Nem pakke indfanges direkte fra Cisco ASA firewall

Uanset om du løser et vanskeligt problem eller forfølger nogle spændende trafik, skal du nogle gange trække en pakkeoptagelse. Naturligvis kunne du konfigurere og distribuere en sniffer, men det er ikke den eneste løsning, du har lige ved hånden. Du kan trække pakkeoptagelsen direkte fra Cisco ASA-firewall. Cisco ASA gør dette til en nem proces.

Der er mindst to måder at konfigurere din ASA til at fange pakker på. Hvis du foretrækker GUI-grænsefladen på ASDM, kan du bruge værktøjet Packet Capture Wizard ved at vælge det fra guiden menu.

Dog har jeg fundet, at hvis du ikke har noget imod at få dine hænder beskidte, så at sige, er CLI-grænsefladen vejen at gå. Du kan identificere den trafik, du leder efter med en ACL, og derefter indstille din interface til at indfange baseret på ACL-resultaterne. Her er et eksempel på, hvor let det er at gøre dette.

I dette eksempel vil jeg fange alle IP-pakker mellem en vært på 192.168.80.51 og test ASA på 192.168.81.52.

Det første trin er at indstille en hurtig ACL:

 adgangsliste testcap udvidet tilladelse ip vært 192.168.80.51 vært 192.168.81.52 

Derefter opsætter vi optagelsen ved hjælp af kommandoen til optagelse . Vi refererer til vores ACL (testcap) som vores "interessante" trafik, og vi specificerer, hvilken grænseflade vi vil se på:

 myasa # capture testcap interface indeni 

Ganske vist er dette sandsynligvis kommandoen i sin enkleste form. Der er mange muligheder, du kan konfigurere som en del af denne kommando, herunder indstilling af bufferstørrelser, indstilling af en cirkulær buffer, der overskriver sig selv, når den er fuld, og vælger webvpn eller isakmp-trafik. Pointen er, med to hurtige kommandoer, har vi en pakkeoptagelse i gang! Det bliver bare ikke meget lettere end det.

En hurtig show capture- kommando bekræfter, at min capture er i gang.

 myasa # sh capture 
 optag testcap-type rå-data-interface INNSIDE Capturing - 4314 bytes 

Brug kommandoen ingen form for at stoppe optagelsen.

 myasa # no capture testcap 
Lad os nu se på resultaterne. Også her har vi valg. Vi kan se på trafikken via en browser direkte fra ASA ved at åbne et http-link ( figur A ) som følgende:
 https://192.168.81.52/admin/capture/testcap 

Figur A

Klik for at forstørre.

Mens vi ser trafikken og meget af informationen, kan vi ikke se alle detaljer ved en regelmæssig pakkeopsamling. Vi kan dog gemme denne info som en libpcap-fil med følgende kommando og derefter åbne denne fil med Wireshark eller sådan.

 https://192.168.81.52/capture/testcap/pcap 
Figur B viser denne fil, når den åbnes med Wireshark.

Figur B

Klik for at forstørre.

Kommandolinjen giver også muligheder for at se på dine data.

 myasa # show capture testcap? 
 adgangsliste Vis pakker, der matcher adgangslisten 
 tæller Visning af pakker i fangst 
 afkode Vis dekodeoplysninger for hver pakke 
 detalje Vis flere oplysninger for hver pakke 
 dump Vis hex-dump for hver pakke 
 pakke-nummer Vis pakke under optagelse 
 trace Vis udvidet sporinformation for hver pakke 
 | Udgangsmodifikatorer 

Lad os se på de første ni pakker.

 myasa # show capture testcap count 9 
 4532 pakker fanget 
 1: 13: 46: 31.052746 192.168.81.52.22> 192.168.80.51.2057: P 1290581619: 1290581687 (68) ack 941116409 win 8192 
 2: 13: 46: 31.052884 192.168.80.51.2057> 192.168.81.52.22:. ack 1290581687 vind 65207 
 3: 13: 46: 38.374583 arp who-has 192.168.80.219 fortæl 192.168.82.51 
 4: 13: 46: 38.521655 arp who-has 192.168.80.204 fortæl 192.168.82.51 
 5: 13: 46: 39.803120 192.168.81.52.443> 192.168.80.51.3968: P 787673978: 787675438 (1460) ack 3043311886 win 8192 
 6: 13: 46: 39.803150 192.168.81.52.443> 192.168.80.51.3968: P 787675438: 787675589 (151) ack 3043311886 win 8192 
 7: 13: 46: 39.803257 192.168.81.52.443> 192.168.80.51.3968: P 787675589: 787677049 (1460) ack 3043311886 win 8192 
 8: 13: 46: 39.803272 192.168.81.52.443> 192.168.80.51.3968: P 787677049: 787677200 (151) ack 3043311886 win 8192 
 9: 13: 46: 39.803287 192.168.81.52.443> 192.168.80.51.3968: P 787677200: 787677883 (683) ack 3043311886 win 8192 
 9 pakker vist 

Vi kan også se på en hel pakke fra CLI.

 myasa # show capture testcap detalje pakke-nummer 5 dump 
 4532 pakker fanget 
 5: 13: 46: 39.803120 0022.5597.25b9 0014.3815.89fb 0x0800 1514: 192.168.81.52.443> 192.168.80.51.3968: P tcp sum ok 787673978: 787675438 (1460) ack 30 43311886 win 8192, tt 54.032) 
 0x0000 4500 05dc d310 0000 ff06 c052 c0a8 5134 E .......... R..Q4 
 0x0010 c0a8 5033 01bb 0f80 2ef2 f37a b565 410e ..P3 ....... z.eA. 
 0x0020 5018 2000 5488 0000 1703 0106 4654 db31 P. .T ....... FT.1 
 0x0030 b3d4 0a5b 3295 f719 d82a 8767 6b8b dae1 ... 2 .... *. Gk ... 
 0x0040 0a54 0ea8 c8c4 1c61 c45c e321 452e 6ab6. T ..... a. \.! Ej 
 0x0050 ba80 4e94 3801 d973 b4fe 97d4 8b2f 9e77 ..N.8..s ..... /. W 

* Der vises kun et delvist resultat.

Så spar din hardware eller bærbare computere til andre dele af dit netværk. Brug din ASA til at samle de fragmenter af netværkstrafik, du har brug for. Men husk: Vær generelt venlig med din ASA. Opret, når det er muligt, specifikke ACL'er for at forbedre den trafik, du vil fange. Overvåg din ASA, mens du optager pakker, og juster buffere, hvis du har brug for det. Og som altid henvises til www.cisco.com for mere detaljerede oplysninger.

Vil du lære mere om router og switch management? Tilmeld dig automatisk vores gratis Cisco Technology nyhedsbrev, der leveres hver fredag!

© Copyright 2020 | mobilegn.com