Cisco’s Adaptive Security Device Manager (ASDM) ist das GUI-Tool, das für die Verwaltung der Cisco ASA Security Appliances verwendet wird. In diesem Blog verrate ich Ihnen einige meiner Lieblingstipps, -tricks und -geheimnisse, die im ASDM zu finden sind. Falls Sie sich noch nicht damit beschäftigt haben: ASDM ist ein kostenloses Management-Tool für die Konfiguration, Überwachung und Fehlerbehebung, das mit ASA geliefert wird. Kurz gesagt, verwaltet ASDM alle Funktionen der ASA-Appliance, einschließlich FW, IPS und VPN. Im Gegensatz zu seinem großen Bruder, dem Cisco Security Manager (CSM), ist ASDM dafür gedacht, einen einzelnen ASA zu konfigurieren. CSM ist das Tool, das Sie verwenden würden, um Richtlinien für mehrere ASAs, Router und IPS-Appliances zu verwalten und gemeinsam zu nutzen.
Zunächst muss das Tool installiert werden. Sie können ASDM von cisco.com oder von Ihrem ASA selbst herunterladen. Sie können es dann in einem Browser ausführen oder den ASDM Launcher herunterladen, damit es als eigene Anwendung auf Ihrem PC läuft. Ich empfehle den ASDM Launcher als die beste Lösung. Der ASDM Launcher funktioniert sowohl unter Windows als auch unter MAC OSX (erfordert ASDM Version 6.4.5 oder höher). Nach dem Start sieht es wie das folgende Bild aus. Sie geben die Daten ein und los geht’s.
Ein paar Geheimnisse zum ASDM Launcher. Damit der MAC-Launcher funktioniert, müssen Sie ihn direkt von Ihrem ASA über einen Webbrowser installieren. Derzeit gibt es keine herunterladbare .dmg-Datei auf cisco.com, nur eine .msi-Datei für Windows.
Zweitens: Sehen Sie das coole Kontrollkästchen „im Demomodus ausführen“? Dies kann eine sehr praktische Funktion sein und steht jedem zur Verfügung. Um sie zu aktivieren, markieren Sie das Kästchen und klicken Sie auf den darin enthaltenen Link. Dadurch werden Sie zu cisco.com weitergeleitet, wo Sie das ASDM-Demo.msi-Paket herunterladen müssen.
Nach der Installation kann ASDM in einem Offline-Demomodus auf einem Windows- oder Mac-Computer verwendet werden. Der Demomodus bietet Ihnen mehrere Konfigurationstypen zur Auswahl, so dass Sie eine ASA FW oder eine ASA FW mit IPS oder eine ASA mit SSLVPN usw. vortäuschen können. Der ASDM-Demomodus bildet sogar Ereignisprotokolle ab. Alles in allem gibt Ihnen der ASDM-Demomodus die Erfahrung der Konfiguration und Überwachung eines echten ASA.
Was mich zu einem weiteren ASDM-Geheimnis bringt: Der Demomodus ist für Windows konzipiert, funktioniert aber auch auf MACs. Das wird von Cisco nicht unterstützt und ist auch nicht in den Unterlagen zu finden. Es ist eher ein Hack, aber ein nützlicher für diejenigen (wie mich), die Fusion nicht auf ihren MACs laufen lassen wollen. So funktioniert es auf einem MAC mit Lion:
-Erstens: Installieren Sie auf Ihrem MAC den ASDM-Launcher, indem Sie sich über einen Webbrowser mit einem ASA verbinden und auf „Launcher installieren“ klicken.
-Zweitens: Laden Sie die ASDM-Demo.msi herunter und installieren Sie sie auf einem Windows-PC.
Nächstens: Kopieren Sie den Inhalt des Demo-Ordners von C:\Program Files\Cisco Systems\ASDM auf Ihren MAC.
-Öffnen Sie auf Ihrem MAC den Ordner, in dem sich die Launcher-App befindet (in der Regel Anwendungen\Cisco) und klicken Sie mit der rechten Maustaste auf die Launcher-App. Klicken Sie nun auf Paketinhalt anzeigen
Ein neues Finder-Fenster wird geöffnet. Navigieren Sie zu /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Schließlich kopieren Sie den Inhalt des Windows-Demo-Ordners in diesen Ordner.
Nachdem wir ASDM installiert haben, folgen nun einige kurze Tipps.
- Müssen Sie sehen, ob es Upgrades für Ihren spezifischen ASA-Typ und Ihre Version gibt? Verwenden Sie das Tool „Check for Updates“ in ASDM. Dieser Software-Update-Assistent ist viel schneller und fehlerfreier als das Herunterladen der Images von der Cisco-Website, das anschließende Hochladen auf den ASA und das Konfigurieren zur Verwendung dieser Images. Dies alles kann nun mit etwa 4 Klicks direkt aus ASDM heraus erledigt werden. Eine enorme Zeitersparnis!
- Möchten Sie schnell den Ein- und Ausgabedurchsatz auf ASA-Schnittstellen sehen? Klicken Sie auf der Startseite auf eine Schnittstelle und darunter werden die Eingangs- und Ausgangs-Kbps angezeigt.
- Müssen Sie Ihre VPN-Sitzungen und deren Details schnell sehen? Klicken Sie auf der Startseite auf die VPN-Sitzungen und dann auf Details, um alle Informationen über Ihre Sitzungen anzuzeigen.
- Packet Tracer ist ein unverzichtbares Tool für ASA-Administratoren. Wenn Sie noch nicht davon gehört haben, lesen Sie meinen vorherigen Blog. Mit dem Packet Tracer können Sie modellieren, wie der ASA auf bestimmte Arten von Datenverkehr reagiert, die ihn durchlaufen. Die neue Funktion, über die Sie Bescheid wissen müssen, ist, dass Tracer jetzt den Datenverkehr auf der Grundlage von Benutzernamen und FQDNs modellieren kann.
- Müssen Sie eine Warnmeldung an Ihre clientlosen sslvpn-Benutzer senden? Unter Tools finden Sie eine solche Funktion. Sie können jede beliebige Warnmeldung an Ihre Benutzer senden.
- Müssen Sie Ihren ASA schnell konfigurieren? Sie müssen schnell Pakete vom ASA abfangen? Verwenden Sie die ASDM-Assistenten! Sie sparen Ihnen Zeit und vermeiden häufige Fehler, insbesondere bei der VPN-Einrichtung. In diesem Fall sind die Assistenten nichts für Dummies.
Sie wissen nicht, wo Sie im ASDM etwas konfigurieren müssen? Finden Sie es schnell, indem Sie das Werkzeug „Suchen“ verwenden. Sie finden es in der ASDM-Symbolleiste. Geben Sie einfach ein oder zwei Schlüsselwörter ein, nach denen Sie suchen, und der ASDM-Assistent wird Sie dorthin führen.
- Um die Erstellung von Firewall-Regeln zu beschleunigen, verwenden Sie das Ziehen und Ablegen von Objekten. Sie können Objekte und Dienstobjekte schnell in Ihre Firewall-Regel-Tabelle ziehen und ablegen. Wenn die Objekttabelle nicht geöffnet ist, gehen Sie zu Ansicht/Dienste, um sie zu öffnen.
- Müssen Sie herausfinden, wo ein Objekt verwendet wird? Klicken Sie mit der rechten Maustaste auf das Objekt und wählen Sie aus, wo es verwendet wird.
- Sollen Sie eine temporäre Regel einfügen, die nach einer bestimmten Zeit automatisch abläuft? Oder vielleicht eine Regel, die abläuft und den Verkehr nur während der Geschäftszeiten für Auftragnehmer zulässt? Verwenden Sie die zeitbasierte Option in Ihren Firewall-Regeln unter den erweiterten Optionen einer Regel.
- Müssen Sie schnell NAT zu einem Server oder einem beliebigen Host-Objekt hinzufügen? Verwenden Sie das neue objektbasierte NAT. Das kann eine enorme Zeitersparnis bedeuten.
- Müssen Sie Botnet- und andere Malware-Aktivitäten schnell finden? Schalten Sie die Botnet-Traffic-Filterlizenz auf Ihrem ASA ein, und Sie sehen alle möglichen nützlichen Informationen über bösartigen Traffic.
- Sie denken, dass Sie eine langsame oder unterbrochene Verbindung zu Ihrem Authentifizierungsserver haben könnten? Sie können die Leistung zwischen Server und ASA schnell über Ihre ASDM-Überwachung/Eigenschaften/aaa-Serveransicht überprüfen. Ein großartiges Tool zur Fehlersuche bei langsamer Authentifizierung oder anderem fehlerhaften Verhalten.
Müssen Sie sehen, wer derzeit angemeldet ist, um den ASA zu verwalten? Müssen Sie sie abmelden? Sie können beides über den Bildschirm Überwachung > Eigenschaften > Gerätezugriff > ASDM/HTTPS/Telnet/SSH-Sitzungen tun.
Müssen Sie die ASA-Verbindungen auf Fehler untersuchen? Müssen Sie die ASA-Protokolle in Echtzeit auswerten? Der ASDM Log Viewer unter Monitoring ist ein nützliches Tool für genau solche Aktivitäten. Er eignet sich am besten für die Analyse von Protokollen in Echtzeit oder nahezu in Echtzeit. Einige der wirklich coolen Tools sind Regel erstellen, Regel anzeigen, whois und dns lookup. Auf jedes dieser Tools kann mit einem Rechtsklick auf eine Protokollnachricht zugegriffen werden. Auch dies kann eine große Zeitersparnis bedeuten.
So, das waren einige meiner Lieblingstipps für ASDM. Wenn Sie selbst welche haben, die Sie mit anderen teilen möchten, posten Sie sie bitte. Wenn Sie Fragen haben, lassen Sie es mich wissen.
Die hier dargestellten Meinungen und Informationen sind meine PERSÖNLICHEN Ansichten und nicht die meines Arbeitgebers. Ich bin in keiner Weise ein offizieller Sprecher meines Arbeitgebers.
Mehr von Jamey Heary: Kreditkarten-Skimming: Wie Diebe Ihre Kartendaten stehlen können, ohne dass Sie es merken Google Nexus One vs. Top 10 der Sicherheitsanforderungen für TelefoneWarum Sie Ihre Bordkarte immer schreddern solltenDie Aufzeichnungen von Videotheken sind besser geschützt als Ihre Online-DatenDie Wahrheit über neue SSL-Angriffe2009 Top Urban Legends in IT Security/a>Gehen Sie zu Jamey’s Blog für weitere Artikel über Sicherheit.
*
*
*
*
*