Как да заснема на Cisco ASA

Прочетете тази статия

Защитните стениCisco ASA имат страхотен инструмент, нареченcapture за улавяне и анализиране на трафика, преминаващ през тях. Понякога това се нарича "изхвърляне на трафик" или "снифър за трафик". Активирането назаснемане изисква само 2 параметъра:

  • Посочете трафика, който представлява интерес за устройството
  • Посочете интерфейса, на който да се улавят пакетите

Стъпка 1. Целеви трафик

важно! Няма ограничения за този списък за достъп - той не блокира по никакъв начин трафика, преминаващ през устройството, и можете да добавяте колкото редове желаете. Въпреки това ще бъде по-трудно да се анализират получените резултати, колкото повече различни пакети са уловени. Обикновено на практика е най-удобно да се улавя трафик с помощта на протоколаip (всички връзки) между два конкретни хоста.

Стъпка 2. Задаване на интерфейс и допълнителни параметри

След като сме решили какъв трафик да бъде уловен, активирайтеcapture на интерфейса, който е най-близо до източника(!) Ако трафикът, посочен в списъка за достъп (списък за достъп ), се появи на интерфейса, той ще бъде уловен и записан в буфера, дори ако има изрично правило за отказ и защитната стена не позволява на пакета да отиде по-далеч. Синтаксисът на командата за улавяне е: Улавяне на "име" списък за достъп "списък за достъп с желан трафик" интерфейс "име на интерфейс" Да приемем, че защитната стена на Cisco ASA има 2 интерфейса:

заснема

Стъпка 3. Вижте резултата

cisco

Нека проверим какъв трафик е влязъл в улавянето FW-DELTACONFIG-1# sh cap capmy 11 уловени пакета /… изрязани … / 8: 16:47:48.350613 10.0.0.20 > 192.168.10.100: icmp: ехо отговор 9 : 16:47:51.322065 192.168.10.100.62990 >10.0.0.20.80: S 3496653167:3496653167(0) победа 8192 10 : 16:47:54.317335 192.168.10.100.62990 > 10.0.0.20.80: S 3496653167:3496653167(0) победа 8192 11 : 16:48:00.318739 192.168.10.100.62990 > 10.0.0.20.80: S 3496653167:3496653167(0) win 8192 11 показани пакета 3 реда с номера 9. 10 и 11 бяха добавени към предишния изход. Имайте предвид, че трафикът (192.168.10.100.62990 > 10.0. 0) върви само към сървъра 10.0.0.20 и не е записан нито един пакет с отговор.

Стъпка 4 Анализ

Стъпка 5. Изчистване на резултатите

Моля, обърнете внимание, че при първото заснемане на интерфейсаinside се показва информация за 14 пакета, а при второто, тъй като е включено по-късно, само за последните три. За да изравните броячите и да изчистите резултатите, използвайте командатаclear capture "name" FW-DELTACONFIG-1# clear cap capmy_dmz FW-DELTACONFIG-1# clear cap capmy

Стъпка 6. Как да получите файла за заснемане

Понякога трябва не само да разгледате пакетите, но и да ги проучите по-подробно. Например в програма като Wireshark или подобни анализатори на трафика. Има много опции за изтегляне на файл (ftp, usb...), но в тази статия ще разгледам най-простия и доказан вариант - чрезTFTP сървър. За това:

Стъпка 7. Допълнителни опции

Файлътcapture заема 512 KB RAMCisco ASA по подразбиране. Ако трябва да анализирате не няколко пакета, а обикновен „работен“ трафик, тогава буферът се препълва много бързо. Има 2 варианта за решаване на този проблем

  • Можете да настроите файловия буферcapture ръчно. За да направите това, добавете "buffer value " в края на командата за разрешаване. 1 000 000 (милиона) ще съответстват приблизително на 1 MB памет.
FW-DELTACONFIG-1(config)# улавяне на capmy списък за достъп ACL_CAP интерфейс в >буфер 1000000

важно! Бъдете много внимателни с буфера, тъй като RAM(!) на устройството ще бъде заета. Силно не препоръчвам да вземете повече от 10 MB памет. След като приключите с анализа на трафика, изтрийте старияcapture с командатаno cap "name"