Ciscos Adaptive Security Device Manager (ASDM) er det GUI-værktøj, der bruges til at administrere Cisco ASA-sikkerhedsapparaterne. I denne blog vil jeg afsløre nogle af mine foretrukne tips, tricks og hemmeligheder, som findes i ASDM. Hvis du ikke har beskæftiget dig med det før, er ASDM et gratis konfigurations-, overvågnings- og fejlfindingsstyringsværktøj, der følger med ASA’en. I en nøddeskal kan ASDM kort sagt administrere alle funktioner i ASA-apparatet, herunder FW, IPS og VPN. I modsætning til sin storebror Cisco Security Manager (CSM) er ASDM lavet til at konfigurere en standalone ASA én ad gangen. CSM er det værktøj, du vil bruge til at administrere og dele politikker på tværs af flere ASA’er, routere og IPS-apparater.
Først skal du installere værktøjet. Du kan downloade ASDM fra cisco.com eller fra din ASA selv. Du kan derefter køre det inde i en browser eller downloade ASDM launcher, så det kører som sit eget program på din pc. Jeg kan varmt anbefale ASDM launcher som den bedste måde at gå til den. ASDM launcher virker til både Windows og MAC OSX (kræver ASDM version 6.4.5 eller nyere). Når den er startet, vil den se ud som nedenstående billede. Du udfylder oplysningerne, og så er du i gang.
Et par hemmeligheder om ASDM launcher. For det første skal du installere MAC launcher direkte fra din ASA ved hjælp af en webbrowser for at få den til at fungere. I øjeblikket er der ikke en downloadbar .dmg-fil på cisco.com, kun en .msi-fil til Windows.
For det andet kan du se den fede afkrydsningsboks “run in demo mode”? Det kan være en meget praktisk funktion, og den er tilgængelig for alle. Hvis du vil aktivere den, skal du markere feltet og klikke på det link, som det giver. Dette fører dig til cisco.com, hvor du skal downloade ASDM demo .msi-pakken.
Når den er installeret, kan ASDM derefter bruges i en offline demo-tilstand på en windows- eller mac-computer. Demo-tilstanden giver dig flere konfigurationstyper at vælge imellem, så du kan få den til at foregive at være en ASA FW eller en ASA FW med IPS eller en ASA med SSLVPN osv. ASDM-demo-tilstanden modellerer endda hændelseslogfiler. Alt i alt giver ASDM-demo-tilstanden dig oplevelsen af at konfigurere og overvåge en live ASA.
Hvilket bringer mig til en anden ASDM hemmelighed, demo mode er designet til windows, men vil også virke på MACs. Dette er ikke noget, der understøttes af Cisco eller findes i deres dokumenter. Det er mere et hack, men et nyttigt et for dem (som mig), der ikke kan lide at køre fusion på deres MACs. Sådan får du det til at virke på en MAC, der kører Lion:
-Først skal du på din MAC installere ASDM launcher ved at oprette forbindelse til en ASA via en webbrowser og klikke på install launcher.
-Sekundt skal du downloade og installere ASDM demo .msi på en Windows PC.
-Næst skal du kopiere indholdet af Demo mappen fra C:\Program Files\Cisco Systems\ASDM til din MAC.
Op din MAC skal du åbne den mappe, som launcher-appen er i (normalt programmer\Cisco), og højreklikke på launcher-appen. Klik nu på vis pakkeindhold
-Der åbnes et nyt finder-vindue. Naviger til /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Finalt skal du kopiere indholdet af windows-demomappen ind i denne mappe. Nu skulle Mac launcher-demoen fungere fint!
Nu da vi har ASDM installeret, er her nogle hurtige tips.
- Bør du se, om der findes opgraderinger til din specifikke ASA-type og -version? Brug værktøjet check for opdateringer i ASDM. Denne softwareopdateringsguide er meget hurtigere og fejlfri end at gå til ciscos websted for at downloade billederne og derefter uploade dem til ASA’en og konfigurere den til at bruge dem. Alt dette kan nu gøres med ca. 4 klik direkte fra ASDM. Enorm tidsbesparelse!
- Har du brug for hurtigt at se ind/ud gennemstrømning på ASA-interfaces? På hjemmesiden klikker du på en grænseflade, og nedenunder vises input- og output-kbps.
- Bør du hurtigt se dine VPN-sessioner og deres detaljer? På forsiden kan du se VPN-sessionerne og klikke på detaljer for at se alle oplysninger om dine sessioner.
- Packet Tracer er et uundværligt værktøj for ASA-administratorer. Hvis du ikke har hørt om det endnu, kan du se min tidligere blog. Packet Tracer giver dig mulighed for at modellere, hvordan ASA vil reagere på bestemte trafiktyper, der bevæger sig gennem den. Den nye funktion, som du skal kende til, er, at tracer nu kan modellere trafik baseret på brugernavne og FQDN’er.
- Nødt til at sende en advarselsmeddelelse til dine klientløse sslvpn-brugere? Under værktøjer finder du netop en sådan funktion. Du kan sende en vilkårlig advarselsmeddelelse til dine brugere.
- Bør du få din ASA konfigureret hurtigt? Har du brug for at opsamle pakker fra ASA’en hurtigt? Brug ASDM-assistenterne! De sparer dig tid og eliminerer almindelige fejl, især i forbindelse med VPN-konfiguration. I dette tilfælde er wizards ikke for dummies.
Kan du ikke finde hvor i ASDM du skal konfigurere noget? Find det hurtigt ved hjælp af værktøjet look for. Du kan finde det på ASDM-værktøjslinjen. Du skal blot skrive et eller to nøgleord for det, du leder efter, og ASDM-assistenten fører dig derhen.
- For at fremskynde oprettelsen af firewallregler kan du bruge træk og slip af objekter. Du kan hurtigt trække og slippe objekter og tjenesteobjekter ind i din firewallregeltabel. Hvis objekttabellen ikke er åben, skal du gå til visning/tjenester for at åbne den.
- Har du brug for at finde ud af, hvor et objekt bliver brugt? Højreklik på objektet, og vælg hvor det bruges.
- Nødt til at indsætte en midlertidig regel, der udløber automatisk efter et bestemt tidspunkt? Eller måske en regel, der udløber og kun tillader trafik i arbejdstiden for entreprenører? Brug den tidsbaserede indstilling i dine firewallregler under avancerede indstillinger på en regel.
- Når du brug for hurtigt at tilføje NAT til en server eller et værtsobjekt? Brug den nye objektbaserede NAT. Dette kan være en stor tidsbesparelse.
- Har du brug for hurtigt at finde botnet- og anden malware-aktivitet? Slå botnet-trafikfilterlicensen på din ASA til, og du vil se alle mulige nyttige oplysninger om skadelig trafik.
- Tænker du, at du måske har en langsom eller ødelagt forbindelse til din godkendelsesserver? Du kan hurtigt kontrollere serverens til ASA-ydelse fra din ASDM-overvågning/egenskaber/aaa-servervisning. Godt værktøj til at hjælpe med at fejlfinding af langsom autentificering eller anden fejlagtig adfærd.
Har du brug for at se, hvem der i øjeblikket er logget ind for at administrere ASA? Har du brug for at sparke dem ud? Du kan gøre begge dele fra skærmbilledet Overvågning > Egenskaber > Enhedsadgang > ASDM/HTTPS/Telnet/SSH-sessioner.
Bør du fejlfinde i ASA-forbindelserne? Har du brug for at analysere ASA-logfilerne i realtid? ASDM Log viewer under overvågning er et godt værktøj til netop sådanne aktiviteter. Den er bedst egnet til logparsing tæt på eller i realtid. Et par af de rigtig fede værktøjer er create rule, show rule, whois og dns lookup. Alle disse værktøjer kan tilgås ved at højreklikke på en logmeddelelse. Igen kan være en stor tidsbesparelse.
Nå, der er nogle af mine foretrukne ASDM-tips. Hvis du har nogle af dine egne at dele, bedes du sende dem. Hvis du har spørgsmål, lad mig vide.
De udtalelser og oplysninger, der præsenteres her, er mine PERSONLIGE synspunkter og ikke dem af min arbejdsgiver. Jeg er på ingen måde en officiel talsmand for min arbejdsgiver.
Mere fra Jamey Heary: Credit Card Skimming: Hvordan tyve kan stjæle dine kortoplysninger uden at du ved det Google Nexus One vs. Top 10 krav til telefonens sikkerhedVorfor du altid bør makulere dit boardingkort Videolejeoptegnelser har mere beskyttelse af privatlivets fred end dine online dataSandheden om nye SSL-angreb2009 Top Urban Legends in IT Security/a>Gå til Jameys blog for flere artikler om sikkerhed.
*
*
*
*
*
*
*
*
*