Dead Packets

02/09/2011

Traceroute passando pelo firewall Cisco ASA

Filed under: cisco,dicas e truques — drak @ 8:40 PM

Depois de um tempo inativo, finalmente um post novo, pequeno para começar com calma 😛

Um recurso muito útil para analisar se determinado tráfego está passando pelos firewalls que você administra é o traceroute, este comando envia pacotes (geralmente UDP se for Linux, ICMP se Windows) com TTL iniciando em 1 e incrementando-os a cada 3 pacotes, ele espera como retorno um pacote ICMP Time Exceeded (type 11, code 0).

Quando um equipamento L3 recebe um pacote antes de roteá-lo ele irá subtrair 1 do TTL do pacote a ser roteado, caso esse valor chegue a zero o roteador irá devolver um pacote de erro ICMP Time Exceeded e o IP da interface que entrou o pacote erá o visto nesse retorno.

Uma dificuldade associada a realizar um traceroute num ambiente que possui firewalls Cisco (tanto PIX quanto ASA) é que, devido à configuração padrão destes equipamentos não subtrairem TTL como um outro device que roteia qualquer os mesmos não aparecem no traceroute, ou seja, ao fazer um traceroute entre a rede interna e a DMZ você não irá ver nenhum IP da interface do firewall no resultado.

Essa tecnologia funciona dessa maneira pois provê uma segurança adicional, tornando o firewall “invisível” na rede, porém há casos de redes complexas em que a necessidade de facilitar o troubleshooting é maior do que o risco de expor o IP do firewall em um traceroute, e para esse caso é possível implementar uma configuração no ASA para que ele apareça no traceroute, basta seguir o seguinte artigo da Cisco: Make the Firewall Show Up in a Traceroute in ASA/PIX

Referências
ICMPv4 Traceroute Messages
Traceroute
ASA/PIX/FWSM: Handling ICMP Pings and Traceroute

Anúncios

Deixe um comentário »

Nenhum comentário ainda.

RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Blog no WordPress.com.

%d blogueiros gostam disto: