Cisco’s Adaptive Security Device Manager (ASDM) jest narzędziem GUI używanym do zarządzania urządzeniami bezpieczeństwa Cisco ASA. W tym blogu zdradzę Wam kilka moich ulubionych wskazówek, sztuczek i sekretów, które można znaleźć w ASDM. Jeśli nie miałeś z nim wcześniej do czynienia, ASDM jest darmowym narzędziem do zarządzania konfiguracją, monitorowaniem i rozwiązywaniem problemów, które jest dostarczane z ASA. W skrócie, ASDM zarządza wszystkimi funkcjami urządzenia ASA, w tym FW, IPS i VPN. W przeciwieństwie do swojego większego brata Cisco Security Manager (CSM), ASDM jest stworzony do konfigurowania samodzielnych urządzeń ASA w jednym czasie. CSM jest narzędziem używanym do zarządzania i współdzielenia polityki przez wiele ASA, routerów i urządzeń IPS.
Po pierwsze, instalacja narzędzia. ASDM można pobrać ze strony cisco.com lub z samej ASA. Następnie można go uruchomić w przeglądarce lub pobrać launcher ASDM, aby działał jako osobna aplikacja na komputerze. Gorąco polecam launcher ASDM jako drogę do zrobienia tego. Program ASDM launcher działa zarówno dla Windows jak i MAC OSX (wymaga ASDM w wersji 6.4.5 lub nowszej). Po uruchomieniu będzie on wyglądał jak na poniższym obrazku. Wypełniasz informacje i ruszasz w drogę.
Kilka sekretów dotyczących launchera ASDM. Po pierwsze, aby launcher MAC działał, musisz zainstalować go bezpośrednio z ASA za pomocą przeglądarki internetowej. Obecnie na stronie cisco.com nie ma pliku .dmg do pobrania, jest tylko plik .msi dla windows.
Po drugie, widzisz to fajne pole wyboru „run in demo mode”? To może być bardzo przydatna funkcja i jest dostępna dla każdego. Aby ją włączyć, zaznacz to pole i kliknij na link, który się tam znajduje. To przeniesie Cię na stronę cisco.com, gdzie będziesz musiał pobrać pakiet ASDM demo .msi.
Po zainstalowaniu ASDM może być używany w trybie demo offline na komputerze z systemem Windows lub Mac. Tryb demonstracyjny zapewnia kilka typów konfiguracji do wyboru, dzięki czemu można udawać ASA FW lub ASA FW z IPS lub ASA z SSLVPN, itp. Tryb demonstracyjny ASDM modeluje nawet dzienniki zdarzeń. Podsumowując, tryb demonstracyjny ASDM daje Ci doświadczenie konfiguracji i monitorowania żywej ASA.
Which brings me to another ASDM secret, demo mode is designed for windows but will also work on MACs. Nie jest to coś wspieranego przez Cisco ani nie można tego znaleźć w dokumentach. Jest to bardziej hack, ale przydatny dla tych (jak ja), którzy nie lubią uruchamiać fusion na swoich MACach. Oto jak to zrobić, aby działało na MAC z systemem Lion:
-Początkowo, na MAC zainstaluj launcher ASDM łącząc się z ASA przez przeglądarkę i klikając install launcher.
Po drugie, pobierz i zainstaluj ASDM demo .msi na Windows PC.
-Następnie, skopiuj zawartość folderu Demo z C:™Program Files™Cisco Systems™ASDM na MAC.
Na komputerze MAC otwórz folder, w którym znajduje się aplikacja uruchamiająca (zazwyczaj są to aplikacje firmy Cisco), i kliknij prawym przyciskiem myszy aplikację uruchamiającą. Kliknij teraz polecenie Pokaż zawartość pakietu
Otworzy się nowe okno wyszukiwarki. Przejdź do /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
Na koniec skopiuj zawartość folderu windows demo do tego folderu. Teraz Mac launcher demo powinien działać świetnie!
Teraz, gdy mamy zainstalowany ASDM, oto kilka szybkich wskazówek.
- Potrzebujesz sprawdzić, czy są aktualizacje dla konkretnego typu i wersji ASA? Użyj narzędzia check for updates w ASDM. Ten kreator aktualizacji oprogramowania jest znacznie szybszy i bezbłędny niż wchodzenie na stronę cisco i pobieranie obrazów, następnie wgrywanie ich do ASA i konfigurowanie, aby ich używać. Wszystko to można teraz zrobić za pomocą około 4 kliknięć bezpośrednio z ASDM. Ogromna oszczędność czasu!
- Potrzebujesz szybko zobaczyć przepustowość in/out na interfejsach ASA? Na stronie głównej kliknij na interfejs, a poniżej pokażą się wejściowe i wyjściowe kbps.
- Potrzebujesz szybko zobaczyć swoje sesje VPN i ich szczegóły? Na stronie głównej wyświetl sesje VPN i kliknij na szczegóły, aby zobaczyć wszystkie informacje o sesjach.
- Packet Tracer to narzędzie, którego muszą używać administratorzy ASA. Jeśli jeszcze o nim nie słyszałeś, zobacz mój poprzedni blog. Packet tracer pozwala modelować jak ASA zareaguje na określone rodzaje ruchu przechodzącego przez nią. Nową funkcją, o której musisz wiedzieć jest to, że teraz tracer może modelować ruch w oparciu o nazwy użytkowników i FQDNs.
- Potrzebujesz wysłać wiadomość alarmową do użytkowników sslvpn bez klienta? W zakładce narzędzia znajdziesz właśnie taką funkcję. Możesz wysłać dowolną wiadomość alarmową do swoich użytkowników.
- Potrzebujesz szybko skonfigurować swoją ASA? Potrzebujesz szybko przechwycić pakiety z ASA? Użyj kreatorów ASDM! Pozwalają one zaoszczędzić czas i wyeliminować częste błędy, zwłaszcza w przypadku konfiguracji VPN. W tym przypadku kreatory nie są dla manekinów.
Nie możesz znaleźć gdzie w ASDM coś skonfigurować? Znajdź to szybko za pomocą narzędzia Search for. Można je znaleźć na pasku narzędzi ASDM. Wystarczy wpisać słowo lub dwa kluczowe tego, czego szukasz, a asystent ASDM zaprowadzi Cię tam.
- Aby przyspieszyć tworzenie reguł firewalla, należy użyć funkcji przeciągania i upuszczania obiektów. Możesz szybko przeciągnąć i upuścić obiekty i obiekty usług do tabeli reguł firewalla. Jeśli tabela obiektów nie jest otwarta, przejdź do widoku/usługi, aby ją otworzyć.
- Potrzebujesz znaleźć, gdzie obiekt jest używany? Kliknij prawym przyciskiem myszy na obiekcie i wybierz gdzie jest używany.
- Potrzebujesz wprowadzić tymczasową regułę, która automatycznie wygaśnie po określonym czasie? A może regułę, która wygasa i zezwala na ruch tylko w godzinach pracy dla kontrahentów? Użyj opcji opartej na czasie w regułach firewall pod opcjami zaawansowanymi reguły.
- Potrzebujesz szybko dodać NAT do serwera lub dowolnego obiektu hosta? Użyj nowego NAT opartego na obiektach. To może być ogromna oszczędność czasu.
- Potrzebujesz szybko znaleźć botnety i inne złośliwe oprogramowanie? Włącz licencję na filtr ruchu botnetów w ASA, a zobaczysz wiele przydatnych informacji o złośliwym ruchu.
- Myślisz, że masz wolne lub zerwane połączenie z serwerem uwierzytelniającym? Możesz szybko sprawdzić wydajność połączenia serwera z ASA w widoku ASDM monitoring/properties/aaa server. Świetne narzędzie do rozwiązywania problemów z powolnym uwierzytelnianiem lub innymi błędnymi zachowaniami.
Chcesz sprawdzić, kto jest aktualnie zalogowany do zarządzania ASA? Chcesz ich wyrzucić? Możesz zrobić obie te rzeczy z ekranu Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions.
Potrzebujesz rozwiązać problemy z połączeniami ASA? Potrzebujesz analizować logi ASA w czasie rzeczywistym? Przeglądarka logów ASDM pod monitoringiem jest dobrym narzędziem do takich właśnie działań. Najlepiej nadaje się do parsowania logów w czasie zbliżonym do rzeczywistego. Kilka z naprawdę fajnych narzędzi to create rule, show rule, whois i dns lookup. Każde z nich może być dostępne po kliknięciu prawym przyciskiem myszy na wiadomość w dzienniku. Ponownie może to być duża oszczędność czasu.
Więc, to są niektóre z moich ulubionych wskazówek ASDM. Jeśli masz jakieś własne, którymi możesz się podzielić, proszę, opublikuj je. Jeśli masz jakieś pytania, daj mi znać.
Prezentowane tutaj opinie i informacje są moimi OSOBISTYMI poglądami, a nie poglądami mojego pracodawcy. Nie jestem w żaden sposób oficjalnym rzecznikiem mojego pracodawcy.
Więcej od Jamey Heary: Skimming kart kredytowych: Jak złodzieje mogą ukraść informacje o twojej karcie bez twojej wiedzy Google Nexus One vs. Top 10 wymagań dotyczących bezpieczeństwa telefonuDlaczego zawsze powinieneś niszczyć swoją kartę pokładowąRejestry wypożyczalni wideo są objęte większą ochroną prywatności niż dane onlinePrawda o nowych atakach SSL2009 Top Urban Legends in IT Security/a> Przejdź na blog Jameya, aby przeczytać więcej artykułów na temat bezpieczeństwa.
*
*
*
*
*
*
*