Trabalho com captações e Pacote-projétil luminoso FTD

Transcrição

1 Trabalho com captações e Pacote-projétil luminoso FTD Índice Introdução Componentes usados Topologia Processamento do pacote FTD Trabalho com captações do Snort-motor Trabalhar com Snort-motor captura (com filtros do tcpdump) Exemplos do filtro do tcpdump Trabalho com captações do motor FTD ASA Trabalho com captações do motor FTD ASA? Exportando uma captação usando o HTTP Trabalho com captações do motor FTD ASA? Exportando uma captação usando FTP/TFTP/SCP Trabalho com captações do motor FTD ASA? Seguindo um pacote Usando a utilidade do pacote-projétil luminoso FTD Documentos relacionados Introdução Este documento descreve como trabalhar com captações da defesa da ameaça da potência de fogo (FTD) e utilidades do pacote-projétil luminoso. As capturas de pacote de informação são uma das ferramentas de Troubleshooting as mais de uso geral. Os casos do uso das capturas de pacote de informação são: Para mostrar que um pacote chega no dispositivo Para mostrar que um pacote sae do dispositivo Para mostrar que um pacote está deixado cair por um dispositivo (por exemplo ASA O ASP deixa cair) Em FTD os pacotes podem ser capturados por dois motores: 1. Motor ASA 2. Motor do Snort Componentes usados ASA5515X que executa o código FTD (construção 330) Centro de gerenciamento da potência de fogo (FMC) que executa (construção 330) Topologia

2 Processamento do pacote FTD O processamento do pacote FTD pode ser visualizado como segue: 1. Um pacote incorpora a interface de ingresso e é segurado pelo motor ASA 2. Se a política dita o pacote está inspecionado pelo motor do Snort 3. O motor do Snort retorna uma sentença (por exemplo whitelist, lista negra) para o pacote 4. As gotas do motor ASA ou para a frente o pacote baseadas no Snort? sentença s Baseado na arquitetura acima as captações FTD podem ser tomadas em 2 lugares diferentes: Trabalho com captações do Snort-motor Pré-requisitos Há uma política do controle de acesso (ACP) aplicada em FTD que permite que o tráfego ICMP vá completamente. A política tem igualmente uma política da intrusão aplicada:

3 Requisitos 1. Permita a captação no modo FTD CLISH não usando nenhum filtro 2. Sibile com o FTD e verifique a saída da captação Solução Passo 1: O início de uma sessão ao console FTD ou o SSH à relação br1 e permitem a captação no modo FTD CLISH não usando nenhum filtro > capture-trafficplease choose domain to capture traffic from: 0 - br1 1 - RouterSelection? 1Please specify tcpdump options desired.(or enter '?' for a list of supported options)options: Em FTD 6.0.x o comando é: > system support capture-traffic Passo 2: Sibile com o FTD e verifique a saída da captação > capture-trafficplease choose domain to capture traffic from: 0 - br1 1 - RouterSelection? 1Please specify tcpdump options desired.(or enter '?' for a list of supported options)options:12:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 1, length 8012:52: IP olab-vl647-gw.cisco.com > olab-vl603- gw.cisco.com: ICMP echo reply, id 0, seq 1, length 8012:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 2, length 8012:52: IP olabvl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 2, length 8012:52: IP olab-vl603-gw.cisco.com > olab-vl647-gw.cisco.com: ICMP echo request, id 0, seq 3, length 8012:52: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 3, length 8012:52: IP olab-vl603-gw.cisco.com > olab-vl647- gw.cisco.com: ICMP echo request, id 0, seq 4, length 8012:52: IP olab-vl647- gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 0, seq 4, length 80^C <- to exit press CTRL + C

4 Trabalhar com Snort-motor captura (com filtros do tcpdump) Requisitos 1. Permita a captação no modo FTD CLISH usando um filtro para IP Sibile com o FTD e verifique a saída da captação Solução Passo 1: Permita a captação no modo FTD CLISH usando um filtro para IP > capture-trafficplease choose domain to capture traffic from: 0 - br1 1 - RouterSelection? 1Please specify tcpdump options desired.(or enter '?' for a list of supported options)options: host Passo 2: Sibile com o FTD e verifique a captação output: 13:28: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 0, length 8013:28: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 1, length 8013:28: IP olab-vl647-gw.cisco.com > olab-vl603- gw.cisco.com: ICMP echo reply, id 3, seq 2, length 8013:28: IP olab-vl647-gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 3, length 8013:28: IP olab-vl647- gw.cisco.com > olab-vl603-gw.cisco.com: ICMP echo reply, id 3, seq 4, length 80 Você pode usar? - n? opção para ver os anfitriões e os números de porta no formato numérico. Por exemplo a captação acima será mostrada como: > capture-trafficplease choose domain to capture traffic from: 0 - br1 1 - RouterSelection? 1Please specify tcpdump options desired.(or enter '?' for a list of supported options)options: - n host :29: IP > : ICMP echo reply, id 5, seq 0, length 8013:29: IP > : ICMP echo reply, id 5, seq 1, length 8013:29: IP > : ICMP echo reply, id 5, seq 2, length 8013:29: IP > : ICMP echo reply, id 5, seq 3, length 8013:29: IP > : ICMP echo reply, id 5, seq 4, length 80 Exemplos do filtro do tcpdump Exemplo 1 Para capturar a porta IP ou de Dst IP= e de Src de Src ou a porta de Dst = o TCP/UDP 23: Options: -n host and port 23 Exemplo 2 Para capturar a porta de Src IP= e de Src = o TCP/UDP 23: Options: -n src and src port 23 Exemplo 3 Para capturar a porta de Src IP= e de Src = o TCP 23:

5 Options: -n src and tcp and src port 23 Exemplo 4 Para capturar Src IP= e ver o MAC address dos pacotes adicionar a opção e : Options: -ne src :57: c:41:6a:a1:2b:f6 > a8:9d:21:93:22:90, ethertype IPv4 (0x0800), length 58: > : Flags [S.], seq , ack , win 8192, options [mss 1380], length 0 Exemplo 5 Para retirar após ter capturado os pacotes 10: Options: -n -c 10 src :03: IP > : Flags [.], ack , win 32768, length 018:03: IP > : Flags [P.], ack 1, win 32768, length 218:03: IP > : Flags [P.], ack 1, win 32768, length 1018:03: IP > : Flags [.], ack 3, win 32768, length 018:03: IP > : Flags [P.], ack 3, win 32768, length 218:03: IP > : Flags [.], ack 5, win 32768, length 018:03: IP > : Flags [P.], ack 5, win 32768, length 1018:03: IP > : Flags [.], ack 7, win 32768, length 018:03: IP > : Flags [P.], ack 7, win 32768, length 1218:03: IP > : Flags [.], ack 9, win 32768, length 0 Exemplo 6 Para escrever uma captação a um arquivo com nome capture.pcap e copiá-la através do FTP ao servidor remoto: Options: -w capture.pcap host CTRL + C <- to stop the capture> system file copy ftp / capture.pcapenter password for ftp@ :copying capture.pcapcopy successful.> Trabalho com captações do motor FTD ASA Requisitos 1. Permita 2 captações em FTD usando os seguintes filtros: IP da fonte IP de Destino Protocolo ICMP Interface INTERNA IP da fonte IP de Destino Protocolo ICMP Interface EXTERNA

6 2. Sibile do Host-a ( ) o Host-b ( ) e verifique as captações. Solução Passo 1: Permitindo as captações: > capture CAPI interface INSIDE match icmp host host > capture CAPO interface OUTSIDE match icmp host host Passo 2: Verificando as captações usando o CLI Sibilo do Host-a ao Host-b: > show capturecapture CAPI type raw-data interface INSIDE [Capturing bytes] match icmp host host capture CAPO type raw-data interface OUTSIDE [Capturing bytes] match icmp host host As 2 captações têm os tamanhos diferentes devido ao encabeçamento do dot1q na interface interna. Isto pode ser mostrado na seguinte saída: > show capture CAPI8 packets captured 1: 17:24: Q vlan#1577 P > : icmp: echo request 2: 17:24: Q vlan#1577 P > : icmp: echo reply 3: 17:24: Q vlan#1577 P > : icmp: echo request 4: 17:24: Q vlan#1577 P > : icmp: echo reply 5: 17:24: Q vlan#1577 P > : icmp: echo request 6: 17:24: Q vlan#1577 P > : icmp: echo reply 7: 17:24: Q vlan#1577 P > : icmp: echo request 8: 17:24: Q vlan#1577 P > : icmp: echo reply8 packets shown > show capture CAPO8 packets captured 1: 17:24: > : icmp: echo request 2: 17:24: > : icmp: echo reply 3: 17:24: > : icmp: echo request 4: 17:24: > : icmp: echo reply 5: 17:24: > : icmp: echo request 6: 17:24: > : icmp: echo reply 7: 17:24: > : icmp: echo request 8: 17:24: > : icmp: echo reply8 packets shown Trabalho com captações do motor FTD ASA? Exportando uma captação usando o HTTP Requisitos Exporte as captações recolhidas o cenário anterior usando um navegador

7 Solução A fim exportar as captações que usam o navegador lá é necessidade: 1. Permita o servidor HTTPS 2. Permita o acesso HTTPS O servidor HTTPS é desabilitado à revelia e nenhum acesso é permitido: > show running-config http > Passo 1: Navegue aos dispositivos > aos ajustes da plataforma, clique sobre a política nova e selecione ajustes da defesa da ameaça: Especifique o nome e o destino do dispositivo da política: Passo 2: Permita o servidor HTTPS e adicionar a rede que deve ser permitida alcançar o dispositivo FTD sobre o HTTPS:

8 Salvar e distribua Dica Quando você distribuir a política você pode permitir debuga o HTTP a fim ver começar do serviço HTTP: > debug http 255debug http enabled at level 255.http_enable: Enabling HTTP serverhttp server starting. Está aqui o resultado em FTD CLI: > unebug all> show run httphttp server enablehttp INSIDE Abra um navegador no Host-a ( ) e use a seguinte URL para transferir a primeira captação:

9 Para a referência /capture/CAPI/pcap/CAPI. pcap CAPI/pcap/CAPI.pcap / CAPI.pcap Para a segunda captação: IP da interface de dados FTD onde o Server do HTTP é permitido O nome da captação FTD O nome do arquivo que será transferido Trabalho com captações do motor FTD ASA? Exportando uma captação usando FTP/TFTP/SCP Requisitos Exporte as captações recolhidas os cenários anteriores usando protocolos FTP/TFTP/SCP

10 Solução Exportando uma captação para um servidor FTP: firepower# copy /pcap capture:capi capture name [CAPI]?Address or name of remote host [ ]?Destination username [ftp_username]?destination password [ftp_password]?destination filename [CAPI.pcap]?!!!!!!114 packets copied in secs firepower# Exportando uma captação para um servidor TFTP: firepower# copy /pcap capture:capi tftp:// source capture name [CAPI]?Address or name of remote host [ ]?Destination filename [CAPI]?!!!!!!!!!!!!!!!!346 packets copied in 0.90 secs firepower# Exportando uma captação para um server SCP: firepower# copy /pcap capture:capi capture name [CAPI]?Address or name of remote host [ ]?Destination username [scp_username]?destination filename [CAPI]?The authenticity of host ' ( )' can't be established.rsa key fingerprint is <cb:ca:9f:e9:3c:ef:e2:4f:20:f5:60:21:81:0a:85:f9:02:0d:0e:98:d0:9b:6c:dc:f9:af:49:9e:39:36:96:33 >(SHA256).Are you sure you want to continue connecting (yes/no)? yeswarning: Permanently added ' ' (SHA256) to the list of known hosts.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!454 packets copied in secs (151 packets/sec) firepower# Trabalho com captações do motor FTD ASA? Seguindo um pacote Requisitos Permita uma captação em FTD usando os seguintes filtros: IP da fonte IP de Destino Protocolo ICMP Interface INTERNA Traçado do pacote sim Número de pacotes 100 de seguimento Sibile do Host-a ( ) o Host-b ( ) e verifique as captações.

11 Solução Seguir um pacote real pode ser muito útil para pesquisar defeitos problemas de conectividade. Reserva ver todas as verificações internas que um pacote está atravessando. Adicionar? siga o detalhe? as palavras-chaves e especificam a quantidade de pacotes que serão seguidos. À revelia o FTD segue os primeiros pacotes de ingresso dos 50 pés. Permita neste caso a captação com detalhe do traço para os primeiros 100 pacotes que FTD recebe na interface interna: > capture CAPI2 interface INSIDE trace detail trace-count 100 match icmp host host Sibile do Host-a ao Host-b e verifique o resultado: Estão aqui os pacotes capturados: > show capture CAPI28 packets captured 1: 18:08: Q vlan#1577 P > : icmp: echo request 2: 18:08: Q vlan#1577 P > : icmp: echo reply 3: 18:08: Q vlan#1577 P > : icmp: echo request 4: 18:08: Q vlan#1577 P > : icmp: echo reply 5: 18:08: Q vlan#1577 P > : icmp: echo request 6: 18:08: Q vlan#1577 P > : icmp: echo reply 7: 18:08: Q vlan#1577 P > : icmp: echo request 8: 18:08: Q vlan#1577 P > : icmp: echo reply8 packets shown Está aqui um traço do primeiro pacote. As peças interessantes são: Fase 12 onde pode ser considerado o fluxo dianteiro. Esta é a disposição da expedição do motor ASA (eficazmente o ordem de operação interno) Fase 13 onde FTD envia o pacote para roncar exemplo Fase 14 onde a sentença do Snort é considerada > show capture CAPI2 packet-number 1 trace detail8 packets captured 1: 18:08: c fec a89d x8100 Length: Q vlan#1577 P > : icmp: echo request (ttl 128, id 3346)Phase: 1Type: CAPTURE... output omitted...phase: 12Type: FLOW-CREATIONSubtype:Result: ALLOWConfig:Additional Information:New flow created with id 195, packet dispatched to next modulemodule information for forward flow...snp_fp_inspect_ip_optionssnp_fp_snortsnp_fp_inspect_icmpsnp_fp_adjacencysnp_fp_fragmentsnp_if c_stat Module information for reverse flow...snp_fp_inspect_ip_optionssnp_fp_inspect_icmpsnp_fp_snortsnp_fp_adjacencysnp_fp_fragmentsnp_if c_stat Phase: 13Type: EXTERNAL-INSPECTSubtype:Result: ALLOWConfig:Additional Information:Application: 'SNORT Inspect' Phase: 14Type: SNORTSubtype:Result: ALLOWConfig:Additional Information:Snort Verdict: (pass-packet) allow this packet... output omitted...result:input-interface: OUTSIDEinput-status: upinput-line-status: upoutput-interface: OUTSIDEoutput-status: upoutput-line-status: upaction: allow 1 packet shown> Usando a utilidade do pacote-projétil luminoso FTD

12 Requisitos Use a utilidade do pacote-projétil luminoso para o seguinte fluxo e verifique como o pacote será segurado internamente: Interface de ingresso INTERNA Protocolo Requisição de eco ICMP IP da fonte IP de Destino Solução o Pacote-projétil luminoso gerará um pacote virtual. Enquanto se pode ver abaixo do pacote é um assunto a roncar inspeção, mas captura no motor do Snort mostra que o pacote virtual não está sendo enviado realmente através dele: > packet-tracer input INSIDE icmp Phase: 1Type: CAPTURESubtype:Result: ALLOWConfig:Additional Information:MAC Access list Phase: 2Type: ACCESS- LISTSubtype:Result: ALLOWConfig:Implicit RuleAdditional Information:MAC Access list Phase: 3Type: ROUTE-LOOKUPSubtype: Resolve Egress InterfaceResult: ALLOWConfig:Additional Information:found next-hop using egress ifc OUTSIDE Phase: 4Type: ACCESS- LISTSubtype: logresult: ALLOWConfig:access-group CSM_FW_ACL_ globalaccess-list CSM_FW_ACL_ advanced permit ip rule-id event-log bothaccess-list CSM_FW_ACL_ remark rule-id : ACCESS POLICY: FTD Mandatory/1access-list CSM_FW_ACL_ remark rule-id : L4 RULE: Allow ICMPAdditional Information: This packet will be sent to snort for additional processing where a verdict will be reached... output omitted... Phase: 12Type: FLOW-CREATIONSubtype:Result: ALLOWConfig:Additional Information:New flow created with id 203, packet dispatched to next module Result:input-interface: INSIDEinput-status: upinput-line-status: upoutput-interface: OUTSIDEoutput-status: upoutput-line-status: upaction: allow > Documentos relacionados Guia de referência de comando da defesa da ameaça da potência de fogo Notas da versão de sistema da potência de fogo, versão Manual de configuração da defesa da ameaça da potência de fogo de Cisco para o gerenciador de dispositivo da potência de fogo, versão 6.1