Ciscon Adaptive Security Device Manager (ASDM) on GUI-työkalu, jolla hallitaan Cisco ASA -turvalaitteita. Tässä blogissa paljastan sinulle joitakin suosikkivinkkejäni, temppuja ja salaisuuksia, jotka löytyvät ASDM:n sisältä. Jos et ole aiemmin ollut sen kanssa tekemisissä, ASDM on ASA:n mukana tuleva ilmainen konfiguroinnin, seurannan ja vianmäärityksen hallintatyökalu. Lyhyesti sanottuna ASDM:llä hallitaan kaikkia ASA-laitteen ominaisuuksia, mukaan lukien FW, IPS ja VPN. Toisin kuin isoveljensä Cisco Security Manager (CSM), ASDM on tehty erillisen ASA:n konfigurointiin yksi kerrallaan. CSM on työkalu, jolla voit hallita ja jakaa käytäntöjä useiden ASA-laitteiden, reitittimien ja IPS-laitteiden välillä.
Ensin asennetaan työkalu. Voit ladata ASDM:n osoitteesta cisco.com tai itse ASA:sta. Voit sitten ajaa sitä selaimessa tai ladata ASDM-launcherin, jotta se toimii omana sovelluksenaan tietokoneellasi. Suosittelen lämpimästi ASDM launcheria. ASDM-launcher toimii sekä Windowsissa että MAC OSX:ssä (vaatii ASDM-version 6.4.5 tai uudemman). Kun se on käynnistetty, se näyttää alla olevan kuvan kaltaiselta. Täytät tiedot ja voit aloittaa.
Muutama salaisuus ASDM-launcherista. Ensinnäkin, jotta saat MAC-käynnistysohjelman toimimaan, sinun on asennettava se suoraan ASA:sta verkkoselaimella. Tällä hetkellä cisco.comissa ei ole ladattavaa .dmg-tiedostoa, vain .msi-tiedosto windowsille.
Toiseksi, näetkö tuon hienon ”run in demo mode” -valintaruudun? Tämä voi olla erittäin kätevä ominaisuus ja se on kaikkien saatavilla. Voit ottaa sen käyttöön ruksaamalla laatikon ja klikkaamalla sen antamaa linkkiä. Tämä vie sinut osoitteeseen cisco.com, josta sinun on ladattava ASDM-demo-.msi-paketti.
Asennuksen jälkeen ASDM:ää voi käyttää offline-demotilassa windows- tai mac-tietokoneella. Demo-tilassa voit valita useita konfiguraatiotyyppejä, joten voit teeskennellä ASA FW:tä tai ASA FW:tä IPS:llä tai ASA:ta SSLVPN:llä jne. ASDM-demotila jopa mallintaa tapahtumalokit. Kaiken kaikkiaan ASDM-demotila antaa sinulle kokemuksen elävän ASA:n konfiguroinnista ja valvonnasta.
Mikä tuo minut toiseen ASDM-salaisuuteen, demotila on suunniteltu windowsille, mutta se toimii myös MAC:llä. Tämä ei ole jotain, mitä Cisco tukee tai mitä ei löydy sieltä dokumenteista. Se on enemmänkin hakkerointi, mutta hyödyllinen niille (kuten minulle), jotka eivät halua ajaa fusionia MAC-tietokoneillaan. Näin saat sen toimimaan MAC:lla, jossa on Lion:
-Ensiksi asenna MAC:lla ASDM-launcher yhdistämällä ASA:han web-selaimella ja klikkaamalla install launcher.
-toiseksi lataa ja asenna ASDM demo .msi Windows PC:llä.
-jatkossa kopioi Demo-kansion sisältö C:\Program Files\Cisco Systems\ASDM:stä MAC:iin.
Avaa MACissa kansio, jossa launcher-sovellus on (yleensä applications\Cisco) ja napsauta launcher-sovellusta hiiren kakkospainikkeella. Klikkaa nyt näytä paketin sisältö
– Uusi finder-ikkuna avautuu. Siirry osoitteeseen /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Kopioi lopuksi windowsin demo-kansion sisältö tähän kansioon. Nyt Mac-launcher-demon pitäisi toimia loistavasti!
Nyt kun olemme asentaneet ASDM:n, tässä muutamia pikavinkkejä.
- Haluatko nähdä, onko olemassa päivityksiä juuri sinun ASA-tyypillesi ja -versiollesi? Käytä ASDM:n Check for updates -työkalua. Tämä ohjattu ohjelmistopäivitystoiminto on paljon nopeampi ja virheettömämpi kuin se, että menisit ciscon verkkosivuille lataamaan kuvat, sitten lataisit ne ASA:han ja konfiguroisit sen käyttämään niitä. Tämä kaikki voidaan nyt tehdä noin neljällä napsautuksella suoraan ASDM:stä. Valtava ajansäästö!
- Haluatko nähdä nopeasti ASA:n liitäntöjen sisään/ulos-läpimenon? Klikkaa kotisivulla rajapintaa ja sen alapuolella näkyy sisääntulon ja ulostulon kbps.
- Haluatko nähdä nopeasti VPN-istunnot ja niiden tiedot? Kotisivulla voit tarkastella VPN-istuntoja ja klikata yksityiskohtia nähdäksesi kaikki tiedot istunnoistasi.
- Packet Tracer on pakollinen työkalu ASA:n ylläpitäjille. Jos et ole vielä kuullut siitä, katso edellinen blogini. Packet tracerin avulla voit mallintaa, miten ASA reagoi sen läpi kulkevaan tiettyihin liikennetyyppeihin. Uusi ominaisuus, josta sinun tulee tietää, on se, että nyt tracer voi mallintaa liikennettä käyttäjätunnusten ja FQDN:ien perusteella.
- Tarvitsetko lähettää hälytysviestin clientless sslvpn -käyttäjille? Työkalujen alta löydät juuri tällaisen ominaisuuden. Voit lähettää käyttäjillesi minkä tahansa haluamasi hälytysviestin.
- Tarvitsetko ASA:n nopean konfiguroinnin? Tarvitsetko kaapata paketteja ASA:sta nopeasti? Käytä ASDM-assistentteja! Ne säästävät aikaa ja poistavat yleiset virheet, erityisesti VPN-asennuksissa. Tässä tapauksessa ohjatut toiminnot eivät ole dumareille.
Etkö löydä ASDM:stä kohtaa, jossa jotain pitää konfiguroida? Löydä se nopeasti Etsi-työkalun avulla. Löydät sen ASDM:n työkalupalkista. Kirjoita vain avainsana tai kaksi siitä, mitä etsit, ja ASDM-avustaja vie sinut sinne.
- Palomuurisääntöjen luomisen nopeuttamiseksi käytä objektien vetämistä ja pudottamista. Voit nopeasti raahata ja pudottaa objekteja ja palvelukohteita palomuurisääntötaulukkoon. Jos objektitaulukko ei ole auki, avaa se valitsemalla näkymä/palvelut.
- Tarvitsetko etsiä, missä objektia käytetään? Napsauta objektia hiiren kakkospainikkeella ja valitse where used.
- Tarvitsetko väliaikaista sääntöä, joka vanhenee automaattisesti tietyn ajan kuluttua? Tai ehkä sääntö, joka vanhenee ja sallii liikenteen vain työaikana urakoitsijoille? Käytä aikaperusteista vaihtoehtoa palomuurisäännöissäsi säännön lisäasetuksissa.
- Tarvitsetko lisätä NAT:n nopeasti palvelimelle tai mille tahansa isäntäobjektille? Käytä uutta kohdepohjaista NATia. Tämä voi olla valtava ajansäästö.
- Pitäisikö sinun löytää nopeasti bottiverkkojen ja muiden haittaohjelmien toiminta? Ota ASA:n botnet-liikenteen suodatuslisenssi käyttöön, niin näet kaikenlaista hyödyllistä tietoa haitallisesta liikenteestä.
- Luuletko, että yhteys autentikointipalvelimeen on hidas tai katkennut? Voit tarkistaa nopeasti palvelimen ja ASA:n välisen suorituskyvyn ASDM:n seuranta/properties/aaa-palvelinnäkymästä. Loistava työkalu autentikoinnin hitauden tai muun virheellisen käyttäytymisen vianmääritykseen.
Haluatko nähdä, kuka on tällä hetkellä kirjautuneena ASA:n hallintaan? Pitääkö heidät potkia pois? Voit tehdä molemmat Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions -näytöstä.
Tarvitsetko ASA-yhteyksien vianmääritystä? Pitääkö analysoida ASA:n lokit reaaliaikaisesti? Valvonnassa oleva ASDM Log viewer on mukava työkalu juuri tällaiseen toimintaan. Se soveltuu parhaiten lähes tai reaaliaikaiseen lokien jäsentämiseen. Muutamia todella hienoja työkaluja ovat create rule, show rule, whois ja dns lookup. Kaikkiin näistä pääsee käsiksi napsauttamalla lokiviestiä hiiren kakkospainikkeella. Jälleen kerran voi olla suuri ajansäästö.
Niin, siinä muutamia suosikkivinkkejäni ASDM:stä. Jos sinulla on joitain omia jaettavaksi, lähetä ne. Jos sinulla on kysyttävää, kerro minulle.
Tässä esitetyt mielipiteet ja tiedot ovat minun HENKILÖKOHTAISIA näkemyksiäni eivätkä työnantajani näkemyksiä. En ole millään tavalla työnantajani virallinen edustaja.
More from Jamey Heary: Credit Card Skimming: How thieves can steal your card info without you know it Google Nexus One vs. Top 10 Phone Security RequirementsWhy you should always shred your boarding pass Video rental records are afforded more privacy protections than your online dataThe truth about new SSL attacks2009 Top Urban Legends in IT Security/a>Go to Jamey’s Blog for more articles on security.
*
*
*
*
*
*
*
*