Cisco ASA Accelerated Security Path (ASP)

Cisco
Краткий обзор редко упоминаемых функций Cisco ASA — Accelerated Security Path (ASP). Алгоритм ASA’s Adaptive Security Algorithm ответственно проверяет весь трафик, который проходит через ASA и на основе его политик безопасности разрешает или запрещает трафик.
Каждое новое соединение, попадающее на ASA обрабатывается в Session Management Path (SMP). SMP обрабатывает и создает записи в таблице соединений ASA, если политиками безопасности это соединение разрешено. И в основном уже созданные соединения не требуют дальнейшей проверки и впоследствии обрабатываются Fast Path, кроме например HTTP, FTP и H.232.

SMB и Fast Path работают вместе образуя Accelerated Security Path (ASP). ASP может быть полезно для отладки трафика проходящего через ASA. С помощью sh ASP команд можно отследить прохождение пакетов и найти команды вызывающие asp-drop.

С ASP отладкой мы можем увидеть команды и методы ответственные за «убиение» трафика проходящего через ASA. Есть два набора команд, с значительным количеством дополнительных ключевых слов: show asp drop и show asp table.

Команда show asp drop покажет статистику по запрещенным пакетам с причиной отказа по каждому. Как мы видим, вывод разбит на 2 части: Frame Drop – статистика по пакетам и Flow Drop – статистика по потокам.
ASA# sh asp drop

Frame drop:
  Invalid IP header (invalid-ip-header)                                       10
  Flow is denied by configured rule (acl-drop)                            106440
  First TCP packet not SYN (tcp-not-syn)                                      38
  TCP failed 3 way handshake (tcp-3whs-failed)                               263
  TCP RST/FIN out of order (tcp-rstfin-ooo)                                  216
  TCP packet SEQ past window (tcp-seq-past-win)                               46
  TCP invalid ACK (tcp-invalid-ack)                                           11
  TCP RST/SYN in window (tcp-rst-syn-in-win)                                   3
  TCP dup of packet in Out-of-Order queue (tcp-dup-in-queue)                   1
  Slowpath security checks failed (sp-security-failed)                       306
  FP L2 rule drop (l2_acl)                                                  1585

Last clearing: 03:03:12 UTC Mar 3 2011 by enable_15

Flow drop:
  NAT reverse path failed (nat-rpf-failed)                                     6
  Inspection failure (inspect-fail)                                            4

Last clearing: 03:03:12 UTC Mar 3 2010 by admin

Отчистить эту статистику можно командой clear asp drop.

Вы также можете просмотреть более конкретные результаты при использовании дополнительных ключевых слов, например show asp drop frame ifc-classify – когда в виртуальном режиме сетевого экрана показывает пакеты, которые не были попали в правила или show asp drop flow conn-limit-exceeded – прибавляется, когда значение connection conn-max нарушается.

Другая сторона ASP команда show asp table. В таблицах много инфомарции полезной для отладки прохождения потоков.
Какие таблицы доступны:
ASA# show asp table ?
arp
classify    Show ASP classifier tables
interfaces  Show ASP interfaces tables
routing     Show ASP route tables
socket      Show ASP socket info


Команда show asp table arp может использоваться для просмотра активности хостов. Для просмотра активности в реальном режиме времени возможно потребуется обнулить статистику командой clear asp table arp.
ASA# sh asp table arp

Context: single_vf, Interface: dmz
  192.168.1.2                             Active   0011.d892.bec8 hits 116

Context: single_vf, Interface: inside
  192.168.0.1                             Active   001b.fc73.42b1 hits 124
  78.132.134.58                           Active   001b.2be3.1dd1 hits 205

Last clearing of hits counters: Never


Команда show asp table routing может дать нам информацию о том, как конкретные сети маршрутизируются. Это обеспечивается на основе двух таблиц: входящей и исходящей таблицы маршрутизации для каждой из маршрутизируемых сетей и связанных с ними интерфейсов.
ASA# sh asp table routing
in   	192.168.1.1.64   	255.255.255.192	Inside
out  	192.168.64   	255.255.255.192	Inside
in 	0.0.0.0		0.0.0.0			Outside
out 	0.0.0.0		0.0.0.0			via 192.168.1.254, Outside

И напоследок пример просмотра SMTP трафика разрешенного на inside интерфейсе:
ASA# sh asp table classify domain inspect-smtp
Interface Inside:
in  id=0x1d43bbf0, priority=70, domain=inspect-smtp, deny=false
hits=159, user_data=0x1d1a18f0, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=25, dscp=0x0

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.