In diesem Dokument finden Sie Lösungsideen und -vorschläge für die Cisco Adaptive Security Appliance (ASA) der Serie ASA 5500 und die Cisco Security Appliance der Serie PIX 500. In den meisten Fällen sind Firewalls (PIX oder ASA) ein primäres Ziel, wenn Anwendungen oder Netzwerkquellen kaputt gehen oder nicht verfügbar sind, und werden als Ursache für Ausfälle verantwortlich gemacht. Nach einigen Tests auf der ASA oder PIX kann ein Administrator feststellen, ob die ASA/PIX das Problem verursacht.
Weitere Informationen zur schnittstellenbezogenen Fehlerbehebung auf den Cisco Security Appliances finden Sie unter PIX/ASA: Establish and Troubleshoot Connectivity through the Cisco Security Appliance.
Hinweis: Der Schwerpunkt dieses Dokuments liegt auf ASA und PIX. Sobald die Fehlerbehebung für die ASA oder PIX abgeschlossen ist, ist wahrscheinlich eine zusätzliche Fehlerbehebung für andere Geräte (Router, Switches, Server usw.) erforderlich.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf Cisco ASA 5510 mit den Betriebssystemen 7.2.1 und 8.3.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Dieses Dokument kann auch mit folgenden Hardware- und Softwareversionen verwendet werden:
ASA und PIX OS 7.0, 7.1, 8.3 und höher
Firewall Services Module (FWSM) 2.2, 2.3 und 3.1
Hinweis: Bestimmte Befehle und Syntax können je nach Softwareversion variieren.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Im Beispiel wird davon ausgegangen, dass die ASA oder PIX in Produktion ist. Die ASA/PIX-Konfiguration kann relativ einfach (nur 50 Zeilen an Konfiguration) oder komplex (Hunderte bis Tausende von Konfigurationszeilen) sein. Benutzer (Clients) oder Server können sich entweder in einem sicheren Netzwerk (innen) oder in einem unsicheren Netzwerk (DMZ oder außen) befinden.
Die ASA beginnt mit dieser Konfiguration. Die Konfiguration soll dem Labor einen Bezugspunkt geben.
ASA Erstkonfiguration |
---|
ciscoasa#show running-config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list outside_acl extended permit tcp any host 172.22.1.254 eq www access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 no asdm history enable arp timeout 14400 global (outside) 1 172.22.1.253 nat (inside) 1 192.168.1.0 255.255.255.0 !--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later. object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic 172.22.1.253 static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 !--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later. object network obj-172.22.1.254 host 172.22.1.254 nat (inside,outside) static 192.168.1.100 access-group outside_acl in interface outside access-group inside_acl in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Ein Benutzer kontaktiert die IT-Abteilung und meldet, dass Anwendung X nicht mehr funktioniert. Der Vorfall wird an den ASA/PIX-Administrator eskaliert. Der Administrator hat nur wenig Kenntnis von dieser speziellen Anwendung. Bei Verwendung der ASA/PIX erkennt der Administrator, welche Ports und Protokolle die Anwendung X verwendet und was die Ursache des Problems sein könnte.
Der ASA/PIX-Administrator muss so viele Informationen wie möglich vom Benutzer sammeln. Zu den hilfreichen Informationen gehören:
Quell-IP-Adresse - Dies ist normalerweise die Arbeitsstation oder der Computer des Benutzers.
Ziel-IP-Adresse - Die Server-IP-Adresse, mit der der Benutzer oder die Anwendung eine Verbindung herstellen möchte.
Ports und Protokolle der Anwendung
Häufig hat der Administrator das Glück, eine Antwort auf eine dieser Fragen zu erhalten. In diesem Beispiel kann der Administrator keine Informationen sammeln. Eine Überprüfung der ASA/PIX-Syslog-Meldungen ist ideal, wenn der Administrator nicht weiß, wonach er suchen soll, ist das Problem jedoch schwer zu lokalisieren.
Es gibt viele Möglichkeiten, die IP-Adresse des Benutzers zu ermitteln. In diesem Dokument geht es um die ASA und PIX. In diesem Beispiel wird die IP-Adresse anhand der ASA und PIX ermittelt.
Der Benutzer versucht, mit der ASA/PIX zu kommunizieren. Diese Kommunikation kann ICMP, Telnet, SSH oder HTTP sein. Das ausgewählte Protokoll sollte auf der ASA/PIX nur begrenzte Aktivität aufweisen. In diesem Beispiel pingt der Benutzer den internen Anschluss der ASA an.
Der Administrator muss eine oder mehrere dieser Optionen einrichten, und dann muss der Benutzer einen Ping an die interne Schnittstelle der ASA senden.
Syslog
Stellen Sie sicher, dass die Protokollierung aktiviert ist. Die Protokollierungsebene muss auf debug festgelegt werden. Die Protokollierung kann an verschiedene Standorte gesendet werden. In diesem Beispiel wird der ASA-Protokollpuffer verwendet. Möglicherweise benötigen Sie einen externen Protokollierungsserver in Produktionsumgebungen.
ciscoasa(config)#logging enable ciscoasa(config)#logging buffered debugging
Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird angezeigt.
ciscoasa#show logging !--- Output is suppressed. %ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 %ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 !--- The user IP address is 192.168.1.50.
ASA-Erfassungsfunktion
Der Administrator muss eine Zugriffsliste erstellen, die definiert, welchen Datenverkehr die ASA erfassen muss. Nach dem Definieren der Zugriffsliste enthält der Befehl capture die Zugriffsliste und wendet sie auf eine Schnittstelle an.
ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#capture inside_interface access-list inside_test interface inside
Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird angezeigt.
ciscoasa#show capture inside_interface 1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request !--- The user IP address is 192.168.1.50.
Hinweis: Um die Erfassungsdatei auf ein System wie ethereal herunterzuladen, können Sie dies so tun, wie diese Ausgabe zeigt.
!--- Open an Internet Explorer and browse with this https link format: https://[/ ]/capture/ /pcap
Weitere Informationen zur Paketerfassung in ASA finden Sie unter ASA/PIX: Packet Capturing using CLI and ASDM Configuration Example.
Fehlersuche
Der Befehl debug icmp trace wird verwendet, um den ICMP-Datenverkehr des Benutzers zu erfassen.
ciscoasa#debug icmp trace
Der Benutzer sendet Pings an die interne Schnittstelle der ASA (Ping 192.168.1.1). Diese Ausgabe wird auf der Konsole angezeigt.
ciscoasa# !--- Output is suppressed. ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32 ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32 !--- The user IP address is 192.168.1.50.
Um debug icmp trace zu deaktivieren, verwenden Sie einen der folgenden Befehle:
Keine icmp-Ablaufverfolgung debuggen
Undebug icmp trace
Alle deaktivieren, Alle deaktivieren oder Alle ausführen
Jede dieser drei Optionen hilft dem Administrator, die Quell-IP-Adresse zu ermitteln. In diesem Beispiel ist die Quell-IP-Adresse des Benutzers 192.168.1.50. Der Administrator kann mehr über Anwendung X erfahren und die Ursache des Problems ermitteln.
Unter Bezugnahme auf die im Abschnitt Schritt 1 dieses Dokuments aufgeführten Informationen kennt der Administrator nun die Quelle einer X-Anwendungssitzung. Der Administrator ist bereit, mehr über Anwendung X zu erfahren und festzustellen, wo die Probleme auftreten können.
Der ASA/PIX-Administrator muss die ASA auf mindestens einen dieser Vorschläge vorbereiten. Sobald der Administrator bereit ist, startet der Benutzer Anwendung X und beschränkt alle anderen Aktivitäten, da zusätzliche Benutzeraktivitäten Verwirrung stiften oder den ASA/PIX-Administrator irreführen können.
Überwachen von Syslog-Meldungen
Suchen Sie nach der Quell-IP-Adresse des Benutzers, den Sie in Schritt 1 gefunden haben. Der Benutzer startet die Anwendung X. Der ASA-Administrator gibt den Befehl show logging aus und zeigt die Ausgabe an.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
Aus den Protokollen geht hervor, dass die Ziel-IP-Adresse 172.22.1.1, das Protokoll TCP, der Ziel-Port HTTP/80 ist und dass der Datenverkehr an die externe Schnittstelle gesendet wird.
Ändern Sie die Erfassungsfilter.
Der Befehl access-list inside_test wurde bereits verwendet und wird hier verwendet.
ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any !--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA. ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any !--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50. ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#clear capture inside_interface !--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.
Der Benutzer startet die Anwendung X. Der ASA-Administrator gibt dann den Befehl show capture inside_interface aus und zeigt die Ausgabe an.
ciscoasa(config)#show capture inside_interface 1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
Der erfasste Datenverkehr liefert dem Administrator mehrere wertvolle Informationen:
Zieladresse: 172.22.1.1
Port-Nummer: 80/http
Protokoll - TCP (beachten Sie das "S"- oder "syn"-Flag)
Außerdem weiß der Administrator, dass der Datenverkehr für Anwendung X bei der ASA ankommt.
Wenn die Ausgabe die Ausgabe des Befehls show capture inside_interface war, dann erreichte der Anwendungsdatenverkehr entweder nie die ASA, oder der Erfassungsfilter war nicht so eingestellt, dass er den Datenverkehr erfasst:
ciscoasa#show capture inside_interface 0 packet captured 0 packet shown
In diesem Fall sollte der Administrator den Computer des Benutzers sowie alle Router oder anderen Netzwerkgeräte untersuchen, die sich im Pfad zwischen dem Benutzercomputer und der ASA befinden.
Hinweis: Wenn der Datenverkehr an einer Schnittstelle eingeht, zeichnet der Befehl capture die Daten auf, bevor der Datenverkehr von den ASA-Sicherheitsrichtlinien analysiert wird. Beispielsweise verweigert eine Zugriffsliste den gesamten eingehenden Datenverkehr an einer Schnittstelle. Der Befehl capture zeichnet den Datenverkehr weiterhin auf. Die ASA-Sicherheitsrichtlinie analysiert dann den Datenverkehr.
Fehlersuche
Der Administrator ist mit der Anwendung X nicht vertraut und weiß daher nicht, welcher der Debugdienste für die Untersuchung von Anwendung X aktiviert werden soll. Debug ist zu diesem Zeitpunkt möglicherweise nicht die beste Fehlerbehebungsoption.
Mit den in Schritt 2 erfassten Informationen erhält der ASA-Administrator wertvolle Informationen in mehreren Bereichen. Dem Administrator ist bekannt, dass der Datenverkehr an der internen Schnittstelle der ASA, der Quell-IP-Adresse, der Ziel-IP-Adresse und der Serviceanwendung eingeht, die X verwendet (TCP/80). Aus den Syslogs weiß der Administrator auch, dass die Kommunikation ursprünglich erlaubt war.
Der ASA-Administrator möchte bestätigen, dass der Datenverkehr von Anwendung X die ASA verlassen hat, und den zurückkehrenden Datenverkehr vom Server Anwendung X überwachen.
Überwachen von Syslog-Meldungen
Filtern von Syslog-Meldungen für die Quell-IP-Adresse (192.168.1.50) oder die Ziel-IP-Adresse (172.22.1.1). Die Filterung von Syslog-Meldungen über die Befehlszeile ähnelt der Protokollierung anzeigen | Include 192.168.1.50 oder show logging | einschließlich 172.22.1.1. In diesem Beispiel wird der Befehl show logging ohne Filter verwendet. Die Ausgabe wird unterdrückt, um das Lesen zu erleichtern.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-7-609001: Built local-host outside:172.22.1.1 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025) %ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout %ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30 %ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 duration 0:01:00 %ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00
Die Syslog-Meldung zeigt an, dass die Verbindung aufgrund des SYN-Timeouts geschlossen wurde. Dem Administrator wird mitgeteilt, dass keine Antworten des Anwendungs-X-Servers von der ASA empfangen wurden. Die Gründe für das Abbrechen der Syslog-Nachricht können variieren.
Das SYN-Timeout wird protokolliert, weil nach 30 Sekunden, die nach dem Drei-Wege-Handshake-Abschluss auftreten, eine erzwungene Verbindungsbeendigung vorliegt. Dieses Problem tritt in der Regel dann auf, wenn der Server auf eine Verbindungsanforderung nicht reagiert und in den meisten Fällen nicht mit der Konfiguration auf PIX/ASA in Zusammenhang steht.
Informationen zur Behebung dieses Problems finden Sie in der folgenden Checkliste:
Stellen Sie sicher, dass der statische Befehl korrekt eingegeben wurde und sich nicht mit anderen statischen Befehlen überschneidet, z. B.
static (inside,outside) x.x.x.x y.y.y.y netmask 255.255.255.255
Die statische NAT in ASA 8.3 und höher kann wie folgt konfiguriert werden:
object network obj-y.y.y.y host y.y.y.y nat (inside,outside) static x.x.x.x
Stellen Sie sicher, dass eine Zugriffsliste vorhanden ist, um von außen Zugriff auf die globale IP-Adresse zu ermöglichen, und dass diese an die Schnittstelle gebunden ist:
access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www access-group OUTSIDE_IN in interface outside
Für eine erfolgreiche Verbindung mit dem Server muss das Standard-Gateway auf die DMZ-Schnittstelle von PIX/ASA verweisen.
Weitere Informationen zu den Syslog-Meldungen finden Sie unter ASA-Systemmeldungen.
Erstellen eines neuen Erfassungsfilters
Aus zuvor erfassten Datenverkehr- und Syslog-Meldungen weiß der Administrator, dass Anwendung X die ASA über die externe Schnittstelle verlassen sollte.
ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80 !--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT). ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any !--- When you reverse the source and destination information, !--- it allows return traffic to be captured. ciscoasa(config)#capture outside_interface access-list outside_test interface outside
Der Benutzer muss eine neue Sitzung mit Anwendung X starten. Nachdem der Benutzer eine neue Sitzung der Anwendung X initiiert hat, muss der ASA-Administrator den Befehl show capture outside_interface auf der ASA eingeben.
ciscoasa(config)#show capture outside_interface 3 packets captured 1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK> 2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3 packets shown
Die Erfassung zeigt Datenverkehr, der die externe Schnittstelle verlässt, jedoch keinen Antwortverkehr vom Server 172.22.1.1 an. Diese Erfassung zeigt die Daten beim Verlassen der ASA.
Verwenden Sie die Option zur Paketverfolgung.
Aus den vorherigen Abschnitten hat der ASA-Administrator ausreichend Informationen zur Verwendung der Paket-Tracer-Option in der ASA erhalten.
Hinweis: ASA unterstützt den Befehl Packet-Tracer ab Version 7.2.
ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http !--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535. Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 4 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 172.22.1.0 255.255.255.0 outside Phase: 5 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group inside_acl in interface inside access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www Additional Information: Phase: 6 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: NAT Subtype: Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 using netmask 255.255.255.255 Phase: 9 Type: NAT Subtype: host-limits Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Phase: 10 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 11 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 12 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 13 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 14 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 94, packet dispatched to next module Phase: 15 Type: ROUTE-LOOKUP Subtype: output and adjacency Result: ALLOW Config: Additional Information: found next-hop 172.22.1.1 using egress ifc outside adjacency Active next-hop mac address 0030.a377.f854 hits 11 !--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet. Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow
Die wichtigste Ausgabe des Befehls "packet-tracer" ist die letzte Zeile, nämlich "Action: allow".
Die drei Optionen in Schritt 3 zeigen dem Administrator jeweils, dass die ASA nicht für die Probleme mit Anwendung X verantwortlich ist. Der Datenverkehr der Anwendung X verlässt die ASA, und die ASA erhält keine Antwort vom Server der Anwendung X.
Es gibt viele Komponenten, die es der Anwendung X ermöglichen, für Benutzer richtig zu funktionieren. Zu den Komponenten gehören der Computer des Benutzers, der Client-X der Anwendung, das Routing, Zugriffsrichtlinien und der Server-X der Anwendung. Im vorherigen Beispiel haben wir bewiesen, dass die ASA den Datenverkehr von Anwendung X empfängt und weiterleitet. Server- und Anwendungs-X-Administratoren sollten sich jetzt beteiligen. Administratoren sollten überprüfen, ob die Anwendungsdienste ausgeführt werden, alle Protokolle auf dem Server überprüfen und sicherstellen, dass der Datenverkehr des Benutzers vom Server und der Anwendung X empfangen wird.
Sie erhalten folgende Fehlermeldung:
%PIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - reassembly limit of limit bytes exceeded
Erläuterung: Diese Meldung wird angezeigt, wenn der Grenzwert für den Reassemblierungspuffer während der Assemblierung von TCP-Segmenten überschritten wird.
source_address/source_port - Die Quell-IP-Adresse und der Quell-Port des Pakets, das die Verbindung initiiert.
dest_address/dest_port - Die Ziel-IP-Adresse und der Ziel-Port des Pakets, das die Verbindung initiiert.
interface_inside - Der Name der Schnittstelle, an der das Paket ankommt, das die Verbindung initiiert hat.
interface_outside - Der Name der Schnittstelle, auf der das Paket, das die Verbindung initiiert hat, beendet wird.
limit - Die konfigurierte embryonale Verbindungsgrenze für die Datenverkehrsklasse.
Die Lösung für dieses Problem besteht darin, die RTSP-Prüfung in der Sicherheits-Appliance wie dargestellt zu deaktivieren.
policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh no inspect rtsp
Weitere Informationen finden Sie unter Cisco Bug ID CSCsl1529 (nur für registrierte Kunden).
ASA verwirft Datenverkehr mit folgendem Fehler:%ASA-6-110003: Beim Routing wurde der nächste Hop für das Protokoll von der src-Schnittstelle:src IP/src-Port zur dest-Schnittstelle:dest IP/dest-Port-Fehlermeldung nicht gefunden.
Dieser Fehler tritt auf, wenn die ASA versucht, den nächsten Hop in einer Schnittstellen-Routing-Tabelle zu finden. In der Regel wird diese Nachricht empfangen, wenn ASA eine Übersetzung (Xlate) für eine Schnittstelle und eine Route hat, die auf eine andere Schnittstelle verweist. Überprüfen Sie die NAT-Anweisungen auf fehlerhafte Konfigurationen. Durch Beheben der Fehlkonfiguration kann der Fehler behoben werden.
Die Verbindung wird von der ASA blockiert, und es wird folgende Fehlermeldung empfangen:
%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name:source_address/source_port dest interface_name:dest_address/dest_port denied due to NAT reverse path failure.
Bei der Ausführung der NAT versucht die ASA außerdem, das Paket umzukehren und überprüft, ob eine Übersetzung vorliegt. Wenn keine oder eine andere NAT-Übersetzung erkannt wird, liegt eine Diskrepanz vor. Diese Fehlermeldung wird am häufigsten angezeigt, wenn unterschiedliche NAT-Regeln für ausgehenden und eingehenden Datenverkehr mit derselben Quelle und demselben Ziel konfiguriert sind. Prüfen Sie die NAT-Anweisung für den betreffenden Datenverkehr.
Dieser Fehler bedeutet, dass die maximale Anzahl von Verbindungen für einen Server auf einer ASA erreicht wurde. Dies könnte ein Hinweis auf einen DoS-Angriff auf einen Server in Ihrem Netzwerk sein. Verwenden Sie MPF auf der ASA, und reduzieren Sie den Grenzwert für embryonale Verbindungen. Aktivieren Sie außerdem Dead Connection Detection (DCD). Weitere Informationen finden Sie in diesem Konfigurationsausschnitt:
class-map limit match access-list limit ! policy-map global_policy class limit set connection embryonic-conn-max 50 set connection timeout embryonic 0:00:10 dcd ! access-list limit line 1 extended permit tcp any host x.x.x.x
Diese Protokollmeldung wird empfangen, wenn die umgekehrte Pfadüberprüfung aktiviert ist. Führen Sie diesen Befehl aus, um das Problem zu beheben und die Rückwärtspfadüberprüfung zu deaktivieren:
no ip verify reverse-path interface
Diese Fehlermeldung wird auf dem ASA-Gerät empfangen:
%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst rate is 100 per second, max configured rate is 10; Current average rate is 4 per second, max configured rate is 5; Cumulative total count is 2526
Diese Meldung wird von der Bedrohungserkennung aufgrund der Standardkonfiguration generiert, wenn ein ungewöhnliches Datenverkehrsverhalten erkannt wird. Die Nachricht konzentriert sich auf Miralix License 3000, einen TCP/UDP-Port. Suchen Sie das Gerät, das Port 3000 verwendet. Überprüfen Sie die grafischen ASDM-Statistiken auf Bedrohungserkennung, und überprüfen Sie die häufigsten Angriffe, um festzustellen, ob Port 3000 und die Quell-IP-Adresse angezeigt werden. Wenn es sich um ein legitimes Gerät handelt, können Sie die einfache Bedrohungserkennungsrate auf ASA erhöhen, um diese Fehlermeldung zu beheben.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
17-Oct-2006 |
Erstveröffentlichung |