Algoritmo de proceso de paquetes Cisco ASA
Aquí hay un diagrama de cómo Cisco ASA procesa el paquete que recibe:
- ¿Cuál es el beneficio de usar la conmutación de paquetes de circuito virtual?
- ¿Cómo funciona la asignación de IP y el enrutamiento de tráfico cuando conecta un conmutador a un enrutador?
- Cómo diferenciar entre Virtual Machine Port Group y VMKernal Port
- ¿Cómo puedo conectar dos redes?
- Necesito saber cuándo se accedió a un hipervínculo en particular, y desde qué computadora en mi red, ¿alguien puede decirme la mejor manera de hacerlo?
Aquí están los pasos individuales en detalle:
- Se alcanza el paquete en la interfaz de entrada.
- Una vez que el paquete alcanza el búfer interno de la interfaz, el contador de entrada de la interfaz se incrementa en uno.
- Cisco ASA primero mira los detalles de su tabla de conexión interna para verificar si se trata de una conexión actual. Si el flujo de paquetes coincide con una conexión actual, se omite la comprobación de la Lista de control de acceso (ACL) y se avanza el paquete. Si el flujo de paquetes no coincide con una conexión actual, se verifica el estado TCP. Si es un paquete SYN o un paquete UDP (Protocolo de datagramas de usuario), el contador de conexión se incrementa en uno y el paquete se envía para una verificación de ACL. Si no es un paquete SYN, el paquete se descarta y se registra el evento.
- El paquete se procesa según las ACL de la interfaz. Se verifica en orden secuencial de las entradas de ACL y si coincide con alguna de las entradas de ACL, avanza. De lo contrario, el paquete se descarta y la información se registra. El recuento de aciertos de ACL se incrementa en uno cuando el paquete coincide con la entrada de ACL.
- El paquete se verifica para las reglas de traducción. Si un paquete pasa por esta verificación, se crea una entrada de conexión para este flujo y el paquete avanza. De lo contrario, el paquete se descarta y la información se registra.
- El paquete está sujeto a una verificación de inspección. Esta inspección verifica si este flujo de paquetes específico cumple o no con el protocolo. Cisco ASA tiene un motor de inspección incorporado que inspecciona cada conexión según su conjunto predefinido de funcionalidad a nivel de aplicación. Si pasó la inspección, se adelanta. De lo contrario, el paquete se descarta y la información se registra. Se implementarán verificaciones de seguridad adicionales si está involucrado un módulo de Seguridad de Contenido (CSC).
- La información del encabezado IP se traduce según la regla de Traducción de direcciones de red / Traducción de direcciones de puerto (NAT / PAT) y las sumas de verificación se actualizan en consecuencia. El paquete se reenvía al Módulo de servicios de seguridad de inspección y prevención avanzada (AIP-SSM) para las comprobaciones de seguridad relacionadas con IPS cuando el módulo AIP está involucrado.
- El paquete se reenvía a la interfaz de salida según las reglas de traducción. Si no se especifica una interfaz de salida en la regla de traducción, la interfaz de destino se decide en función de la búsqueda de ruta global.
- En la interfaz de salida, se realiza la búsqueda de ruta de interfaz. Recuerde, la interfaz de salida está determinada por la regla de traducción que toma la prioridad.
- Una vez que se ha encontrado una ruta de Capa 3 y se identifica el siguiente salto, se realiza la resolución de Capa 2. La reescritura de Capa 2 del encabezado MAC ocurre en esta etapa.
- El paquete se transmite por cable y los contadores de interfaz se incrementan en la interfaz de salida.
El flujo de tráfico sigue siendo el mismo, pero hay cambios de configuración en ACL y NAT ya que la secuencia de ACL y NAT es diferente en 8.2 frente a 8.4.
En la topología anterior, un servidor web interno (con IP 10.1.1.6) está protegido por un ASA. Los clientes en Internet acceden a este servidor web por su dirección IP pública: 209.165.201.15 Antes de la versión 8.3, la interfaz ACL permitiría el tráfico a la IP pública 209.165.201.15. Pero, comenzando con 8.3, la IP real 10.1.1.6 se usa en la configuración. Consulte los ejemplos de configuración a continuación.
Ejemplos de cambios de configuración en 8.3
NAT
La configuración de NAT CLI para 8.3 es radicalmente diferente de cualquier cosa a la que esté acostumbrado. Por lo tanto, para los usuarios de CLI, se recomienda que ingresen a 8.3 con la expectativa de que tendrán que volver a aprender NAT.
Característica NAT
Configuración pre-8.3
estática (interior, exterior) 209.165.201.15 10.1.1.6 máscara de red 255.255.255.255
!
lista de acceso fuera_en permiso extendido tcp cualquier host
access-group outside_in en la interfaz externa
8.3 Configuración
NAT estático
estática (interior, exterior) 209.165.201.15 10.1.1.6 máscara de red 255.255.255.255
Opción 1 (preferida)
red de objetos obj-10.1.1.6
host 10.1.1.6
nat (interior, exterior) estático 209.165.201.15
opcion 2
red de objetos server_real
host 10.1.1.6
red de objetos server_global
host 209.165.201.15
!
fuente nat (interior, exterior) estática server_real server_global
PAT dinámico
nat (dentro) 1 10.1.1.0 255.255.255.0
global (exterior) 1 209.165.201.254
red de objetos internal_net
subred 10.1.1.0 255.255.255.0
!
red de objetos internal_net
nat (interior, exterior) dinámico 209.165.201.254
NAT dinámica con sobrecarga de interfaz
nat (dentro) 1 10.1.1.0 255.255.255.0
interfaz global (exterior) 1
global (exterior) 1 209.165.201.1-209.165.201.2
red de objetos NAT_Pool
rango 209.165.201.2 209.165.201.50
red de objetos internal_net
subred 10.1.1.0 255.255.255.0
!
red de objetos internal_net
Interfaz NAT_Pool dinámica nat (interior, exterior)
Cambios de ACL
Aunque la sintaxis de las ACL no ha cambiado mucho (solo se agregaron capacidades para nuevos objetos), el cambio significativo es que todas las direcciones IP enumeradas en las ACL que se aplican a una interfaz se convertirán (en la actualización) del uso global (es decir: direcciones IP traducidas o posteriores a NAT), para usar la dirección IP real. Veamos un ejemplo.
Configuración pre-8.3
estática (interior, exterior) 209.165.201.15 10.1.1.6 máscara de red 255.255.255.255
!
lista de acceso fuera_en permiso extendido tcp cualquier host 209.165.201.15
access-group outside_in en la interfaz externa
8.3 Configuración
red de objetos obj-10.1.1.6
host 10.1.1.6
nat (interior, exterior) estático 209.165.201.15
!
lista de acceso fuera_en permiso extendido tcp cualquier host 10.1.1.6
access-group outside_in en la interfaz externa
Fuente – ASA 8.2: Flujo de paquetes a través de un firewall ASA
Actualización ASA 8.3: lo que necesita saber