Adaptive Security Device Manager (ASDM) společnosti Cisco je nástroj grafického uživatelského rozhraní používaný ke správě bezpečnostních zařízení Cisco ASA. V tomto blogu vám prozradím několik svých oblíbených tipů, triků a tajemství, které se nacházejí uvnitř ASDM. Pokud jste se s ním dosud nesetkali, ASDM je bezplatný nástroj pro správu konfigurace, monitorování a řešení problémů, který se dodává se zařízením ASA. Stručně řečeno, ASDM spravuje všechny funkce zařízení ASA včetně FW, IPS a VPN. Na rozdíl od svého většího bratra Cisco Security Manager (CSM) je ASDM vytvořen pro postupnou konfiguraci samostatného zařízení ASA. CSM je nástroj, který byste použili ke správě a sdílení zásad ve více zařízeních ASA, směrovačích a IPS.
Nejprve je třeba nástroj nainstalovat. Nástroj ASDM si můžete stáhnout z webu cisco.com nebo ze samotného zařízení ASA. Poté jej můžete spustit v prohlížeči nebo stáhnout spouštěč ASDM, takže se spustí jako vlastní aplikace v počítači. Jako vhodnou cestu vřele doporučuji spouštěč ASDM. ASDM launcher funguje pro Windows i MAC OSX (vyžaduje ASDM verze 6.4.5 nebo novější). Po spuštění bude vypadat jako na následujícím obrázku. Vyplníte informace a můžete začít.
Několik tajemství o spouštěči ASDM. Za prvé, aby spouštěč MAC fungoval, musíte jej nainstalovat přímo z ASA pomocí webového prohlížeče. V současné době není na stránkách cisco.com ke stažení soubor .dmg, pouze soubor .msi pro Windows.
Druhé, vidíte to skvělé zaškrtávací políčko „spustit v demo režimu“? To může být velmi užitečná funkce a je k dispozici všem. Chcete-li ji povolit, zaškrtněte políčko a klikněte na odkaz, který je v něm uveden. Tím se dostanete na stránky cisco.com, odkud si musíte stáhnout demo balíček ASDM .msi.
Po instalaci pak můžete ASDM používat v offline demo režimu na počítači se systémem Windows nebo Mac. Demo režim poskytuje na výběr několik typů konfigurace, takže můžete předstírat, že se jedná o FW ASA nebo FW ASA s IPS nebo ASA s SSLVPN atd. Demo režim ASDM dokonce modeluje protokoly událostí. Celkově vám demonstrační režim ASDM poskytne zkušenost s konfigurací a sledováním živého ASA.
Což mě přivádí k dalšímu tajemství ASDM, demo režim je určen pro Windows, ale bude fungovat i na MAC. To není něco, co by Cisco podporovalo nebo co byste našli v tamních dokumentech. Je to spíš hack, ale užitečný pro ty (jako já), kteří neradi spouštějí fusion na svých MACech. Zde je návod, jak jej zprovoznit na MACu se systémem Lion:
-První: Na MACu nainstalujte spouštěč ASDM připojením k ASA prostřednictvím webového prohlížeče a kliknutím na tlačítko install launcher.
-Druhé: Stáhněte a nainstalujte demo ASDM .msi na PC s Windows.
-Následující: Zkopírujte obsah složky Demo z C:\Program Files\Cisco Systems\ASDM na svůj MAC.
Na počítači MAC otevřete složku, ve které se nachází aplikace spouštěče (obvykle applications\Cisco), a klikněte pravým tlačítkem myši na aplikaci spouštěče. Nyní klikněte na možnost Zobrazit obsah balíčku
– Otevře se nové okno vyhledávače. Přejděte do složky /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Nakonec do této složky zkopírujte obsah složky demo systému Windows. Nyní by mělo demo spouštěče pro Mac fungovat skvěle!
Když už máme nainstalovaný ASDM, zde je několik rychlých rad.
- Potřebujete zjistit, zda existují aktualizace pro váš konkrétní typ a verzi ASA? Použijte nástroj pro kontrolu aktualizací v ASDM. Tento průvodce aktualizací softwaru je mnohem rychlejší a bezchybnější než chodit na webové stránky společnosti cisco a stahovat obrazy, pak je nahrávat do zařízení ASA a konfigurovat je, aby je používalo. To vše lze nyní provést asi čtyřmi kliknutími přímo z ASDM.
- Potřebujete rychle zjistit vstupní a výstupní propustnost rozhraní ASA? Na domovské stránce klikněte na rozhraní a pod ním se zobrazí vstupní a výstupní kb/s.
- Potřebujete rychle zobrazit relace VPN a jejich podrobnosti? Na domovské stránce zobrazte relace VPN a kliknutím na podrobnosti zobrazte všechny informace o svých relacích.
- Packet Tracer je nástroj, který musí správci ASA používat. Pokud jste o něm ještě neslyšeli, podívejte se na můj předchozí blog. Packet tracer umožňuje modelovat, jak bude ASA reagovat na určité typy provozu, které jím procházejí. Novinkou, o které byste měli vědět, je, že nyní dokáže tracer modelovat provoz na základě uživatelských jmen a FQDN.
- Potřebujete poslat výstražnou zprávu uživatelům sslvpn bez klienta? Pod nástroji najdete právě takovou funkci. Uživatelům můžete poslat libovolnou výstražnou zprávu.
- Potřebujete rychle nakonfigurovat ASA? Potřebujete rychle zachytit pakety z ASA? Použijte průvodce ASDM! Ušetří vám čas a eliminují časté chyby, zejména při nastavení VPN. V tomto případě průvodci nejsou pro blbce.
Nemůžete najít, kde v ASDM něco nakonfigurovat? Najděte to rychle pomocí nástroje pro hledání. Najdete ho na panelu nástrojů ASDM. Stačí zadat jedno nebo dvě klíčová slova toho, co hledáte, a asistent ASDM vás tam zavede.
- Pro urychlení vytváření pravidel brány firewall použijte přetahování objektů. Do tabulky pravidel brány firewall můžete rychle přetahovat objekty a objekty služeb. Pokud tabulka objektů není otevřená, přejděte na zobrazení/služby a otevřete ji.
- Potřebujete zjistit, kde se objekt používá? Klikněte na objekt pravým tlačítkem myši a vyberte, kde se používá.
- Potřebujete vložit dočasné pravidlo, které po určité době automaticky vyprší? Nebo třeba pravidlo, které vyprší a povolí provoz pouze v pracovní době pro dodavatele? Použijte časovou volbu v pravidlech brány firewall v pokročilých možnostech pravidla.
- Potřebujete rychle přidat NAT na server nebo jakýkoli objekt hostitele? Použijte novou možnost NAT založenou na objektu. To může výrazně ušetřit čas.
- Potřebujete rychle najít botnet a další aktivity malwaru? Zapněte licenci pro filtrování provozu botnetů v zařízení ASA a uvidíte nejrůznější užitečné informace o škodlivém provozu.
- Myslíte si, že máte pomalé nebo nefunkční připojení k ověřovacímu serveru? Výkon serveru k ASA můžete rychle zkontrolovat v zobrazení ASDM monitoring/vlastnosti/aaa server. Skvělý nástroj, který vám pomůže vyřešit problémy s pomalým ověřováním nebo jiným chybným chováním.
Potřebujete zjistit, kdo je aktuálně přihlášen ke správě ASA? Potřebujete je odpojit? Obojí můžete provést na obrazovce Sledování > Vlastnosti > Přístup k zařízení > Relace ASDM/HTTPS/Telnet/SSH.
Potřebujete vyřešit problémy s připojením k ASA? Potřebujete analyzovat protokoly ASA v reálném čase? Prohlížeč protokolů ASDM v části monitorování je příjemným nástrojem právě pro takové činnosti. Nejlépe se hodí pro rozbor protokolů v blízkém nebo reálném čase. Několik opravdu skvělých nástrojů je vytvoření pravidla, zobrazení pravidla, whois a dns lookup. Ke kterémukoli z nich lze získat přístup kliknutím pravým tlačítkem myši na zprávu protokolu. Opět to může být velká úspora času.
Tady jsou některé z mých oblíbených tipů pro ASDM. Pokud máte nějaké vlastní, o které se chcete podělit, zveřejněte je prosím. Pokud máte nějaké dotazy, dejte mi vědět.
Názory a informace zde uvedené jsou mými OSOBNÍMI názory, nikoliv názory mého zaměstnavatele. V žádném případě nejsem oficiálním mluvčím svého zaměstnavatele.
Další články od Jameyho Hearyho: Skimming kreditních karet: Jak mohou zloději ukrást údaje o vaší kartě, aniž byste o tom věděli Google Nexus One vs. 10 nejlepších požadavků na zabezpečení telefonuProč byste měli vždy skartovat palubní vstupenkuZáznamy z videopůjčoven mají větší ochranu soukromí než vaše data onlinePravda o nových útocích SSL2009 Top Urban Legends in IT Security/a>Přejděte na Jameyho blog, kde najdete další články o bezpečnosti.
*
*
*
*
*
*
*