Einfache Paketerfassung direkt von der Cisco ASA-Firewall

Unabhängig davon, ob Sie ein schwieriges Problem beheben oder interessanten Datenverkehr verfolgen, müssen Sie manchmal eine Paketerfassung durchführen. Natürlich können Sie einen Sniffer konfigurieren und bereitstellen, aber dies ist nicht die einzige Lösung, die Ihnen zur Verfügung steht. Sie können die Paketerfassung direkt von der Cisco ASA-Firewall abrufen. Der Cisco ASA macht dies zu einem einfachen Prozess.

Es gibt mindestens zwei Möglichkeiten, Ihren ASA für die Erfassung von Paketen zu konfigurieren. Wenn Sie die GUI-Oberfläche des ASDM bevorzugen, können Sie das Tool zur Paketerfassung verwenden, indem Sie es im Menü des Assistenten auswählen.

Ich habe jedoch festgestellt, dass die CLI-Oberfläche der richtige Weg ist, wenn es Ihnen nichts ausmacht, sich sozusagen die Hände schmutzig zu machen. Sie können den gesuchten Datenverkehr mit einer ACL identifizieren und dann festlegen, dass Ihre Schnittstelle basierend auf den ACL-Ergebnissen erfasst wird. Hier ist ein Beispiel dafür, wie einfach dies ist.

In diesem Beispiel möchte ich alle IP-Pakete zwischen einem Host unter 192.168.80.51 und dem Test-ASA unter 192.168.81.52 erfassen.

Der erste Schritt besteht darin, eine schnelle ACL festzulegen:

 Zugriffsliste Testcap erweiterte Erlaubnis IP-Host 192.168.80.51 Host 192.168.81.52 

Anschließend richten wir die Erfassung mit dem Erfassungsbefehl ein . Wir werden unsere ACL (Testcap) als unseren "interessanten" Verkehr bezeichnen und angeben, welche Schnittstelle wir betrachten möchten:

 myasa # Capture Testcap-Schnittstelle im Inneren 

Zugegeben, dies ist wahrscheinlich der Befehl in seiner einfachsten Form. Es gibt viele Optionen, die Sie als Teil dieses Befehls konfigurieren können, darunter das Festlegen von Puffergrößen, das Festlegen eines Umlaufpuffers, der sich selbst überschreibt, wenn er voll ist, und das Auswählen von Webvpn- oder Isakmp-Verkehr. Der Punkt ist, mit zwei schnellen Befehlen haben wir eine Paketerfassung in Gang gebracht! Einfacher geht es nicht.

Ein schneller Befehl zum Anzeigen der Erfassung überprüft, ob meine Erfassung ausgeführt wird.

 myasa # sh erfassen 
 Rohdatenschnittstelle vom Typ Capture Testcap INSIDE Capturing - 4314 Bytes 

Verwenden Sie die Form no dieses Befehls, um die Erfassung zu stoppen.

 myasa # keine Capture-Testkappe 
Schauen wir uns nun die Ergebnisse an. Auch hier haben wir die Wahl. Wir können den Datenverkehr über einen Browser direkt von der ASA aus anzeigen, indem wir einen http-Link ( Abbildung A ) wie folgt öffnen:
 https://192.168.81.52/admin/capture/testcap 

Abbildung A.

Klicken um zu vergrößern.

Während wir den Datenverkehr und viele Informationen sehen, können wir nicht alle Details einer regulären Paketerfassung sehen. Wir können diese Informationen jedoch mit dem folgenden Befehl als libpcap-Datei speichern und diese Datei dann mit Wireshark oder ähnlichem öffnen.

 https://192.168.81.52/capture/testcap/pcap 
Abbildung B zeigt diese Datei beim Öffnen mit Wireshark.

Abbildung B.

Klicken um zu vergrößern.

Die Befehlszeile bietet auch Optionen zum Anzeigen Ihrer Daten.

 myasa # show capture testcap? 
 Zugriffsliste Zeigt Pakete an, die der Zugriffsliste entsprechen 
 count Anzeige der erfassten Pakete 
 decode Zeigt Decodierungsinformationen für jedes Paket an 
 Detail Weitere Informationen für jedes Paket anzeigen 
 dump Zeigt den Hex-Dump für jedes Paket an 
 Paketnummer Paket in Erfassung anzeigen 
 trace Zeigt erweiterte Trace-Informationen für jedes Paket an 
 | Ausgabemodifikatoren 

Schauen wir uns die ersten neun Pakete an.

 myasa # show capture testcap count 9 
 4532 Pakete erfasst 
 1: 13: 46: 31.052746 192.168.81.52.22> 192.168.80.51.2057: P 1290581619: 1290581687 (68) ack 941116409 win 8192 
 2: 13: 46: 31.052884 192.168.80.51.2057> 192.168.81.52.22 :. ack 1290581687 win 65207 
 3: 13: 46: 38.374583 arp who-has 192.168.80.219 tell 192.168.82.51 
 4: 13: 46: 38.521655 arp who-has 192.168.80.204 tell 192.168.82.51 
 5: 13: 46: 39.803120 192.168.81.52.443> 192.168.80.51.3968: P 787673978: 787675438 (1460) ack 3043311886 win 8192 
 6: 13: 46: 39.803150 192.168.81.52.443> 192.168.80.51.3968: P 787675438: 787675589 (151) ack 3043311886 win 8192 
 7: 13: 46: 39.803257 192.168.81.52.443> 192.168.80.51.3968: P 787675589: 787677049 (1460) ack 3043311886 win 8192 
 8: 13: 46: 39.803272 192.168.81.52.443> 192.168.80.51.3968: P 787677049: 787677200 (151) ack 3043311886 win 8192 
 9: 13: 46: 39.803287 192.168.81.52.443> 192.168.80.51.3968: P 787677200: 787677883 (683) ack 3043311886 win 8192 
 9 Pakete angezeigt 

Wir können auch ein ganzes Paket von der CLI aus betrachten.

 myasa # show capture testcap detail Paketnummer 5 Dump 
 4532 Pakete erfasst 
 5: 13: 46: 39.803120 0022.5597.25b9 0014.3815.89fb 0x0800 1514: 192.168.81.52.443> 192.168.80.51.3968: P tcp sum ok 787673978: 787675438 (1460) ack 30 43311886 win 8195 (ttl 25) 54032) 
 0x0000 4500 05dc d310 0000 ff06 c052 c0a8 5134 E .......... R..Q4 
 0x0010 c0a8 5033 01bb 0f80 2ef2 f37a b565 410e ..P3 ....... z.eA. 
 0x0020 5018 2000 5488 0000 1703 0106 4654 db31 P. .T ....... FT.1 
 0x0030 b3d4 0a5b 3295 f719 d82a 8767 6b8b dae1 ... 2 .... *. Gk ... 
 0x0040 0a54 0ea8 c8c4 1c61 c45c e321 452e 6ab6 .T ..... a. \.! Ej 
 0x0050 ba80 4e94 3801 d973 b4fe 97d4 8b2f 9e77 ..N.8..s ..... /. W. 

* Es wird nur ein Teilergebnis angezeigt.

Speichern Sie also Ihre Hardware- oder Laptop-Sniffer für andere Teile Ihres Netzwerks. Verwenden Sie Ihren ASA, um die benötigten Ausschnitte aus dem Netzwerkverkehr zu sammeln. Aber denken Sie daran: Seien Sie im Allgemeinen freundlich zu Ihrer ASA. Erstellen Sie nach Möglichkeit bestimmte ACLs, um den zu erfassenden Datenverkehr zu verfeinern. Überwachen Sie Ihren ASA, während Sie Pakete erfassen, und passen Sie die Puffer bei Bedarf an. Weitere Informationen finden Sie wie immer unter www.cisco.com.

Möchten Sie mehr über das Router- und Switch-Management erfahren? Melden Sie sich automatisch für unseren kostenlosen Cisco Technology-Newsletter an, der jeden Freitag zugestellt wird!

© Copyright 2020 | mobilegn.com