L’Adaptive Security Device Manager (ASDM) de Cisco est l’outil d’interface graphique utilisé pour gérer les appareils de sécurité Cisco ASA. Dans ce blog, je vais vous révéler certains de mes trucs, astuces et secrets préférés trouvés à l’intérieur d’ASDM. Si vous ne l’avez jamais utilisé auparavant, ASDM est un outil gratuit de gestion de la configuration, de la surveillance et du dépannage fourni avec l’ASA. En bref, l’ASDM gère toutes les fonctionnalités de l’appliance ASA, y compris le FW, l’IPS et le VPN. Contrairement à son grand frère Cisco Security Manager (CSM), ASDM est conçu pour configurer un ASA autonome, un par un. CSM est l’outil que vous utiliseriez pour gérer et partager la politique sur plusieurs ASA, routeurs et appliances IPS.
D’abord, installer l’outil. Vous pouvez télécharger ASDM depuis cisco.com ou depuis votre ASA elle-même. Vous pouvez ensuite l’exécuter à l’intérieur d’un navigateur ou télécharger le lanceur ASDM afin qu’il fonctionne comme sa propre application sur votre PC. Je recommande fortement le lanceur ASDM comme la voie à suivre. Le lanceur ASDM fonctionne à la fois pour Windows et MAC OSX (nécessite ASDM version 6.4.5 ou ultérieure). Une fois lancé, il ressemble à l’image ci-dessous. Vous remplissez les informations et c’est parti.
Quelques secrets sur le lanceur ASDM. Tout d’abord, pour que le lanceur MAC fonctionne, vous devez l’installer directement à partir de votre ASA en utilisant un navigateur Web. Actuellement, il n’y a pas de fichier .dmg téléchargeable sur cisco.com, seulement un fichier .msi pour windows.
Deuxièmement, vous voyez cette cool case à cocher « exécuter en mode démo » ? Cela peut être une fonctionnalité très pratique et est disponible pour tout le monde. Pour l’activer, cochez la case et cliquez sur le lien qu’elle fournit. Cela vous amènera à cisco.com où vous devrez télécharger le paquet ASDM demo .msi.
Une fois installé, ASDM peut alors être utilisé dans un mode démo hors ligne sur un ordinateur windows ou mac. Le mode démo vous fournit plusieurs types de configuration à choisir afin que vous puissiez faire semblant d’être un ASA FW ou un ASA FW avec IPS ou un ASA avec SSLVPN, etc. Le mode démo ASDM modélise même les journaux d’événements. Dans l’ensemble, le mode démo ASDM vous donne l’expérience de la configuration et de la surveillance d’un ASA réel.
Ce qui m’amène à un autre secret de l’ASDM, le mode démo est conçu pour les fenêtres mais fonctionnera également sur les MAC. Ce n’est pas quelque chose de supporté par Cisco ou trouvé dans leur docs. C’est plus un hack, mais un hack utile pour ceux (comme moi) qui n’aiment pas exécuter la fusion sur leurs MACs. Voici comment le faire fonctionner sur un MAC exécutant Lion :
-Premièrement, sur votre MAC, installez le lanceur ASDM en vous connectant à un ASA via un navigateur Web et en cliquant sur installer le lanceur.
-Deuxièmement, téléchargez et installez la démo ASDM .msi sur un PC Windows.
-Suivant, copiez le contenu du dossier Demo de C:\Program Files\Cisco Systems\ASDM sur votre MAC.
Sur votre MAC, ouvrez le dossier dans lequel se trouve l’application de lancement (généralement applications\Cisco) et faites un clic droit sur l’application de lancement. Cliquez maintenant sur show package contents
-Une nouvelle fenêtre finder s’ouvrira. Naviguez vers /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
-Finalement, copiez le contenu du dossier demo de windows dans ce dossier. Maintenant, la démo du lanceur Mac devrait fonctionner parfaitement !
Maintenant que nous avons installé ASDM, voici quelques conseils rapides.
- Vous avez besoin de voir s’il y a des mises à jour pour votre type et votre version spécifiques d’ASA ? Utilisez l’outil de vérification des mises à jour dans ASDM. Cet assistant de mise à jour logicielle est beaucoup plus rapide et sans erreur que d’aller sur le site Web de cisco télécharger les images puis les télécharger sur l’ASA et le configurer pour les utiliser. Tout cela peut maintenant être fait avec environ 4 clics directement à partir de l’ASDM. Un énorme gain de temps !
- Besoin de voir rapidement le débit d’entrée/sortie sur les interfaces de l’ASA ? Sur la page d’accueil, cliquez sur une interface et en dessous, vous verrez les kbps d’entrée et de sortie.
- Vous avez besoin de voir rapidement vos sessions VPN et leurs détails ? Sur la page d’accueil, affichez les sessions VPN et cliquez sur les détails pour voir toutes les infos sur vos sessions.
- Packet Tracer est un outil indispensable pour les administrateurs ASA. Si vous n’en avez pas encore entendu parler, consultez mon blog précédent. Packet tracer vous permet de modéliser comment l’ASA va réagir à certains types de trafic qui le traversent. La nouvelle fonctionnalité que vous devez connaître est maintenant tracer peut modéliser le trafic basé sur les noms d’utilisateurs et les FQDN.
- Nécessité d’envoyer un message d’alerte à vos utilisateurs sslvpn sans client ? Sous les outils, vous trouverez justement une telle fonctionnalité. Vous pouvez envoyer le message d’alerte que vous voulez à vos utilisateurs.
- Vous avez besoin de configurer votre ASA rapidement ? Vous avez besoin de capturer rapidement les paquets de l’ASA ? Utilisez les assistants de l’ASDM ! Ils vous font gagner du temps et éliminent les erreurs courantes, notamment pour la configuration des VPN. Dans ce cas, les assistants ne sont pas pour les nuls.
Vous ne trouvez pas où dans ASDM pour configurer quelque chose ? Trouvez-le rapidement en utilisant l’outil de recherche. Vous pouvez le trouver sur la barre d’outils ASDM. Il suffit de taper un ou deux mots clés de ce que vous recherchez et l’assistant ASDM vous y conduira.
- Pour accélérer la création de règles de pare-feu, utilisez le glisser-déposer d’objets. Vous pouvez rapidement glisser et déposer des objets et des objets de service dans votre table de règles de pare-feu. Si la table d’objets n’est pas ouverte, allez sur view/services pour l’ouvrir.
- Vous avez besoin de trouver où un objet est utilisé ? Faites un clic droit sur l’objet et sélectionnez où il est utilisé.
- Vous avez besoin de mettre une règle temporaire qui expire automatiquement après un certain temps ? Ou peut-être une règle qui expire et n’autorise le trafic que pendant les heures de bureau pour les entrepreneurs ? Utilisez l’option basée sur le temps dans vos règles de pare-feu sous les options avancées sur une règle.
- Vous avez besoin d’ajouter rapidement le NAT à un serveur ou à tout objet hôte ? Utilisez le nouveau NAT basé sur l’objet. Cela peut être un énorme gain de temps.
- Vous avez besoin de trouver rapidement l’activité des botnets et autres logiciels malveillants ? Activez la licence de filtre de trafic botnet sur votre ASA et vous verrez toutes sortes d’informations utiles sur le trafic malveillant.
- Vous pensez avoir une connexion lente ou interrompue à votre serveur d’authentification ? Vous pouvez rapidement vérifier les performances du serveur vers l’ASA à partir de votre vue ASDM monitoring/properties/aaa server. Excellent outil pour aider à dépanner la lenteur de l’authentification ou tout autre comportement erratique.
Vous avez besoin de voir qui est actuellement connecté pour gérer l’ASA ? Vous avez besoin de les virer ? Vous pouvez faire les deux à partir de l’écran Surveillance > Propriétés > Accès au périphérique > Sessions ASDM/HTTPS/Telnet/SSH.
Vous avez besoin de dépanner les connexions de l’ASA ? Vous avez besoin d’analyser les journaux de l’ASA en temps réel ? La visionneuse de journaux ASDM sous surveillance est un bel outil pour justement de telles activités. Il est mieux adapté à l’analyse des journaux en temps réel ou presque. Parmi les outils les plus intéressants, citons la création de règles, l’affichage de règles, le whois et la recherche de noms de domaine. On peut accéder à tous ces outils en cliquant avec le bouton droit de la souris sur un message du journal. Encore une fois peut être un grand gain de temps.
Bien, il y a quelques-unes de mes astuces ASDM préférées. Si vous avez certains de vos propres à partager s’il vous plaît les poster. Si vous avez des questions, faites-le moi savoir.
Les opinions et les informations présentées ici sont mes points de vue PERSONNELS et non ceux de mon employeur. Je ne suis en aucun cas un porte-parole officiel de mon employeur.
Plus de Jamey Heary : Écrémage de cartes de crédit : comment les voleurs peuvent voler les informations de votre carte sans que vous le sachiez Google Nexus One vs. Top 10 des exigences de sécurité des téléphonesPourquoi vous devriez toujours déchiqueter votre carte d’embarquementLes enregistrements de location de vidéos bénéficient de plus de protections de la vie privée que vos données en ligneLa vérité sur les nouvelles attaques SSLLes meilleures légendes urbaines de 2009 en matière de sécurité informatique/a>Voir le blog de Jamey pour plus d’articles sur la sécurité.
*
*
*
*
*
.