Cisco Adaptive Security Device Manager (ASDM) a Cisco ASA biztonsági készülékek kezeléséhez használt GUI eszköz. Ebben a blogban elárulok Önnek néhány kedvenc tippet, trükköt és titkot, amelyek az ASDM-en belül találhatók. Ha még nem foglalkozott vele, az ASDM egy ingyenes konfigurációs, felügyeleti és hibaelhárítási kezelőeszköz, amely az ASA-hoz tartozik. Dióhéjban az ASDM kezeli az ASA készülék összes funkcióját, beleértve az FW-t, az IPS-t és a VPN-t. Nagy testvérével, a Cisco Security Managerrel (CSM) ellentétben az ASDM egy-egy önálló ASA konfigurálására készült. A CSM az az eszköz, amelyet több ASA, útválasztó és IPS-készülék házirendjének kezelésére és megosztására használna.
Először az eszköz telepítése. Az ASDM letölthető a cisco.com oldalról vagy magáról az ASA-ról. Ezután futtathatja egy böngészőn belül, vagy letöltheti az ASDM launcher-t, hogy saját alkalmazásként fusson a számítógépén. Erősen ajánlom az ASDM launcher-t, mint a legjobb megoldást. Az ASDM launcher Windows és MAC OSX alatt is működik (az ASDM 6.4.5 vagy újabb verziója szükséges). Az indítás után úgy fog kinézni, mint az alábbi képen. Kitölti az adatokat, és már mehet is.
Néhány titok az ASDM launcherről. Először is, ahhoz, hogy a MAC launcher működjön, közvetlenül az ASA-ból kell telepítenie egy webböngésző segítségével. Jelenleg nincs letölthető .dmg fájl a cisco.com-on, csak egy .msi fájl windowshoz.
Második, látod azt a menő “demo módban futtatható” jelölőnégyzetet? Ez egy nagyon praktikus funkció lehet, és mindenki számára elérhető. Ha engedélyezni akarod, pipáld ki a négyzetet, és kattints a benne található linkre. Ez a cisco.com oldalra vezet, ahol le kell töltenie az ASDM demo .msi csomagot.
A telepítés után az ASDM offline demó üzemmódban használható egy windows vagy mac számítógépen. A demó mód többféle konfigurációs típus közül választhat, így úgy tehet, mintha egy ASA FW vagy egy ASA FW IPS-szel vagy egy ASA SSLVPN-nel stb. lenne. Az ASDM demó mód még az eseménynaplókat is modellezi. Mindent egybevetve az ASDM demó mód egy élő ASA konfigurálásának és felügyeletének élményét nyújtja.
Azzal elérkeztünk egy másik ASDM-titokhoz, a demó módot Windowsra tervezték, de MAC-en is működik. Ezt a Cisco nem támogatja, vagy nem található meg az ottani dokumentációban. Ez inkább egy hack, de hasznos azoknak (mint én), akik nem szeretik a fusiont futtatni a MAC-jeiken. Íme, hogyan lehet elérni, hogy működjön egy Lion-t futtató MAC-en:
-Először, a MAC-en telepítse az ASDM indítóprogramot az ASA-hoz való csatlakozással egy webböngészőn keresztül, és kattintson az install launcher gombra.
-Második, töltse le és telepítse az ASDM demo .msi-t egy Windows PC-re.
-Következő, másolja a Demo mappa tartalmát a C:\Program Files\Cisco Systems\ASDM mappából a MAC-re.
A MAC számítógépen nyissa meg azt a mappát, amelyben az indító alkalmazás található (általában applications\Cisco), és kattintson jobb gombbal az indító alkalmazásra. Most kattintson a csomag tartalmának megjelenítése
Egy új keresőablak fog megnyílni. Navigáljon a /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
– Végül másolja a windows demo mappa tartalmát ebbe a mappába. Most már a Mac launcher demónak nagyszerűen kell működnie!
Most, hogy telepítettük az ASDM-et, íme néhány gyors tipp.
- Ne szeretné megnézni, hogy vannak-e frissítések az adott ASA típushoz és verzióhoz? Használja az ASDM frissítések keresése eszközt. Ez a szoftverfrissítési varázsló sokkal gyorsabb és hibamentes, mint a cisco weboldalára menni, letölteni a képeket, majd feltölteni őket az ASA-ra és konfigurálni, hogy használja őket. Mindez most már körülbelül 4 kattintással elvégezhető közvetlenül az ASDM-ből. Hatalmas időmegtakarítás!
- Szeretné gyorsan látni az ASA interfészek be- és kimenő átviteli teljesítményét? A honlapon kattintson egy interfészre, és alatta megjelenik a bemeneti és kimeneti kbps.
- Ne szeretné gyorsan látni a VPN munkameneteket és azok részleteit? A kezdőlapon megtekintheti a VPN munkameneteket, és a részletekre kattintva láthatja az összes információt a munkamenetekről.
- A Packet Tracer az ASA adminisztrátorok kötelező eszköze. Ha még nem hallottál róla, lásd az előző blogomat. A Packet tracer segítségével modellezheted, hogy az ASA hogyan reagál az azon áthaladó bizonyos forgalomtípusokra. Az új funkció, amiről tudnod kell, hogy a tracer most már képes modellezni a forgalmat felhasználónevek és FQDN-ek alapján.
- Hívóüzenetet kell küldened a kliens nélküli sslvpn felhasználóidnak? Az eszközök alatt éppen ilyen funkciót találsz. Bármilyen figyelmeztető üzenetet küldhetsz a felhasználóidnak.
- Szükséged van az ASA gyors konfigurálására? Gyorsan kell csomagokat rögzítenie az ASA-ról? Használja az ASDM varázslókat! Időt takarítanak meg és kiküszöbölik a gyakori hibákat, különösen a VPN beállításánál. Ebben az esetben a varázslók nem hülyéknek valók.
Nem találja, hogy az ASDM-ben hol kell valamit konfigurálni? Találja meg gyorsan a keresés eszközzel. Ezt az ASDM eszköztárában találja. Csak írj be egy-két kulcsszót arról, amit keresel, és az ASDM asszisztens elvisz oda.
- A tűzfalszabályok létrehozásának felgyorsításához használja az objektumok áthúzását. Az objektumokat és szolgáltatásobjektumokat gyorsan áthúzhatja a tűzfalszabály táblázatába. Ha az objektumtábla nincs nyitva, akkor a megnyitásához lépjen a nézet/szolgáltatások menüpontra.
- Meg szeretné találni, hogy hol használnak egy objektumot? Kattintson a jobb gombbal az objektumra, és válassza a használati hely lehetőséget.
- Szükség van egy ideiglenes szabályra, amely egy bizonyos idő után automatikusan lejár? Vagy esetleg egy olyan szabályt, amely lejár, és csak munkaidőben engedélyezi a forgalmat a vállalkozók számára? Használja az időalapú opciót a tűzfalszabályokban a szabály speciális beállításai alatt.
- Ne szeretne gyorsan NAT-ot hozzáadni egy kiszolgálóhoz vagy bármilyen állomásobjektumhoz? Használja az új objektumalapú NAT-ot. Ez hatalmas időmegtakarítást jelenthet.
- Meg kell találnia gyorsan a botnet és más rosszindulatú programok tevékenységét? Kapcsolja be a botnet forgalomszűrő licencet az ASA-n, és mindenféle hasznos információt láthat a rosszindulatú forgalomról.
- Úgy gondolja, hogy lassú vagy megszakadt a kapcsolat a hitelesítési kiszolgálóval? Az ASDM monitoring/properties/aaa server nézetben gyorsan ellenőrizheti a szerver és az ASA teljesítményét. Nagyszerű eszköz a hitelesítési lassúság vagy más hibás viselkedés hibaelhárításához.
Nézni szeretné, hogy ki van bejelentkezve az ASA kezeléséhez? Ki kell rúgni őket? Mindkettőt megteheti a Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions képernyőn.
Ne kell hibaelhárítani az ASA kapcsolatokat? Valós időben kell elemeznie az ASA naplóit? A felügyelet alatt található ASDM naplómegjelenítő egy remek eszköz éppen az ilyen tevékenységekhez. Ez a legalkalmasabb a közel vagy valós idejű naplóelemzésre. Néhány igazán jó eszköz a szabály létrehozása, a szabály megjelenítése, a whois és a dns lookup. Ezek bármelyike elérhető a naplóüzenetre való jobb kattintással. Ismét nagy időmegtakarítást jelenthet.
Nos, itt van néhány kedvenc ASDM tippem. Ha van néhány saját megosztani valója, kérjük, tegye közzé őket. Ha bármilyen kérdésed van, tudasd velem.
Az itt bemutatott vélemények és információk az én SZEMÉLYES nézeteim, és nem a munkáltatómé. Semmilyen módon nem vagyok a munkáltatóm hivatalos szóvivője.
Még több Jamey Heary-től: Credit Card Skimming: How thieves can steal your card info without you knowing it Google Nexus One vs. Top 10 telefon biztonsági követelményeiMiért kell mindig megsemmisítenie a beszállókártyáját A videokölcsönzési nyilvántartások több adatvédelmi védelmet élveznek, mint az online adataiAz igazság az új SSL-támadásokról2009 Top Urban Legends in IT Security/a>Nézze meg Jamey blogját további biztonsági cikkekért.
*
*
*
*
*
*
*
*