35.529345 192.168.10.10 > 203.0.113.3: icmp: echo request

6: 03:24:35.529681 203.0.113.3 > 192.168.10.10: icmp: echo reply

7: 03:24:57.440162 192.168.10.10 > 203.0.113.3: icmp: echo request

8: 03:24:57.440757 203.0.113.3 > 192.168.10.10: icmp: echo reply

El comando del capout de la captura de la demostración muestra el contenido del buffer de lacaptura nombrado capout:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request

2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply

3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request

4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply

5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request

6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply

7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request

8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

Descarga del ASA para la análisis fuera de línea

Hay un par de maneras de descargar a las capturas de paquetes para el análisis off-liné:

Navegue a https:// <ip_of_asa>/admin/capture/<capture_name>/pcap en cualquiernavegador.Consejo: Si usted deja hacia fuera la palabra clave del pcap, después solamente elequivalente de la salida de comando del <cap_name> de la captura de la demostración seproporciona.

1.

Ingrese el comando capture de la copia y su File Transfer Protocol preferido para descargarla captura:

ASA# show cap capout

8 packets captured

1: 03:24:35.526843 192.168.10.10 > 203.0.113.3: icmp: echo request

2: 03:24:35.527179 203.0.113.3 > 192.168.10.10: icmp: echo reply

3: 03:24:35.528262 192.168.10.10 > 203.0.113.3: icmp: echo request

4: 03:24:35.528567 203.0.113.3 > 192.168.10.10: icmp: echo reply

5: 03:24:35.529361 192.168.10.10 > 203.0.113.3: icmp: echo request

6: 03:24:35.529666 203.0.113.3 > 192.168.10.10: icmp: echo reply

7: 03:24:47.014098 203.0.113.3 > 203.0.113.2: icmp: echo request

8: 03:24:47.014510 203.0.113.2 > 203.0.113.3: icmp: echo reply

2.

Consejo: Cuando usted resuelve problemas un problema con el uso de las capturas depaquetes, Cisco recomienda que usted descarga las capturas para la análisis fuera de línea.

Borre una captura

Para borrar el buffer de la captura, ingrese el comando claro del <capture-name> de la captura:

ASA# show capture

capture capin type raw-data interface inside [Capturing - 8190 bytes]

match icmp any any

capture capout type raw-data interface outside [Capturing - 11440 bytes]

match icmp any any

ASA# clear cap capin

ASA# clear cap capout

ASA# show capture

capture capin type raw-data interface inside [Capturing - 0 bytes]

match icmp any any

capture capout type raw-data interface outside [Capturing - 0 bytes]

match icmp any any

Ingrese el comando claro de /all de la captura para borrar el buffer para todas las capturas:

ASA# clear capture /all

Pare una captura

La única forma de parar una captura en el ASA es inhabilitarlo totalmente con este comando:

no capture <capture-name>

El Id. de bug Cisco CSCuv74549 se ha clasifiado para agregar la capacidad de parar una capturasin totalmente inhabilitarla y de controlarla cuando una captura comienza a capturar el tráfico.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.