Cisco’s Adaptive Security Device Manager (ASDM) è lo strumento GUI utilizzato per gestire i dispositivi di sicurezza Cisco ASA. In questo blog vi rivelerò alcuni dei miei suggerimenti, trucchi e segreti preferiti che si trovano all’interno di ASDM. Se non hai mai avuto a che fare con esso prima, ASDM è uno strumento di gestione gratuito di configurazione, monitoraggio e risoluzione dei problemi che viene fornito con l’ASA. In poche parole, ASDM gestirà tutte le caratteristiche dell’appliance ASA tra cui FW, IPS e VPN. A differenza del suo fratello maggiore Cisco Security Manager (CSM), ASDM è fatto per configurare un ASA standalone uno alla volta. CSM è lo strumento che useresti per gestire e condividere le politiche tra più ASA, router e apparecchi IPS.
Primo, installare lo strumento. Puoi scaricare ASDM da cisco.com o dal tuo ASA stesso. È quindi possibile eseguirlo all’interno di un browser o scaricare il launcher ASDM in modo che venga eseguito come una propria applicazione sul vostro PC. Raccomando vivamente il launcher ASDM come la strada da percorrere. Il lanciatore ASDM funziona sia per Windows che per MAC OSX (richiede ASDM versione 6.4.5 o successiva). Una volta lanciato avrà l’aspetto dell’immagine qui sotto. Compilate le informazioni e via.
Alcuni segreti sul launcher ASDM. Innanzitutto, per far funzionare il MAC launcher devi installarlo direttamente dal tuo ASA usando un browser web. Attualmente, non c’è un file .dmg scaricabile su cisco.com, solo un file .msi per windows.
In secondo luogo, vedi quella bella casella di controllo “esegui in modalità demo”? Questa può essere una caratteristica molto utile ed è disponibile per tutti. Per abilitarla, spuntate la casella e cliccate sul link che fornisce. Questo ti porterà a cisco.com dove dovrai scaricare il pacchetto ASDM demo .msi.
Una volta installato, ASDM può essere utilizzato in una modalità demo offline su un computer Windows o Mac. La modalità demo fornisce diversi tipi di configurazione tra cui scegliere in modo da poter far finta di essere un ASA FW o un ASA FW con IPS o un ASA con SSLVPN, ecc. La modalità demo ASDM modella persino i log degli eventi. Tutto sommato la modalità demo ASDM ti dà l’esperienza di configurare e monitorare un ASA dal vivo.
Che mi porta a un altro segreto di ASDM, la modalità demo è progettata per windows ma funziona anche sui MAC. Questo non è qualcosa supportato da Cisco o trovato nella documentazione. È più di un hack, ma utile per quelli (come me) che non amano eseguire la fusione sui loro MAC. Ecco come farlo funzionare su un MAC con Lion:
-Primo, sul tuo MAC installa il launcher ASDM collegandoti a un ASA tramite un browser web e cliccando su install launcher.
-Secondo, scarica e installa ASDM demo .msi su un PC Windows.
-Dopo, copia il contenuto della cartella Demo da C:\Program Files\Cisco Systems\ASDM al tuo MAC.
Sul tuo MAC, apri la cartella in cui si trova l’applicazione launcher (di solito applicazioni Cisco) e fai clic destro sull’applicazione launcher. Ora clicca su mostra il contenuto del pacchetto
-Si aprirà una nuova finestra del finder. Naviga fino a /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Finalmente, copia il contenuto della cartella windows demo in questa cartella. Ora il Mac launcher demo dovrebbe funzionare alla grande!
Ora che abbiamo installato ASDM ecco alcuni suggerimenti veloci.
- Vuoi vedere se ci sono aggiornamenti per il tuo specifico tipo e versione di ASA? Usa lo strumento di controllo degli aggiornamenti in ASDM. Questa procedura guidata di aggiornamento del software è molto più veloce e senza errori che andare sul sito web di Cisco per scaricare le immagini e poi caricarle sull’ASA e configurarlo per usarle. Tutto questo ora può essere fatto con circa 4 clic direttamente da ASDM. Un enorme risparmio di tempo!
- Hai bisogno di vedere rapidamente il throughput in/out sulle interfacce ASA? Sulla homepage clicca su un’interfaccia e sotto di essa verranno mostrati i kbps in entrata e in uscita.
- Vuoi vedere rapidamente le tue sessioni VPN e i loro dettagli? Sulla homepage visualizza le sessioni VPN e clicca su dettagli per vedere tutte le informazioni sulle tue sessioni.
- Packet Tracer è uno strumento indispensabile per gli amministratori ASA. Se non ne hai ancora sentito parlare vedi il mio blog precedente. Packet tracer ti permette di modellare come l’ASA reagirà a certi tipi di traffico che si muovono attraverso di esso. La nuova caratteristica che devi conoscere è che ora tracer può modellare il traffico basato su nomi utente e FQDN.
- Hai bisogno di inviare un messaggio di avviso ai tuoi utenti sslvpn senza client? Sotto strumenti troverete proprio questa funzione. Puoi inviare qualsiasi messaggio di avviso ai tuoi utenti.
- Hai bisogno di configurare velocemente il tuo ASA? Hai bisogno di catturare rapidamente i pacchetti dall’ASA? Usa le procedure guidate ASDM! Ti fanno risparmiare tempo ed eliminano gli errori comuni, specialmente per la configurazione della VPN. In questo caso le procedure guidate non sono per dummies.
Non riesci a trovare dove configurare qualcosa in ASDM? Trovalo velocemente usando lo strumento cerca. Lo puoi trovare sulla barra degli strumenti di ASDM. Basta digitare una o due parole chiave di ciò che stai cercando e l’assistente ASDM ti porterà lì.
- Per velocizzare la creazione delle regole del firewall usa il drag and drop degli oggetti. Puoi rapidamente trascinare e rilasciare oggetti e oggetti di servizio nella tua tabella delle regole del firewall. Se la tabella degli oggetti non è aperta, vai su vista/servizi per aprirla.
- Devi trovare dove un oggetto è usato? Cliccate con il tasto destro sull’oggetto e selezionate dove viene usato.
- Vi serve inserire una regola temporanea che scada automaticamente dopo un certo tempo? O forse una regola che scade e permette il traffico solo durante le ore di lavoro per gli appaltatori? Usa l’opzione basata sul tempo nelle tue regole firewall sotto le opzioni avanzate di una regola.
- Hai bisogno di aggiungere rapidamente il NAT a un server o a qualsiasi oggetto host? Usate il nuovo NAT basato sugli oggetti. Questo può essere un enorme risparmio di tempo.
- Vuoi trovare velocemente botnet e altre attività malware? Attiva la licenza del filtro del traffico botnet sul tuo ASA e vedrai tutti i tipi di informazioni utili sul traffico dannoso.
- Pensi di avere una connessione lenta o interrotta al tuo server di autenticazione? Puoi controllare rapidamente le prestazioni da server ad ASA dal tuo ASDM monitoring/properties/aaa server view. Ottimo strumento per aiutare a risolvere la lentezza dell’autenticazione o altri comportamenti errati.
Vuoi vedere chi è attualmente connesso per gestire l’ASA? Hai bisogno di cacciarli via? Puoi fare entrambe le cose dalla schermata Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions.
Devi risolvere i problemi di connessione dell’ASA? Hai bisogno di analizzare i log dell’ASA in tempo reale? Il visualizzatore di log ASDM sotto il monitoraggio è un ottimo strumento proprio per queste attività. E’ più adatto all’analisi dei log in tempo quasi reale. Alcuni degli strumenti davvero interessanti sono create rule, show rule, whois e dns lookup. Ognuno di questi può essere raggiunto facendo clic destro su un messaggio di log. Ancora una volta può essere un grande risparmio di tempo.
Bene, questi sono alcuni dei miei suggerimenti preferiti di ASDM. Se avete alcuni dei vostri da condividere, per favore pubblicateli. Se avete domande fatemelo sapere.
Le opinioni e le informazioni presentate qui sono le mie opinioni personali e non quelle del mio datore di lavoro. Non sono in alcun modo un portavoce ufficiale del mio datore di lavoro.
Altro da Jamey Heary: Skimming della carta di credito: come i ladri possono rubare le informazioni della tua carta senza che tu lo sappia Google Nexus One vs. Top 10 Requisiti di sicurezza del telefonoPerché dovresti sempre distruggere la tua carta d’imbarco I record di noleggio video godono di maggiori protezioni della privacy rispetto ai tuoi dati onlineLa verità sui nuovi attacchi SSL2009 Top Urban Legends in IT Security/a>Vai al Blog di Jamey per altri articoli sulla sicurezza.
*
*
*
*
*
*