Cisco’s Adaptive Security Device Manager (ASDM) este instrumentul GUI utilizat pentru a gestiona dispozitivele de securitate Cisco ASA. În acest blog vă voi dezvălui câteva dintre sfaturile, trucurile și secretele mele preferate care se găsesc în ASDM. Dacă nu ați mai avut de-a face cu el până acum, ASDM este un instrument gratuit de gestionare a configurării, monitorizării și depanării care vine împreună cu ASA. Pe scurt, ASDM va gestiona toate caracteristicile dispozitivului ASA, inclusiv FW, IPS și VPN. Spre deosebire de fratele său mai mare, Cisco Security Manager (CSM), ASDM este făcut pentru a configura un ASA de sine stătător, unul câte unul. CSM este instrumentul pe care îl veți folosi pentru a gestiona și a partaja politica între mai multe ASA, routere și dispozitive IPS.
În primul rând, instalarea instrumentului. Puteți descărca ASDM de pe cisco.com sau chiar de pe ASA. Apoi îl puteți rula în interiorul unui browser sau puteți descărca lansatorul ASDM, astfel încât să ruleze ca o aplicație proprie pe PC-ul dumneavoastră. Vă recomand cu căldură ASDM launcher ca fiind calea de urmat. Lansatorul ASDM funcționează atât pentru Windows, cât și pentru MAC OSX (necesită versiunea ASDM 6.4.5 sau o versiune ulterioară). Odată lansat, acesta va arăta ca în imaginea de mai jos. Completați informațiile și gata.
Câteva secrete despre lansatorul ASDM. În primul rând, pentru ca lansatorul MAC să funcționeze, trebuie să îl instalați direct din ASA folosind un browser web. În prezent, nu există un fișier .dmg descărcabil pe cisco.com, ci doar un fișier .msi pentru Windows.
În al doilea rând, vedeți căsuța de selectare cool „run in demo mode”? Aceasta poate fi o caracteristică foarte utilă și este disponibilă pentru toată lumea. Pentru a o activa, bifați căsuța și faceți clic pe linkul pe care îl oferă. Acesta vă va duce la cisco.com, de unde va trebui să descărcați pachetul demo .msi al ASDM.
După ce este instalat, ASDM poate fi utilizat în modul demo offline pe un computer Windows sau Mac. Modul demo vă pune la dispoziție mai multe tipuri de configurații din care puteți alege, astfel încât să puteți face să se prefacă a fi un ASA FW sau un ASA FW cu IPS sau un ASA cu SSLVPN, etc. Modul demo ASDM modelează chiar și jurnalele de evenimente. În concluzie, modul demo ASDM vă oferă experiența configurării și monitorizării unui ASA real.
Ceea ce mă duce la un alt secret al ASDM, modul demo este conceput pentru Windows, dar va funcționa și pe MAC-uri. Acest lucru nu este ceva susținut de Cisco sau găsit în documentația de acolo. Este mai mult un hack, dar unul util pentru cei (ca mine) cărora nu le place să ruleze fusion pe MAC-urile lor. Iată cum îl faceți să funcționeze pe un MAC care rulează Lion:
-În primul rând, pe MAC instalați lansatorul ASDM conectându-vă la un ASA prin intermediul unui browser web și făcând clic pe install launcher.
-În al doilea rând, descărcați și instalați ASDM demo .msi pe un PC cu Windows.
-În continuare, copiați conținutul folderului Demo din C:\Program Files\Cisco Systems\ASDM pe MAC.
Pe MAC, deschideți folderul în care se află aplicația de lansare (de obicei aplicații\Cisco) și faceți clic dreapta pe aplicația de lansare. Acum faceți clic pe arată conținutul pachetului
Se va deschide o nouă fereastră Finder. Navigați la /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo
În cele din urmă, copiați conținutul folderului demo Windows în acest folder. Acum demonstrația lansatorului Mac ar trebui să funcționeze foarte bine!
Acum că avem ASDM instalat, iată câteva sfaturi rapide.
- Vreți să vedeți dacă există actualizări pentru tipul și versiunea specifică de ASA? Utilizați instrumentul de verificare a actualizărilor din ASDM. Acest asistent de actualizare a software-ului este mult mai rapid și fără erori decât să mergeți pe site-ul web al Cisco pentru a descărca imaginile, apoi să le încărcați în ASA și să le configurați pentru a le utiliza. Toate acestea se pot face acum cu aproximativ 4 clicuri direct din ASDM. O mare economie de timp!
- Aveți nevoie să vedeți rapid debitul de intrare/ieșire pe interfețele ASA? Pe pagina de start dați click pe o interfață și mai jos se va afișa kbps de intrare și ieșire.
- Vreți să vedeți rapid sesiunile VPN și detaliile acestora? Pe pagina de pornire vizualizați sesiunile VPN și faceți clic pe detalii pentru a vedea toate informațiile despre sesiunile dumneavoastră.
- Packet Tracer este un instrument obligatoriu de utilizat pentru administratorii ASA. Dacă nu ați auzit încă de el, consultați blogul meu anterior. Packet tracer vă permite să modelați modul în care ASA va reacționa la anumite tipuri de trafic care se deplasează prin el. Noua caracteristică despre care trebuie să știți este că acum tracer poate modela traficul pe baza numelor de utilizator și FQDN-urilor.
- Trebuie să trimiteți un mesaj de alertă utilizatorilor dvs. de sslvpn fără client? La secțiunea instrumente veți găsi o astfel de funcție. Puteți trimite orice mesaj de alertă doriți utilizatorilor dumneavoastră.
- Vreți să vă configurați rapid ASA-ul? Aveți nevoie să capturați rapid pachetele de pe ASA? Folosiți asistenții ASDM! Acestea vă economisesc timp și elimină greșelile comune, în special pentru configurarea VPN. În acest caz, asistenții nu sunt pentru proști.
Nu găsiți unde în ASDM să configurați ceva? Găsiți-l rapid cu ajutorul instrumentului de căutare. Îl puteți găsi pe bara de instrumente ASDM. Tastați doar un cuvânt cheie sau două despre ceea ce căutați și asistentul ASDM vă va duce acolo.
- Pentru a accelera crearea regulilor de firewall folosiți funcția de glisare și fixare a obiectelor. Puteți să trageți și să plasați rapid obiecte și obiecte de servicii în tabelul de reguli de firewall. Dacă tabelul de obiecte nu este deschis, mergeți la vizualizare/servicii pentru a-l deschide.
- Vreți să aflați unde este utilizat un obiect? Faceți clic dreapta pe obiect și selectați unde este utilizat.
- Vreți să introduceți o regulă temporară care expiră automat după o anumită perioadă de timp? Sau poate o regulă care expiră și permite traficul doar în timpul orelor de lucru pentru contractori? Folosiți opțiunea bazată pe timp în regulile de firewall din cadrul opțiunilor avansate ale unei reguli.
- Vreți să adăugați rapid NAT la un server sau la orice obiect gazdă? Utilizați noua opțiune NAT bazată pe obiect. Acest lucru poate fi un mare economizor de timp.
- Vreți să găsiți rapid botnet și alte activități malware? Activați licența de filtrare a traficului botnet pe ASA-ul dumneavoastră și veți vedea tot felul de informații utile despre traficul malițios.
- Credeți că ați putea avea o conexiune lentă sau întreruptă la serverul de autentificare? Puteți verifica rapid performanța serverului către ASA din vizualizarea ASDM monitoring/properties/aaa server. Un instrument excelent pentru a ajuta la depanarea încetinirii autentificării sau a altor comportamente eronate.
Vreți să vedeți cine este conectat în prezent pentru a gestiona ASA? Aveți nevoie să îi dați afară? Puteți face ambele din ecranul Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions (Monitorizare > Proprietăți > Acces dispozitiv > Sesiuni ASDM/HTTPS/Telnet/SSH).
Trebuie să depanați conexiunile ASA? Aveți nevoie să analizați jurnalele ASA în timp real? Vizualizatorul de jurnale ASDM din cadrul monitorizării este un instrument bun pentru astfel de activități. Acesta este cel mai potrivit pentru analiza jurnalelor în timp real sau aproape real. Câteva dintre instrumentele cu adevărat interesante sunt create rule, show rule, whois și dns lookup. Oricare dintre acestea poate fi accesat făcând clic dreapta pe un mesaj de jurnal. Din nou, poate fi un mare economizor de timp.
Bine, iată câteva dintre sfaturile mele preferate din ASDM. Dacă aveți unele proprii pe care să le împărtășiți, vă rugăm să le postați. Dacă aveți întrebări, anunțați-mă.
Opinile și informațiile prezentate aici sunt opiniile mele PERSONALE și nu cele ale angajatorului meu. Nu sunt în niciun caz un purtător de cuvânt oficial al angajatorului meu.
Mai multe de la Jamey Heary: Credit Card Skimming: Cum pot hoții să vă fure informațiile de pe card fără ca dumneavoastră să știți Google Nexus One vs. Top 10 cerințe de securitate a telefoanelorDe ce ar trebui să distrugeți întotdeauna cartea de îmbarcare Înregistrările video de închiriere beneficiază de mai multă protecție a confidențialității decât datele dvs. onlineAdevărul despre noile atacuri SSL2009 Topul legendelor urbane în domeniul securității IT/a>Vezi blogul lui Jamey pentru mai multe articole despre securitate.
*
*
*
*
*
*
*
*