Benutzer-Werkzeuge

Webseiten-Werkzeuge


de:sysadmin:tools:cisco_asa

Cisco ASA Mini-Spickzettel

paket trace - der Simulationsmodus

Mit dem Pakettracer kann man sich anzeigen lassen, was mit einem genau definiertes IP-Paket passieren würde

packet-tracer input inside tcp 192.168.1.42 63659 193.201.12.55 80

Am Ende steht hier:

Action: allow

das tcpdump von cisco: capture

Pakete kann man auf viele Weisen mitschneiden. Man kann z.B. erst mal eine access-list zusammenbauen, die definiert, was mitgeschnitten werden soll.

Oder (etwas einfacher) kann man auch einfach sagen, dass man alles von einer bestimmten IP-Adresse mitgeschnitten haben möchte.

capture einfach

caputure definieren:

capture meinsniff interface inside match ip host 192.168.1.42 any

oder nach Port:

capture meinsniff interface outside match tcp any any eq 20000

Wenn man sich gleich mal ansehen will, was da mitgeschnitten wird:

capture meinsniff real-time

Mit STRG+C stoppt man die Ausgabe. Die Asa zeichnet allerdings weiter auf … deswegen sollte man seine captures wieder löschen mit

no capture meinsniff

man kann das natürlich auch erst mal auf die Platte kopieren:

copy capture disk0

capture mit Access-List

Zuerst eine Access-Liste definieren, die den Traffic definiert, den man nachher ansehen will

access-list sniffmyping remark icmp auf 2 ips mitschneiden
access-list sniffmyping extended permit icmp any host 172.17.214.11
access-list sniffmyping extended permit icmp host 172.17.214.11 any
access-list sniffmyping extended permit icmp any host 192.168.42.2
access-list sniffmyping extended permit icmp host 192.168.42.2 any

dann capture definieren (diese Capture-Regel schaltet gleich auf "gleich anzeigen"):

capture mysniff interface outside access-list sniffmyping circular-buffer real-time

Man kann in den Access-Listen per deny auch Regeln definieren, was man nicht beobachten möchte, wenn man auf dem selben Interface von "meinrechner" z.B. per SSH und HTTPS zugreift …

access-list sniff2 extended permit icmp any any
access-list sniff2 extended deny tcp host meinrechner any
access-list sniff2 extended deny tcp any host meinrechner
access-list sniff2 extended permit tcp any any
access-list sniff2 extended deny udp any any eq ntp
access-list sniff2 extended permit udp any any
access-list sniff extended permit ah any any 
access-list sniff extended permit esp any any 

vpn debugging

welche roadwarrior sind online?

sh vpn-sessiondb remote

welche vpn-tunnel sind oben?

show vpn-sessiondb l2l

Tunnel runterfahren:

vpn-sessiondb logoff index 2

Detaillierte Infos zum VPN mit einem bestimmten anderen VPN-Server:

show crpyto ipsec sa peer 257.18.0.9

"Umblättermodus" abschalten

wer sich nicht durch Seitenlange

←- more –>

sh run - Outputs

←- more –>

durchblättern will, setzt folgendes:

terminal pager 0 

Dateien von der Asa "Festplatte" herunterladen (https)

mit https:

wget https://user:meingeheimespasswort@asa01/admin/disk0/asa831-k8.bin --no-check-certificate

Dateien auf die Asa "Festplatte" hochladen (scp)

mit scp:

scp test.txt user@asa01:test.txt

leider mit Passwortabfrage :-/ 1)

damit das funktioniert, muss

ssh scopy enable

gesetzt sein

weil Passwort-Abfragen häufig stören: asa-copy-file

VPN Debugging (ipsec site2site)

debug crypto ipsec 20
debug crypto isakmp 20

und ausserdem: Paket-Tracing (vielleicht antwortet die Gegenstelle gar nicht …)

1) ssh-keys gehen ja nicht
de/sysadmin/tools/cisco_asa.txt · Zuletzt geändert: 2014-01-28 14:13 von hella

Seiten-Werkzeuge