Helppo paketti kaappaa suoraan Cisco ASA -palomuurista

Vianmääritys vaikeasta ongelmasta vai jahtaa mielenkiintoista liikennettä, joskus sinun täytyy vetää paketin sieppaus. Tietenkin, voit määrittää ja ottaa käyttöön snifferin, mutta se ei ole ainoa ratkaisu, joka sinulla on hyppysissäsi. Voit vetää paketin sieppauksen suoraan Cisco ASA -palomuurista. Cisco ASA tekee tästä helpon prosessin.

On ainakin kaksi tapaa määrittää ASA-asetukset pakettien sieppaamiseksi. Jos haluat ASDM: n GUI-käyttöliittymän, voit käyttää ohjattua paketin sieppauksen työkalua valitsemalla sen ohjatusta valikosta.

Olen kuitenkin huomannut, että jos et välitä kätesi likaantumisesta niin sanotusti, CLI-käyttöliittymä on tie. Voit tunnistaa etsimäsi liikenteen ACL: llä ja asettaa sitten käyttöliittymäsi sieppaamaan ACL-tulosten perusteella. Tässä on esimerkki siitä, kuinka helppo on tehdä tämä.

Tässä esimerkissä haluan kaapata kaikki IP-paketit isäntäkohdassa 192.1688.80.51 ja testi ASA: lla välillä 192.168.81.52.

Ensimmäinen askel on asettaa nopea ACL:

 pääsyluettelon testikapin laajennettu lupa ip-isäntä 192.168.80.51-isäntä 192.168.81.52 

Sitten määritimme sieppauksen sieppauskomennon avulla. Me kutsumme ACL-testiä (testikappaa) "mielenkiintoiseksi" liikenteeksi ja määrittelemme, mitä käyttöliittymää haluamme tarkastella:

 myasa # capture testcap -liittymä sisällä 

Tosin tämä on todennäköisesti komento yksinkertaisimmassa muodossaan. On monia vaihtoehtoja, jotka voit määrittää osana tätä komentoa, mukaan lukien puskurikokojen asettaminen, ympyräpuskurin asettaminen, joka kirjoittaa itsensä täyteen, ja webvpn- tai isakmp-liikenteen valitseminen. Asia on, että kahdella nopealla komennolla paketti sieppataan! Se ei vain saa paljon helpompaa kuin se.

Nopea näytön sieppauskomento varmistaa, että sieppaukseni on käynnissä.

 myasa # sh -kaappaus 
 kaappaa testikap-tyyppinen raakatietorajapinta sisäpuolella Kaappaus - 4314 tavua 

Voit lopettaa sieppauksen käyttämällä tämän komennon mitään muotoa.

 myasa # no capture testcap 
Katsotaanpa nyt tuloksia. Tässä taas meillä on valintoja. Voimme tarkastella liikennettä selaimen kautta suoraan ASA: sta avaamalla http-linkin ( kuva A ) seuraavasti:
 https://192.168.81.52/admin/capture/testcap 

Kuvio A

Klikkaa suurentaaksesi.

Vaikka näemme liikenteen ja suuren osan tiedoista, emme näe kaikkia säännöllisen pakettien sieppauksen yksityiskohtia. Voimme kuitenkin tallentaa nämä tiedot libpcap-tiedostona seuraavalla komennolla ja avata sitten tiedoston Wiresharkilla tai vastaavalla.

 https://192.168.81.52/capture/testcap/pcap 
Kuva B näyttää tämän tiedoston, kun se avataan Wiresharkilla.

Kuvio B

Klikkaa suurentaaksesi.

Komentorivi tarjoaa myös vaihtoehtoja tietojen tarkastelemiseen.

 myasa # show capture testcap? 
 käyttöluettelo Näytä pääsyluetteloa vastaavat paketit 
 count Pakettien näyttö sieppauksessa 
 dekoodaus Näytä kunkin paketin purkutiedot 
 yksityiskohta Näytä lisätiedot jokaisesta paketista 
 dump Näytä kuusiohjain jokaiselle paketille 
 packet-number Näytä paketti kaapatussa muodossa 
 jäljitä Näytä laajennetut jäljitetiedot kustakin paketista 
 | Lähtömuuntajat 

Katsotaanpa ensimmäisiä yhdeksää pakettia.

 myasa # show capture testcap count 9 
 Kaapattu 4532 pakettia 
 1: 13: 46: 31.052746 192.168.81.52.22> 192.168.80.51.2057: P 1290581619: 1290581687 (68) ack 941116409 win 8192 
 2: 13: 46: 31.052884 192.168.80.51.2057> 192.168.81.52.22:. ack 1290581687 voittaa 65207 
 3: 13: 46: 38.374583 arp, jolla on 192.168.80.219 kertoa 192.168.82.51 
 4: 13: 46: 38.521655 arp, jolla on 192.168.80.204 kertoa 192.168.82.51 
 5: 13: 46: 39.803120 192.168.81.52.443> 192.168.80.51.3968: P 787673978: 787675438 (1460) ack 3043311886 win 8192 
 6: 13: 46: 39.803150 192.168.81.52.443> 192.168.80.51.3968: P 787675438: 787675589 (151) ack 3043311886 win 8192 
 7: 13: 46: 39.803257 192.168.81.52.443> 192.168.80.51.3968: P 787675589: 787677049 (1460) ack 3043311886 win 8192 
 8: 13: 46: 39.803272 192.168.81.52.443> 192.168.80.51.3968: P 787677049: 787677200 (151) ack 3043311886 win 8192 
 9: 13: 46: 39.803287 192.168.81.52.443> 192.168.80.51.3968: P 787677200: 787677883 (683) ack 3043311886 win 8192 
 9 pakettia näkyy 

Voimme myös katsoa koko paketin CLI: ltä.

 myasa # show capture testcap yksityiskohta paketin numero 5 dump 
 Kaapattu 4532 pakettia 
 5: 13: 46: 39. 54032) 
 0x0000 4500 05dc d310 0000 ff06 c052 c0a8 5134 E .......... R..Q4 
 0x0010 c0a8 5033 01bb 0f80 2ef2 f37a b565 410e ..P3 ....... z.eA. 
 0x0020 5018 2000 5488 0000 1703 0106 4654 db31 P. .T ....... FT.1 
 0x0030 b3d4 0a5b 3295 f719 d82a 8767 6b8b dae1 ... 2 .... *. Gk ... 
 0x0040 0a54 0ea8 c8c4 1c61 c45c e321 452e 6ab6 .T ..... a. \.! Ej 
 0x0050 ba80 4e94 3801 d973 b4fe 97d4 8b2f 9e77 ..N.8..s ..... /. W 

* Näyttöön tulee vain osittainen tulos.

Joten tallenna laitteesi tai kannettavasi snifferejä verkon muihin osiin. Käytä ASA: ta kerätäksesi tarvitsemasi verkkoliikenteen katkelmat. Mutta muista: yleensä ole ystävällinen ASAsi suhteen. Luo mahdollisuuksien mukaan erityisiä ACL-luetteloita tarkentaaksesi liikennettä, jonka haluat vangita. Tarkkaile ASA: ta sieppaamalla paketteja ja säädä puskureita tarvittaessa. Ja kuten aina, katso yksityiskohtaisempia tietoja osoitteesta www.cisco.com.

Haluatko tietää enemmän reitittimen ja kytkimen hallinnasta? Tilaa automaattisesti ilmaiseksi Cisco Technology -uutiskirjeelle, joka toimitetaan joka perjantai!

© Copyright 2020 | mobilegn.com